Comment vérifier et corriger la vulnérabilité du processeur Meltdown sous Linux
Meltdown est une vulnérabilité de sécurité au niveau de la puce qui brise l'isolement le plus fondamental entre les programmes utilisateur et le système d'exploitation. Il permet à un programme d’accéder aux zones de mémoire privée du noyau du système d’exploitation et d’autres programmes, et éventuellement de voler des données sensibles, telles que des mots de passe, des clés de chiffrement et d’autres secrets.
Spectre est une faille de sécurité au niveau de la puce qui brise l'isolement entre les différents programmes. Il permet à un pirate informatique de tromper des programmes sans erreur pour qu'ils divulguent leurs données sensibles.
Ces failles affectent les appareils mobiles, les ordinateurs personnels et les systèmes cloud ; en fonction de l’infrastructure du fournisseur de cloud, il peut être possible d’accéder/voler les données d’autres clients.
Nous sommes tombés sur un script shell utile qui analyse votre système Linux pour vérifier si votre noyau dispose des mesures d'atténuation correctes connues contre les attaques Meltdown et Spectre.
spectre-meltdown-checker est un simple script shell pour vérifier si votre système Linux est vulnérable aux 3 « exécutions spéculatives » CVE (Vulnérabilités et expositions courantes) qui ont été rendues publiques au début de cette année. Une fois que vous l'aurez exécuté, il inspectera votre noyau actuellement en cours d'exécution.
Facultativement, si vous avez installé plusieurs noyaux et que vous souhaitez inspecter un noyau que vous n'exécutez pas, vous pouvez spécifier une image du noyau sur la ligne de commande.
Il tentera de manière significative de détecter les atténuations, y compris les correctifs non-vanilla rétroportés, sans tenir compte du numéro de version du noyau annoncé sur le système. Notez que vous devez lancer ce script avec les privilèges root pour obtenir des informations précises, à l'aide de la commande sudo.
git clone https://github.com/speed47/spectre-meltdown-checker.git
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh
D'après les résultats de l'analyse ci-dessus, notre noyau de test est vulnérable aux 3 CVE. De plus, voici quelques points importants à noter concernant ces bugs du processeur :
- Si votre système dispose d'un processeur vulnérable et exécute un noyau non corrigé, il n'est pas sûr de travailler avec des informations sensibles sans risque de fuite de ces informations.
- Heureusement, il existe des correctifs logiciels contre Meltdown et Spectre, avec des détails fournis sur la page d'accueil de la recherche Meltdown et Spectre.
Les derniers noyaux Linux ont été repensés pour corriger ces bugs de sécurité du processeur. Mettez donc à jour la version de votre noyau et redémarrez
le serveur pour appliquer les mises à jour comme indiqué.
sudo yum update [On CentOS/RHEL]
sudo dnf update [On Fedora]
sudo apt-get update [On Debian/Ubuntu]
pacman -Syu [On Arch Linux]
Après le redémarrage, assurez-vous de scanner à nouveau avec le script spectre-meltdown-checker.sh.
Vous pouvez trouver un résumé des CVE dans le référentiel Github de spectre-meltdown-checker.