保護您的服務器免受 Meltdown 和 Spectre 漏洞的影響

已發表: 2018-01-16

您可能不知道世界上大多數計算機處理器都容易受到 Meltdown 和 Spectre 漏洞的影響。 什麼是 Meltdown 和 Spectre,您應該如何保護您的服務器? 在本文中,我們將看看這些漏洞,並討論受影響的主要硬件供應商。 最重要的是,我們將解釋您應該在 Windows 和 Linux 服務器上採取哪些步驟來保護您的數據。

讓我們潛入吧!

什麼是 Meltdown 和 Spectre 漏洞?

Meltdown 和 Spectre 是計算機處理器中的嚴重漏洞。 它們允許程序在運行時洩漏信息,從而使黑客可以使用該信息。 現代計算機系統的設置使得程序無法訪問其他程序的數據,除非用戶明確允許這種情況發生。 Meltdown 和 Spectre 漏洞使攻擊者可以在未經用戶許可的情況下(通常在用戶不知情的情況下)訪問程序數據。 這意味著攻擊者可能會訪問您的個人照片、電子郵件、您存儲在瀏覽器密碼管理器中的任何密碼、即時消息、公司文件、納稅申報表等。

Meltdown允許任何應用程序訪問整個系統內存。 需要操作系統補丁和固件更新來緩解此漏洞。

為什麼叫熔斷?
此漏洞“融化”了為保護您的敏感信息而設置的安全邊界。

另一方面, Spectre允許一個應用程序強制另一個應用程序訪問其內存的某些部分。 這個漏洞比 Meltdown 更難利用,但也更難緩解。

為什麼叫幽靈?
該名稱基於作為漏洞根本原因的進程“推測執行”。 (另外,因為它很難修復並且會困擾我們一段時間!)

哪些硬件供應商受到影響?

英特爾的核心架構和 AMD 處理器受影響最大。 但是,這些漏洞有 131 多家受影響的供應商。

哪些設備會受到 Meltdown 的影響?
台式機、筆記本電腦和雲計算機都受到 Meltdown 的影響。 除了 Intel Itanium 和 Atom 之外,1995 年之後製造的所有使用推測執行的 Intel 處理器都可能受到影響。 2013 年之後製造的安騰和 Atom 處理器不受 Meltdown 的影響。

Spectre 會影響哪些設備?
Spectre 影響台式機、筆記本電腦、雲服務器和智能手機。 所有現代處理器都可能受到 Spectre 漏洞的影響。 Spectre 已在 Intel、AMD 和 ARM 處理器上得到確認。

如何保護您的 Windows 服務器免受 Meltdown 和 Spectre 漏洞的影響?

檢查您的 Windows 系統是否易受攻擊非常重要。 如果是,您將需要採取行動。 我們為您提供分步說明,讓您輕鬆上手。

如何檢查您的 Windows 服務器是否受到這些漏洞的保護?

  1. 登錄到您的服務器並以管理員身份運行Windows PowerShell並運行以下命令:
     安裝模塊推測控制

  2. 鍵入“ Y ”並按 Enter 以啟用 NuGet 提供程序。
  3. 如果系統詢問您是否要從不受信任的來源安裝軟件包,請鍵入“ Y ”並按 Enter - 這很好!
  4. 運行以下命令保存當前的執行策略。
     $SaveExecutionPolicy = 獲取執行策略
  5. 運行以下命令以確保您可以在下一步中導入模塊。
     Set-ExecutionPolicy RemoteSigned -Scope Currentuser
  6. 鍵入“ Y ”並按 Enter 確認執行策略更改。
  7. 運行以下命令導入 SpeculationControl 模塊。
     導入模塊推測控制
  8. 最後,運行以下命令以確保您的設備具有必要的更新。
     獲取 SpeculationControlSettings

您將能夠查看您的服務器是否仍然容易受到 Meltdown 和 Spectre 安全漏洞的攻擊。 此屏幕截圖顯示了一個未受保護的 Windows 系統。

如何保護您的 Windows 服務器免受這些漏洞的影響?

