Linux에서 CPU 멜트다운 취약성을 확인하고 패치하는 방법

멜트다운은 사용자 프로그램과 운영 체제 간의 가장 근본적인 격리를 깨뜨리는 칩 수준의 보안 취약점입니다. 이를 통해 프로그램은 운영 체제 커널 및 기타 프로그램의 개인 메모리 영역에 액세스하고 암호, 암호화 키 및 기타 비밀과 같은 민감한 데이터를 훔칠 수 있습니다.

Spectre는 서로 다른 프로그램 간의 격리를 깨뜨리는 칩 수준의 보안 결함입니다. 이를 통해 해커는 오류 없는 프로그램을 속여 중요한 데이터를 유출할 수 있습니다.

이러한 결함은 모바일 장치, 개인용 컴퓨터 및 클라우드 시스템에 영향을 미칩니다. 클라우드 제공업체의 인프라에 따라 다른 고객의 데이터에 액세스하거나 데이터를 훔치는 것이 가능할 수 있습니다.

우리는 Linux 시스템을 검사하여 커널에 멜트다운 및 스펙터 공격에 대해 알려진 올바른 완화 조치가 적용되어 있는지 확인하는 유용한 쉘 스크립트를 발견했습니다.

spectre-meltdown-checker는 Linux 시스템이 3가지 "예측 실행" CVE(예측 실행)에 취약한지 확인하는 간단한 쉘 스크립트입니다. >일반적인 취약점 및 노출)은 올해 초에 공개되었습니다. 일단 실행하면 현재 실행 중인 커널을 검사합니다.

선택적으로 여러 커널을 설치했고 실행 중이 아닌 커널을 검사하려는 경우 명령줄에서 커널 이미지를 지정할 수 있습니다.

시스템에 광고된 커널 버전 번호를 고려하지 않고 백포트된 바닐라가 아닌 패치를 포함한 완화 조치를 감지하려고 크게 노력합니다. 정확한 정보를 얻으려면 sudo 명령을 사용하여 루트 권한으로 이 스크립트를 실행해야 합니다.

git clone https://github.com/speed47/spectre-meltdown-checker.git 
cd spectre-meltdown-checker/
sudo ./spectre-meltdown-checker.sh

위 스캔 결과에 따르면 우리의 테스트 커널은 3개의 CVE에 취약합니다. 또한 이러한 프로세서 버그에 대해 주의해야 할 몇 가지 중요한 사항은 다음과 같습니다.

• 시스템에 취약한 프로세서가 있고 패치가 적용되지 않은 커널을 실행하는 경우 정보 유출 가능성 없이 민감한 정보를 다루는 것은 안전하지 않습니다.
• 다행스럽게도 Meltdown 및 Spectre에 대한 소프트웨어 패치가 있으며 자세한 내용은 Meltdown 및 Spectre 연구 홈페이지에서 제공됩니다.

최신 Linux 커널은 이러한 프로세서 보안 버그를 방지하기 위해 재설계되었습니다. 따라서 커널 버전을 업데이트하고 서버를 재부팅하여 표시된 대로 업데이트를 적용하세요.

sudo yum update      [On CentOS/RHEL]
sudo dnf update      [On Fedora]
sudo apt-get update  [On Debian/Ubuntu]
pacman -Syu          [On Arch Linux]

재부팅한 후 spectre-meltdown-checker.sh 스크립트를 사용하여 다시 검사하세요.

spectre-meltdown-checker Github 저장소에서 CVE 요약을 찾을 수 있습니다.