Cómo comprobar las vulnerabilidades de Spectre y Meltdown y parchearlas en GNU/Linux

 

A principios de esta semana, un equipo de investigadores del Proyecto Zero de Google descubrió las vulnerabilidades de Meltdown y Spectre que afectaron a muchos procesadores modernos, incluidos ciertos procesadores de Intel, AMD y ARM. Aunque AMD ha afirmado que sus procesadores no tienen ninguna posibilidad de verse afectados por estos defectos, los investigadores han indicado que la vulnerabilidad Meltdown es exclusiva de los procesadores Intel, mientras que la vulnerabilidad Spectre puede afectar a algunos procesadores Intel, AMD y ARM.

Según Wired, “los fabricantes de Intel, AMD y ARM están trabajando estrechamente y colaborando con compañías de hardware que envían sus procesadores y compañías de software como Apple, Google, Microsoft, la base de Linux para lanzar parches para estos fallos de seguridad. No podemos asegurar que los parches resuelvan completamente estos problemas. Pero, al menos, mejor de lo que parecía primero “.

¿Qué puedes hacer ahora mismo?

Greg Kroah-Hartman ya ha anunciado el lanzamiento de los núcleos estables 4.14.12, 4.9.75 y 4.4.110 que vienen con fusiones y correcciones de Spectre. Entonces, ya sea que estés utilizando un procesador Intel o AMD o ARM, se recomienda verificar si tu sistema Linux se ve afectado por las vulnerabilidades de Meltdown y Spectre. Si tu sistema se ve afectado, debes aplicarle un parche inmediatamente actualizando el último kernel de Linux. Si tu distribución de Linux aún no tiene las últimas actualizaciones del kernel de Linux, se recomienda encarecidamente cambiar tu distribución de Linux ahora mismo.

Comprobar la fusión y las vulnerabilidades de Spectre

En Arch Linux y derivados, puedes averiguar si tu sistema se ve afectado por vulnerabilidas utilizando los dos comandos siguientes.

$ zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz
$ dmesg | grep iso

Si los comandos anteriores no devuelven NADA, tu sistema aún no está parcheado. Por lo tanto, debes actualizar tu sistema basado en Arch usando el comando:

sudo pacman -Syu

Después de actualizar completamente Arch, reinicia y ejecuta los comandos anteriores nuevamente. Si tu sistema está parcheado, deberías ver la siguiente salida para el primer comando:

CONFIG_PAGE_TABLE_ISOLATION=y

Y obtendrás esta salida para el segundo comando.

[ 0.000000] Kernel/User page tables isolation: enabled

 

 

 

 

 

 

 

 

 

Ya he actualizado Kernel en mi sistema Arch. Como puedes ver en el resultado anterior, mi kernel de Linux es 4.14.12-1-ARCH y ya está parcheado. Si aún no actualizaste tu sistema Arch, no obtendrás ningún resultado.

Los comandos anteriores podrían no funcionar en Ubuntu. Afortunadamente, algunos buenos samaritanos en el foro Askubuntu han publicado una solución alternativa para encontrar si sus sistemas Ubuntu están parcheados o no parcheados usando cualquiera de los siguientes comandos.

$ grep CONFIG_PAGE_TABLE_ISOLATION=y /boot/config-`uname -r` && echo "patched :)" || echo "unpatched :("
$ grep cpu_insecure /proc/cpuinfo && echo "patched :)" || echo "unpatched :("
$ dmesg | grep "Kernel/User page tables isolation: enabled" && echo "patched :)" || echo "unpatched :("

Si la salida no está parcheada, tu sistema aún no está parcheado. Actualiza el núcleo inmediatamente para aplicar los parches.

Todavía utilizo 4.4.0-104-generic en mi sistema Ubuntu, por lo que me quedan ‘sin parchear’ en el resultado para todos los comandos.

 

 

Actualiza tu kernel inmediatamente usando el comando:

sudo apt-get update
sudo apt-get dist-upgrade

O como se describe en el enlace de abajo (en inglés)

Después de actualizar tu kernel, ejecuta esos tres comandos nuevamente, ¡y verás que su sistema Ubuntu está parcheado!

 

 

Para otras distribuciones de Linux, hay un script llamado “Spectre & Meltdown Checker” para verificar las vulnerabilidades de Meltdown/Spectre. Esta secuencia de comandos ayudará a determinar si tu instalación de Linux es vulnerable frente a las 3 CVE de “ejecución especulativa“.

Clona este script:

git clone https://github.com/speed47/spectre-meltdown-checker.git

 

Esto clonará todos los contenidos en un directorio llamado “specter-meltdown-checker” en tu directorio de trabajo actual.

Ir a ese directorio:

cd spectre-meltdown-checker/

Haz ejecutable el script:

chmod +x spectre-meltdown-checker.sh

Finalmente ejecútalo para encontrar las vulnerabilidades:

sudo ./spectre-meltdown-checker.sh

Aquí está la salida de muestra de mi sistema Ubuntu parcheado:

 

 

 

Sin opciones, inspeccionará que actualmente esté ejecutando el kernel. También puede especificar una imagen del kernel en la línea de comando, si deseas inspeccionar un núcleo que no está ejecutando.

Como ya mencioné, es muy recomendable mantener el kernel y tu sistema y todo el software actualizado, ya que también recibe muchas otras soluciones de seguridad.

Para actualizar tu Arch Linux, ejecuta:

sudo pacman -Syu

Para Debian, Ubuntu:

sudo apt-get update && sudo apt-get dist-upgrade

Para Fedora:

sudo dnf update

Para RHEL/CentOS:

sudo yum update

No olvides de reiniciar después de actualizar.

Fuente

Comparte

(Artículo visitado 8 veces, 1 visitas hoy)

3
Responder

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
3 Hilo de comentarios
0 Hilo de respuestas
0 Seguidores
 
Comentario más reaccionado
Hilo de comentarios más populares
2 Autores de comentarios
Sinfónicoroberto gutierrez c Autores de comentarios más recientes

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

  Suscribirse  
+ nuevos + antiguos + votados
Notificarme de
roberto gutierrez c
Invitado
roberto gutierrez c

Excelente aporte, muchas gracias

roberto gutierrez c
Invitado
roberto gutierrez c

Verificado en manjaro gnome, nucleo 4.11.3, parcheado…

Sinfónico
Invitado
Sinfónico

Ubuntu también lo ha parcheado hoy mismo