Website-Suche

So überprüfen und beheben Sie die Meltdown-CPU-Sicherheitslücke unter Linux

Meltdown ist eine Sicherheitslücke auf Chipebene, die die grundlegendste Isolierung zwischen Benutzerprogrammen und dem Betriebssystem durchbricht. Es ermöglicht einem Programm, auf die privaten Speicherbereiche des Betriebssystemkernels und anderer Programme zuzugreifen und möglicherweise sensible Daten wie Passwörter, Kryptoschlüssel und andere Geheimnisse zu stehlen.

Spectre ist eine Sicherheitslücke auf Chipebene, die die Isolation zwischen verschiedenen Programmen durchbricht. Es ermöglicht einem Hacker, fehlerfreie Programme dazu zu bringen, ihre sensiblen Daten preiszugeben.

Diese Mängel betreffen mobile Geräte, PCs und Cloud-Systeme; Abhängig von der Infrastruktur des Cloud-Anbieters kann es möglich sein, auf Daten anderer Kunden zuzugreifen bzw. diese zu stehlen.

Wir sind auf ein nützliches Shell-Skript gestoßen, das Ihr Linux-System scannt, um zu überprüfen, ob Ihr Kernel über die bekannten korrekten Abwehrmaßnahmen gegen Meltdown- und Spectre-Angriffe verfügt.

spectre-meltdown-checker ist ein einfaches Shell-Skript, mit dem Sie prüfen können, ob Ihr Linux-System anfällig für die drei „spekulativen Ausführungs-CVEs ist ( >Common Vulnerabilities and Exposures), die Anfang des Jahres veröffentlicht wurden. Sobald Sie es ausführen, wird Ihr aktuell ausgeführter Kernel überprüft.

Wenn Sie mehrere Kernel installiert haben und einen Kernel überprüfen möchten, den Sie nicht ausführen, können Sie optional ein Kernel-Image in der Befehlszeile angeben.

Es wird insbesondere versucht, Abhilfemaßnahmen zu erkennen, einschließlich rückportierter Nicht-Vanilla-Patches, wobei die auf dem System angekündigte Kernel-Versionsnummer nicht berücksichtigt wird. Beachten Sie, dass Sie dieses Skript mit Root-Rechten starten sollten, um genaue Informationen zu erhalten, indem Sie den Befehl sudo verwenden.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Den Ergebnissen des obigen Scans zufolge ist unser Testkernel anfällig für die 3 CVEs. Darüber hinaus sind hier einige wichtige Punkte zu diesen Prozessorfehlern zu beachten:

  • Wenn Ihr System über einen anfälligen Prozessor verfügt und einen ungepatchten Kernel ausführt, ist es nicht sicher, mit vertraulichen Informationen zu arbeiten, ohne dass die Gefahr besteht, dass die Informationen verloren gehen.
  • Glücklicherweise gibt es Software-Patches für Meltdown und Spectre. Einzelheiten finden Sie auf der Forschungshomepage von Meltdown und Spectre.

Die neuesten Linux-Kernel wurden neu gestaltet, um diese Sicherheitslücken im Prozessor zu beheben. Aktualisieren Sie daher Ihre Kernel-Version und starten Sie den Server neu, um die Updates wie gezeigt anzuwenden.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Stellen Sie nach dem Neustart sicher, dass Sie erneut mit dem Skript spectre-meltdown-checker.sh scannen.

Eine Zusammenfassung der CVEs finden Sie im Spectre-Meltdown-Checker-Github-Repository.