Linux'ta CPU Erime Güvenlik Açığı Nasıl Kontrol Edilir ve Düzeltilir

Meltdown, kullanıcı programları ile işletim sistemi arasındaki en temel yalıtımı ortadan kaldıran, çip düzeyinde bir güvenlik açığıdır. Bir programın işletim sistemi çekirdeğinin ve diğer programların özel hafıza alanlarına erişmesine ve muhtemelen şifreler, kripto anahtarları ve diğer sırlar gibi hassas verileri çalmasına olanak tanır.

Spectre, farklı programlar arasındaki izolasyonu bozan, çip düzeyinde bir güvenlik açığıdır. Bir bilgisayar korsanının hatasız programları kandırarak hassas verilerini sızdırmasına olanak tanır.

Bu kusurlar mobil cihazları, kişisel bilgisayarları ve bulut sistemlerini etkiliyor; bulut sağlayıcının altyapısına bağlı olarak diğer müşterilerden verilere erişmek/çalmak mümkün olabilir.

Çekirdeğinizin Meltdown ve Spectre saldırılarına karşı bilinen doğru azaltımlara sahip olup olmadığını doğrulamak için Linux sisteminizi tarayan kullanışlı bir kabuk komut dosyasıyla karşılaştık.

spectre-meltdown-checker, Linux sisteminizin 3 "spekülatif yürütmeye" CVE (CVE) karşı savunmasız olup olmadığını kontrol eden basit bir kabuk komut dosyasıdır. >Genel Güvenlik Açıkları ve Etkilenmeler) bu yılın başında kamuoyuna duyuruldu. Çalıştırdığınızda, o anda çalışmakta olan çekirdeğinizi inceleyecektir.

İsteğe bağlı olarak, birden fazla çekirdek kurduysanız ve çalıştırmadığınız bir çekirdeği incelemek istiyorsanız, komut satırında bir çekirdek görüntüsü belirleyebilirsiniz.

Sistemde tanıtılan çekirdek sürüm numarasını dikkate almadan, vanilya olmayan, desteklenen yamalar da dahil olmak üzere azaltıcı etkenleri önemli ölçüde tespit etmeye çalışacaktır. Doğru bilgileri almak için bu betiği sudo komutunu kullanarak kök ayrıcalıklarıyla başlatmanız gerektiğini unutmayın.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

Yukarıdaki taramanın sonuçlarına göre, test çekirdeğimiz 3 CVE'ye karşı savunmasızdır. Ayrıca bu işlemci hataları hakkında dikkat edilmesi gereken birkaç önemli noktayı aşağıda bulabilirsiniz:

  • Sisteminizde güvenlik açığı bulunan bir işlemci varsa ve yama yapılmamış bir çekirdek çalıştırıyorsa, bilgilerin sızma riski olmadan hassas bilgilerle çalışmak güvenli değildir.
  • Neyse ki Meltdown ve Spectre araştırma ana sayfasında ayrıntıları verilen Meltdown ve Spectre'ye karşı yazılım yamaları var.

En yeni Linux çekirdekleri, bu işlemci güvenliği hatalarını ortadan kaldırmak için yeniden tasarlandı. Bu nedenle çekirdek sürümünüzü güncelleyin ve güncellemeleri gösterildiği gibi uygulamak için sunucuyu yeniden başlatın.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

Yeniden başlattıktan sonra spectre-meltdown-checker.sh komut dosyasıyla tekrar tarama yaptığınızdan emin olun.

Spectre-meltdown-checker Github deposunda CVE'lerin bir özetini bulabilirsiniz.