Обновление ядра ОС GNU/Linux и ОС для применения механизма KPTI
|
|
В данной инструкции приведен пример обновления ОС ОС GNU/Linux для применения механизма KPTI на примере RHEL/Centos,который позволит избежать потенциальные риски в связи с наличием уязвимостей “Meltdown” и “Spectre”. Уязвимость Meltdown (CVE-2017-5754) позволяет приложению прочитать содержимое любой области памяти компьютера, включая память ядра и других пользователей.
Уязвимость Spectre (CVE-2017-5753, CVE-2017-5715) создает брешь в механизме изоляции памяти приложений и позволяет атакующему обманным способом получить данные чужого приложения (только приложения, но не памяти ядра).
На данный момент разработчики дистрибутивов GNU/Linux выпустили патчи (применение механизма KPTI), позволяющие избежать уязвимость Meltdown. К примеру, для дистрибутивов RHEL/CentOS Вы можете проверить версии ядра на присутствие патча и обновить ядро, выполнив указанные ниже команды. Проверка наличия патча: [root@centos7 ~]# uname -a
Linux centos7 3.10.0-693.5.2.el7.x86_64 #1 SMP Fri Oct 20 20:32:50 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
[root@centos7 ~]# dmesg | grep 'x86/pti'
[root@centos7 ~]# cat /sys/kernel/debug/x86/pti_enabled
cat: /sys/kernel/debug/x86/pti_enabled: No such file or directory
Видим, что механизм KPTI не применен.
В данном случае необходимо выполнить обновление ядра операционной системы.
Обновление выполняется следующей командой: [root@centos7 ~]# yum update kernel В процессе обновления ядра у Вас запросят подтверждение, пожалуйста, подтвердите его, нажав “y” на клавиатуре. ….
Is this ok [y/d/N]: y
….
Для того, чтобы все обновления пакетов вступили в силу - завершите работу Ваших приложений и выполните перезагрузку системы командой reboot: [root@centos7 ~]# reboot
Connection to 192.168.122.70 closed by remote host. Connection to 192.168.122.70 closed. В меню загрузки GRUB (см. рисунок) появится ядро 3.10.0-693.11.6.el7.x86_64 (либо с более высокой версией), в котором уже будет применен необходимый патч:
По прошествии пяти секунд необходимое ядро ОС будет загружено и можно будет выполнить проверку наличия защитного механизма KPTI (Kernel page-table isolation). Наличие механизма KPTI можно проверить следующими командами: [root@centos7 ~]# uname -a
Видим, что в данном случае механизм KPTI применен. Ссылки на внешние источники: https://ru.wikipedia.org/wiki/Meltdown_(%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C) https://ru.wikipedia.org/wiki/Spectre_(%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C) https://spectreattack.com/ https://access.redhat.com/security/vulnerabilities/speculativeexecution https://access.redhat.com/errata/RHSA-2018:0008 | |
Если решение вопроса найти не удалось, Вы можете отправить нам заявку: |