LinuxParty

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

¿Cómo verifico si mi servidor Linux sigue siendo vulnerable a los errores de CPU de Spectre y Meltdown?

Spectre & Meltdown Checker es un script de shell que busca para los siguientes procesadores: Intel / AMD / ARM y otras CPU detectar los errores:

  1. CVE-2017-5753 : circunvalación de control de límites (Variante de espectro 1). Necesita recompilar software y núcleo con un compilador modificado que introduce el código de operación LFENCE en las posiciones correctas en el código resultante. El impacto en el rendimiento de la mitigación es insignificante.
  2. CVE-2017-5715 : inyección de sucursal objetivo (Espectro Variante 2). El impacto en el rendimiento de la mitigación depende de su CPU.
  3. CVE-2017-5754 : carga de caché de datos deshonestos (Meltdown). Debe instalar la versión actualizada del núcleo con parches PTI / KPTI. La actualización del kernel es suficiente. El impacto en el rendimiento de la mitigación es de bajo a mediano.

spectre-meltdown-checker.sh es un simple script de shell para averiguar si su kernel de Linux (instalación) es vulnerable frente a los 3 CVEs de "ejecución especulativa". Utilice esta secuencia de comandos para verificar o ver si todavía es vulnerable a Meltdown y a los errores de CPU de Spectre después de aplicar parches de kernel.

Instalación

El script debe ejecutarse como usuario root. Puede ver el código fuente aquí. Use el comando wget o el comando curl para tomar el código fuente en su caja Linux:

$ cd /tmp/
$ wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh

O

$ git clone https://github.com/speed47/spectre-meltdown-checker.git

Cómo comprobar Linux para ver la vulnerabilidad de Spectre y Meltdown

Ejecute el script como usuario raíz con el comando sudo o comando su:


$ sudo sh spectre-meltdown-checker.sh
sudo] password for vivek: 
Spectre and Meltdown mitigation detection tool v0.16
 
Checking vulnerabilities against Linux 4.13.0-21-generic #24-Ubuntu SMP Mon Dec 18 17:29:16 UTC 2017 x86_64
 
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Kernel compiled with LFENCE opcode inserted at the proper places:  NO  (only 42 opcodes found, should be >= 70)
> STATUS:  VULNERABLE 
 
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  NO 
*   Kernel support for IBRS:  NO 
*   IBRS enabled for Kernel space:  NO 
*   IBRS enabled for User space:  NO 
* Mitigation 2
*   Kernel compiled with retpoline option:  NO 
*   Kernel compiled with a retpoline-aware compiler:  NO 
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)
 
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  NO 
* PTI enabled and active:  NO 
> STATUS:  VULNERABLE  (PTI is needed to mitigate the vulnerability)

Esta información puede variar si hemos parcheado el kernel.

Pin It

Escribir un comentario


Código de seguridad
Refescar



Redes:



 

Suscribete / Newsletter

Suscribete a nuestras Newsletter y periódicamente recibirás un resumen de las noticias publicadas.

Donar a LinuxParty

Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?


Tutorial de Linux

Nos obligan a moslestarte con la obviedad de que este sitio utiliza Cookies. Ver política