Обновление ядра ОС GNU/Linux и ОС для применения механизма KPTI -

Авторизация на портале поддержки осуществляется в личном кабинете my.active.by (my.activecloud.ru), вкладка Поддержка. Благодарим за понимание.

База знаний

(6)Документы, правила, SLA (53)Личный кабинет (биллинг) (11)Услуги и тарифы (11)Вопросы по бухгалтерии, БелГИЭ, переоформлению услуг (83)Облачные серверы (70)Почта (129)Виртуальный хостинг (31)Конструктор сайтов (30)Домены, DNS (13)SSL-сертификаты (11)Резервное копирование (BaaS) (19)Мониторинг IT-инфраструктуры (30)Аренда ПО и приложений (SaaS) (16)Объектное хранилище ActiveStorage (87)Программное обеспечение ПО (4)Лечение сайтов от вирусов (13)Руководства пользователя (11)Партнерская программа (6)Общие технические вопросы

База знаний: Безопасность

Обновление ядра ОС GNU/Linux и ОС для применения механизма KPTI

Автор:

В данной инструкции приведен пример обновления ОС ОС GNU/Linux для применения механизма KPTI на примере RHEL/Centos,который позволит избежать потенциальные риски в связи с наличием уязвимостей “Meltdown” и “Spectre”.

Уязвимость Meltdown (CVE-2017-5754) позволяет приложению прочитать содержимое любой области памяти компьютера, включая память ядра и других пользователей.

Уязвимость Spectre (CVE-2017-5753, CVE-2017-5715) создает брешь в механизме изоляции памяти приложений и позволяет атакующему обманным способом получить данные чужого приложения (только приложения, но не памяти ядра).

На данный момент разработчики дистрибутивов GNU/Linux выпустили патчи (применение механизма KPTI), позволяющие избежать уязвимость Meltdown.

К примеру, для дистрибутивов RHEL/CentOS Вы можете проверить версии ядра на присутствие патча и обновить ядро, выполнив указанные ниже команды.

Проверка наличия патча:

[root@centos7 ~]# uname -a

Linux centos7 3.10.0-693.5.2.el7.x86_64 #1 SMP Fri Oct 20 20:32:50 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

[root@centos7 ~]# dmesg | grep 'x86/pti'

[root@centos7 ~]# cat /sys/kernel/debug/x86/pti_enabled

cat: /sys/kernel/debug/x86/pti_enabled: No such file or directory

Видим, что механизм KPTI не применен.

В данном случае необходимо выполнить обновление ядра операционной системы.

Обновление выполняется следующей командой:

[root@centos7 ~]# yum update kernel

В процессе обновления ядра у Вас запросят подтверждение, пожалуйста, подтвердите его, нажав “y” на клавиатуре.

….

Is this ok [y/d/N]: y

….

Для того, чтобы все обновления пакетов вступили в силу - завершите работу Ваших приложений и выполните перезагрузку системы командой reboot:

[root@centos7 ~]# reboot
Connection to 192.168.122.70 closed by remote host.
Connection to 192.168.122.70 closed.

В меню загрузки GRUB (см. рисунок) появится ядро 3.10.0-693.11.6.el7.x86_64 (либо с более высокой версией), в котором уже будет применен необходимый патч:

По прошествии пяти секунд необходимое ядро ОС будет загружено и можно будет выполнить проверку наличия защитного механизма KPTI (Kernel page-table isolation).

Наличие механизма KPTI можно проверить следующими командами:

[root@centos7 ~]# uname -a
Linux centos7 3.10.0-693.11.6.el7.x86_64 #1 SMP Thu Jan 4 01:06:37 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

[root@centos7 ~]# cat /sys/kernel/debug/x86/pti_enabled
1

[root@centos7 ~]# dmesg | grep 'x86/pti'
[ 0.000000] x86/pti: Unmapping kernel while in userspace

Видим, что в данном случае механизм KPTI применен.

Ссылки на внешние источники:

https://ru.wikipedia.org/wiki/Meltdown_(%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C)

https://ru.wikipedia.org/wiki/Spectre_(%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C)

https://spectreattack.com/ https://access.redhat.com/security/vulnerabilities/speculativeexecution https://access.redhat.com/errata/RHSA-2018:0008

Если решение вопроса найти не удалось, Вы можете отправить нам заявку:

Отправить заявку

(2 голос(а))

Эта статья помогла

Эта статья не помогла

ActiveCloud