Microsoft 與 CPU 供應商合作並發布了重要的安全更新。 您將需要:

  1. 安裝所有安全更新。
  2. 應用來自 OEM 設備製造商的適用固件更新。

當您檢查 Windows 更新時,您可能無法獲得 2018 年 1 月發布的安全更新。為了獲得這些更新,您需要在虛擬服務器上添加以下註冊表​​項:

鍵 = “HKEY_LOCAL_MACHINE”子鍵 = “SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” 值 =”cadca5fe-87d3-4b96-b7fb-a231484277cc”
類型= “REG_DWORD”
數據= “0x00000000”

添加此註冊表項後,重新啟動服務器。 系統再次啟動後,檢查更新。 安裝所有新更新並再次重新啟動服務器。

您還需要確保已安裝以下安全補丁:

Windows Server,版本 1709(服務器核心安裝)– 4056892
Windows 服務器 2016 – 4056890
Windows Server 2012 R2 – 4056898
Windows Server 2008 R2 – 4056897

如果您仍然看到這些補丁沒有安裝,您可以從更新代碼中提到的鏈接下載它們。

更新系統並應用 OEM 設備製造商提供的所需固件更新後,再次從 Windows PowerShell 運行以下命令以確保您的服務器安全:

$SaveExecutionPolicy = 獲取執行策略
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
導入模塊推測控制
獲取 SpeculationControlSettings
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

你現在已經脫離危險區了! 此屏幕截圖顯示了一個受 Spectre 和 Meltdown 漏洞保護的 Windows 系統。

如何保護 Linux 服務器免受 Meltdown 和 Spectre 漏洞的影響?

因為這些漏洞是基於硬件的,所以幾乎所有的 Linux 系統都會受到它們的影響。 許多 Linux 發行版已經發布了軟件更新,通過禁用或解決導致漏洞的處理器行為來緩解 Meltdown 和 Spectre。 Linux 系統尚未完全修補。

以下是發布了部分緩解內核更新的 Linux 發行版列表:

  • CentOS 7:內核 3.10.0-693.11.6
  • CentOS 6:內核 2.6.32-696.18.7
  • Fedora 27:內核 4.14.11-300
  • Fedora 26:內核 4.14.11-200
  • Ubuntu 17.10:內核 4.13.0-25-generic
  • Ubuntu 16.04:內核 4.4.0-109-generic
  • Ubuntu 14.04:內核 3.13.0-139-generic
  • Debian 9:內核 4.9.0-5-amd64
  • Debian 8:內核 3.16.0-5-amd64
  • Debian 7:內核 3.2.0-5-amd64
  • Fedora 27 Atomic:內核 4.14.11-300.fc27.x86_64
  • CoreOS:內核 4.14.11-coreos

如果內核版本至少更新到上述版本,則已應用了一些更新。 FreeBSD 發行版,截至 2018 年 1 月 12 日,仍未發布任何內核更新。 Ubuntu 17.04 將於 2018 年 1 月 13 日達到 EOL(生命週期結束),並且不會收到任何更新。

以下是您可以採取的步驟來檢查和修復 CentOS 7.x 中的 Spectre 和 Meltdown 漏洞。

要檢查漏洞,請運行以下命令:

  1. 檢查當前的操作系統版本。
    lsb_release -d
  2. 檢查當前內核版本。
    unname -a
  3. 檢查系統是否易受攻擊。
    光盤 /tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh spectre-meltdown-checker.sh

    上面的截圖是 CentOS 7.x 的輸出,當它沒有修復 Meltdown/Spectre 漏洞時。

  4. 您需要運行以下命令來安裝新補丁。
    須藤百勝更新
  5. yum更新的主要原因是我們需要更新內核版本。 安裝補丁後,使用以下命令重新啟動。
    重啟
  6. 一旦您的計算機再次啟動,您可以使用以下命令再次檢查漏洞。
    sudo sh spectre-meltdown-checker.sh

    您可以看到此屏幕截圖顯示 Spectre Variant 1 和 Meltdown 不存在漏洞。

結論

Meltdown 和 Spectre 是嚴重的漏洞。 它們繼續被利用,其損害的總體影響尚未確定。

我們強烈建議您使用最新的操作系統和供應商發布的最新固件更新為您的系統打補丁。