TOP

Comprobar si somos vulnerables a meltdown y spectre

En el momento de escribir esta entrada, muchos andamos pendiente de todas esas vulnerabilidades con las que tanto nos llevan asustando últimamente.

Hay ya bastante información sobre ¿qué son? y en el caso de intel tal vez lo que más nos preocupa es si se notará realmente la bajada de rendimiento que llevamos oyendo un tiempo.

Por ahora y como mensaje tranquilizador estamos recibiendo parches para algunas y debemos dar las gracias a todos esos investigadores, desarrolladores, pentesting y más personas que han colaborado para mejorar nuestra seguridad. En la mayoría de los casos sin tener nada que ver con las empresas responsables.


Las 3 vulnerabilidades más importantes

En estos momentos las vulnerabilidades más importantes (como ya sabréis las dos primeras también afectan a otros fabricantes además de intel como amd y arm en algunos modelos) son las 3 siguientes:
  • CVE-2017-5753 → Es la variante 1 de Spectre.
  • CVE-2017-5715 → Es la variante 2 de Spectre.
  • CVE-2017-5754 → El famoso Meltdown el cual su parche disminuye rendimiento en nuestros dispositivos intel.


¿Qué podemos hacer?

No se puede hacer demasiado por parte de un usuario normal, sino esperar y actualizar a diario nuestra distribución GNU/Linux.

Además hay ya ciertas tablas donde nos muestran si nuestro CPU está afectado, también podemos consultar el "bugtrack" de la distribución que usamos para seguir la pista.

Intel nos pone a nuestra disposición una lista con todos los modelos afectados por meltdown y espectre:
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

Ver como avanza el parche denuestra distribución

No puedo poner todas las distribuciones pues sería demasiado laborioso, pero como ejemplo os muestro el de debian, gentoo y Red Hat que son los sistemas que actualmente uso o tengo más contacto pero la mayoría de las distribuciones están informando sobre ello:
Debian:
https://security-tracker.debian.org/tracker/CVE-2017-5754

Gentoo:
https://bugs.gentoo.org/show_bug.cgi?id=CVE-2017-5754

Red Hat:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-5754

Comprobar kernel con parche para la vulnerabilidad de Intel

Gracias a @speed47 disponemos en su repositorio de GitHub una herramienta que nos comprueba las 3 últimas vulnerabilidades pendientes de corregir.

Al momento de escribir esta entrada no tengo aún ninguna resuelta:


Los pasos para comprobar en nuestro sistema los bugs/vulnerabilidades que aún continúan por corregirse y por lo tanto andamos expuestos





Descargamos repositorio a nuestro equipo:
git clone https://github.com/speed47/spectre-meltdown-checker.git







Entramos al directorio del repositorio descargado:

cd spectre-meltdown-checker





Ejecutamos el script que nos dirá las vulnerabilidades:

sudo ./spectre-meltdown-checker.sh

0 comentarios: