Защита от Meltdown|Spectre в Unix/Linux

Защита от Meltdown|Spectre в Unix/Linux

Meltdown нарушает самую фундаментальную изоляцию между пользовательскими приложениями и операционной системой. Эта атака позволяет программе получать доступ к памяти, а также к скрытым возможностям других программ и операционной системы. Если ваш компьютер имеет уязвимый процессор и запускает незагруженную операционную систему, небезопасно работать с конфиденциальной информацией без утечки информации. Это относится как к персональным компьютерам (ПК), так и к облачной инфраструктуре.

Spectre нарушает изоляцию между различными приложениями. Это позволяет злоумышленнику обманывать программы и выполнять утечку данных.

Защита от Meltdown|Spectre в Unix/Linux

Микрокод — это код для процессора (его прошивка), поставляемая Intel или AMD. Ядро Linux может обновлять прошивку процессора без обновления BIOS во время загрузки. Микрокод процессора хранится в ОЗУ, а ядро обновляет микрокод во время каждой загрузки.

И так, проверим статус микрокода:

$ dmesg | grep microcode

Обратите внимание, что вполне возможно, что для вашего процессора нет обновления микрокода. В этом случае он будет выглядеть следующим образом:

[ 0.952699] microcode: sig=0x306a9, pf=0x10, revision=0x1c
[ 0.952773] microcode: Microcode Update Driver: v2.2.

Исправление для CentOS/RedHat/Fedora:

# yum install microcode_ctl linux-firmware -y

Исправление для Debian/Ubuntu:

# apt install intel-microcode -y

Исправление для Mac OS X:

Пока Apple не выпустила обновление (10.01.2018).

После обновления, выполняем ребут ОС:

$ sudo reboot

Потом,смотрим что получилось:

# dmesg | grep 'microcode'

Получаем что-то типа:

[    0.000000] microcode: microcode updated early to revision 0x1c, date = 2015-02-26
[    1.604672] microcode: sig=0x306a9, pf=0x10, revision=0x1c
[    1.604976] microcode: Microcode Update Driver: v2.01 <tigran@aivazian.fsnet.co.uk>, Peter Oruba

Вот и все, статья «Защита от Meltdown|Spectre в Unix/Linux» завершена.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *