मेल्टडाउन और स्पेक्टर वे हाल के दिनों के रुझान हैं, व्यावहारिक रूप से किसी और चीज के बारे में बात नहीं की जाती है और यह कोई आश्चर्य की बात नहीं है, क्योंकि वे शायद इतिहास की सबसे महत्वपूर्ण कमजोरियां हैं। वे हमारे सिस्टम की सुरक्षा को गंभीर रूप से प्रभावित करते हैं और यदि सिस्टम किसी कंपनी का है या आपके पास प्रासंगिक डेटा है, तो समस्या अधिक गंभीर है। हालाँकि, यह हमेशा सोचा जाता है कि केवल डेस्कटॉप कंप्यूटर, लैपटॉप, सर्वर और सुपर कंप्यूटर ही प्रभावित होते हैं, लेकिन क्षति आगे बढ़ती है और कई और उपकरणों को प्रभावित करती है, जैसे कि एआरएम कोर पर आधारित और इसमें टैबलेट, स्मार्टफोन और कुछ IoT, औद्योगिक डिवाइस शामिल हैं , होम ऑटोमेशन, यहां तक कि कनेक्टेड कारें भी।
जैसा कि आप अच्छी तरह से जानते हैं, यह किसी भी तरह से लिनक्स के लिए अद्वितीय नहीं है, बल्कि विभिन्न ऑपरेटिंग सिस्टम को प्रभावित करता है, Microsoft Windows और macOS भी इससे प्रभावित होते हैं, बिना iOS और Android को भूल गए। इसलिए कुछ लोग इन खतरों से बच जाते हैं, हालांकि यह सच है कि कुछ सीपीयू आर्किटेक्चर को बख्शा गया है और अगर हमारे पास एक एएमडी चिप है, तो इन कमजोरियों का फायदा उठाने की संभावना कम है, लेकिन इसका मतलब यह नहीं है कि कोई जोखिम नहीं है।
लिनक्स के लिए वर्तमान स्थिति क्या है?
लिनक्स मूल रूप से दुनिया को स्थानांतरित करता हैहालांकि कई लोग मानते हैं कि यह एक ऐसी प्रणाली है जिसका उपयोग शायद ही कभी किया जाता है, यह विपरीत है। संभवतः यह उस पहलू में विफल हो गया है जो इसे डेस्कटॉप के लिए बनाया गया था और यह वास्तव में एकमात्र क्षेत्र है जहां यह अल्माइटी विंडोज की तुलना में अल्पसंख्यक है और मैक के पास एक अच्छे हिस्से की तुलना में है। यदि हम एम्बेडेड या एम्बेडेड डिवाइस पर जाते हैं। सर्वर, सुपर कंप्यूटर, आदि, लिनक्स प्रमुख है और यह वास्तव में इंटरनेट सर्वर है जिसमें यह महत्वपूर्ण हो जाता है और इसके बिना यह व्यावहारिक रूप से कहा जा सकता है कि इंटरनेट गिर जाएगा ...
यही कारण है कि लिनक्स में पहले प्रतिक्रिया दी मेल्टडाउन और स्पेक्टर को पीछे छोड़ने वाली समस्याओं को हल करने के लिए किसी भी अन्य प्रणाली की तुलना में। पहले से लीनुस Torvalds उन्होंने इस मामले पर इंटेल से कठोर शब्दों में बात की और यदि आप एलकेएमएल पर नज़र डालें तो आप देखेंगे कि यह चिंता का विषय है और दिन का क्रम है। और उनके दाहिने हाथ के आदमी और लिनक्स कर्नेल विकास में नंबर दो, ग्रेग क्रोहा-हार्टमैन ने भी किया है। अधिक जानकारी के लिए आप परामर्श कर सकते हैं उनका निजी ब्लॉग जहाँ आपको पर्याप्त जानकारी मिलेगी।
- मंदी: मूल रूप से ग्रेग ने टिप्पणी की है कि मेल्टडाउन के बारे में CONFIG_PAGE_TABLE_ISOLATION को शामिल करने का चयन करके इसे x86 पर समाप्त किया जा सकता है, पृष्ठ तालिका अलगाव (PTI) AMD प्रोसेसर वाले कंप्यूटर, इससे प्रभावित नहीं, प्रदर्शन के साथ समस्याओं से बचने के लिए बचना चाहिए। आप यह भी जानते होंगे कि AMD चिप वाले कुछ कंप्यूटरों ने बूट करना बंद कर दिया है क्योंकि विंडोज पैच ने गंभीर समस्याएं उत्पन्न की हैं। पीटीआई को डिफ़ॉल्ट रूप से लिनक्स 4.15 में शामिल किया जाएगा, लेकिन सुरक्षा के संदर्भ में इसके महत्व के कारण इसे पिछले संस्करणों में शामिल किया जाएगा जैसे कि एलटीएस 4.14, 4.9 और 4.4 ... और शायद समय के साथ पैच को कई अन्य संस्करणों में शामिल किया जाएगा। , लेकिन धैर्य क्योंकि यह डेवलपर्स के लिए काम का एक अधिभार का मतलब है। और वे कुछ वर्चुअल मशीन सेटअप में vDSO जैसे पैच मुद्दों में भी चल रहे हैं। ARM64 के बारे में, मेल्टडाउन से थोड़ा प्रभावित है जो इंटेल में एक बड़ी समस्या है, कई मोबाइल उपकरणों और अन्य उपकरणों के चिप्स को भी पैच की आवश्यकता होती है, हालांकि ऐसा लगता है कि यह मुख्य कर्नेल पेड़ के साथ अल्पावधि में विलय नहीं होगा (शायद लिनक्स पर) 4.16, हालांकि ग्रेग ने टिप्पणी की है कि वे कभी नहीं पहुंच सकते हैं क्योंकि उन आवश्यक शर्तों के कारण जो पैच को अनुमोदित करने की आवश्यकता होती है) और इसलिए इसे विशिष्ट कर्नेल का उपयोग करने की सलाह दी जाती है, अर्थात, इसकी शाखाओं में एंड्रॉइड कॉमन कर्नेल 3.18, 4.4 और 4.9। ।
- काली छाया: दूसरी समस्या अधिक आर्किटेक्चर को प्रभावित करती है, और इससे निपटने के लिए अधिक जटिल है। ऐसा लगता है कि हमारे पास अल्पावधि में अच्छा समाधान नहीं होगा और हमें इस समस्या से कुछ समय के लिए सहवास करना होगा। इसके दो वेरिएंट में, इसे सिस्टम को पैच करने की आवश्यकता है और कुछ डिस्ट्रोफ के कुछ विकास समुदायों ने इसे कम करने के लिए पैच जारी करना शुरू कर दिया है, लेकिन प्रदान किए गए समाधान विविध हैं और फिलहाल वे मुख्य शाखा के हिस्से के रूप में एकीकृत नहीं होंगे। कर्नेल जब तक सर्वोत्तम समाधान सीपीयू डिजाइनरों द्वारा सबसे अच्छा समाधान के साथ आने से पहले देखा जाता है (उनके चिप्स को फिर से डिज़ाइन करें)। समाधानों का अध्ययन किया गया है और वे रास्ते में कुछ समस्याओं का पता लगा रहे हैं, जैसे कि स्पेक्टर के बारे में बढ़ी हुई अज्ञानता। डेवलपर्स को समस्या से निपटने का तरीका जानने के लिए कुछ समय चाहिए, और ग्रेग ने खुद टिप्पणी की है कि "यह हार्डवेयर से जुड़ी संभावित समस्याओं को कम करने के तरीकों को खोजने के लिए आने वाले वर्षों में अनुसंधान का एक क्षेत्र बनने जा रहा है, जो भविष्य में होने से पहले उन्हें भविष्यवाणी करने का भी प्रयास करेगा।"।
- Chrome बुक- यदि आपके पास एक Google लैपटॉप है, तो आपको यह जानकर खुशी होगी कि आप Meltdown को हल करने के लिए जो काम कर रहे हैं, उसकी स्थिति देख सकते हैं इस सूची में.
अगर मैं प्रभावित हूं तो आसानी से कैसे जांच करूं?
परामर्श तालिका या माइक्रोप्रोसेसरों की सूची के आसपास नहीं जाने के क्रम में, यहां हम एक स्क्रिप्ट प्रस्तावित करते हैं यह कि वे आसानी से जांचने में सक्षम होने के लिए बनाए गए हैं कि हम प्रभावित हैं या नहीं, हमें बस इसे डाउनलोड और चलाना है और यह हमें बताएगा कि हमें स्पेक्टर और मेलडाउन से खतरा है या नहीं। पालन करने के निर्देश या कदम सरल हैं:
git clone https://github.com/speed47/spectre-meltdown-checker.git cd spectre-meltdown-checker/ sudo sh spectre-meltdown-checker.sh
इसे निष्पादित करने के बाद, एक लाल बॉक्स यह इंगित करने के लिए दिखाई देगा कि क्या हम मेल्टडाउन या स्पेक्टर या एक हरे रंग के संकेतक के लिए असुरक्षित हैं अगर हम सुरक्षित हैं इन कमजोरियों के प्रकार। मेरे मामले में, उदाहरण के लिए, एएमडी एपीयू (सिस्टम को अपडेट किए बिना भी) होना, परिणाम रहा है:
यदि परिणाम लाल दृश्य में रहा है, तो निम्न अनुभाग पढ़ें ...
अगर मैं प्रभावित हूं तो क्या करें?
सबसे अच्छा समाधान, जैसा कि कुछ कहते हैं, सीपीयू या माइक्रोप्रोसेसर पर स्विच करना है जो समस्या से प्रभावित नहीं है। लेकिन यह कई उपयोगकर्ताओं के लिए बजट या अन्य कारणों की कमी के कारण संभव नहीं है। इसके अलावा, निर्माताओं जैसे इंटेल वे प्रभावित माइक्रोप्रोसेसरों को बेचना जारी रखते हैं और जो हाल ही में लॉन्च हुए हैं, जैसे कि कॉफी लेक, क्योंकि माइक्रोआर्किटेक्चर्स में लंबे समय तक विकास होता है और अब वे भविष्य के माइक्रोआर्किटेक्चर्स के डिजाइन पर काम कर रहे हैं जो अगले कुछ वर्षों में बाजार में दिखाई देंगे, लेकिन सभी चिप्स अब इसका व्यवसायीकरण किया जाएगा और आने वाले महीनों में इसका व्यवसायीकरण किया जाएगा और हार्डवेयर स्तर पर इसका असर रहेगा।
इसलिए, इस बीमारी से पीड़ित होने और इसे "ठीक" करने की आवश्यकता के मामले में, हमारे पास अपने ऑपरेटिंग सिस्टम (ब्राउज़र आदि को मत भूलना) को पैच करने के अलावा कोई विकल्प नहीं है, चाहे वह कुछ भी हो, और सभी अपडेट भी करें। सॉफ्टवेयर जो हमारे पास है। अगर अच्छी तरह से कॉन्फ़िगर किया गया है अद्यतन प्रणाली यह पहले से ही बहुत महत्वपूर्ण था, अब पहले से कहीं अधिक आप अद्यतनों के साथ अद्यतित रहना चाहिए, क्योंकि उनके साथ सॉफ्टवेयर साइड से मेल्टडाउन और स्पेक्टर समस्या को हल करने वाले पैच आएंगे, प्रदर्शन के नुकसान के बिना नहीं जैसा कि हमने पहले ही कहा था। ।।
समाधान उपयोगकर्ता के लिए जटिल नहीं है, हमें कुछ "विशेष" करने की ज़रूरत नहीं है, बस यह सुनिश्चित करें कि हमारे डिस्ट्रो के डेवलपर ने मेल्टडाउन और स्पेक्टर के लिए अपडेट जारी किया है और हमने इसे स्थापित किया है। इसके बारे में अधिक जानकारी.
यदि आप चाहते हैं, तो आप इस कमांड के साथ अपने डिस्ट्रो पर मेल्टडाउन के लिए पैच स्थापित किया गया था (यदि आवश्यक हो) देख सकते हैं:
dmesg | grep "Kernel/User page tables isolation: enabled" && echo "Tienes el parche! :)" || echo "Ooops...no tienes la actualización instalada en tu kernel! :("
*Ubuntu कर्नेल 4.4.0-108-जेनेरिक से सावधान रहेंकुछ उपयोगकर्ताओं ने अपडेट के बाद बूट करते समय अपने कंप्यूटर पर समस्याओं की रिपोर्ट की है और उन्हें पिछले संस्करण में वापस करना पड़ा है। लगता है कि इसे 4.4.0-109-जेनेरिक में हल किया गया है ...
प्रदर्शन का नुकसान: कुछ मामलों में 30% की बात थी, लेकिन यह माइक्रोआर्किटेक्चर पर निर्भर करेगा। पुराने आर्किटेक्चर में, प्रदर्शन का नुकसान बहुत गंभीर हो सकता है क्योंकि प्रदर्शन का लाभ जो इन आर्किटेक्चर का मुख्य रूप से ओओओई निष्पादन और टीएलबी द्वारा प्रदान किए गए सुधारों पर आधारित है ... अधिक आधुनिक आर्किटेक्चर में, यह 2% और 6 के बीच की बात की जाती है। घरेलू उपयोगकर्ताओं के लिए चल रहे सॉफ़्टवेयर के प्रकार के आधार पर, संभवतः डेटा केंद्रों में नुकसान बहुत अधिक हैं (20% से अधिक)। जैसा कि इंटेल ने खुद को पहचाना है, यह बताने के बाद कि उनके पास क्या आ रहा था, हसवेल (2015) से पहले प्रोसेसर में प्रदर्शन, प्रदर्शन ड्रॉप सामान्य उपयोगकर्ताओं के लिए 6% से भी अधिक खराब होगा ...
अपनी टिप्पणियों को छोड़ने के लिए मत भूलना आपके संदेह या सुझाव के साथ ...
बहुत अच्छी पोस्ट, बहुत बहुत धन्यवाद और बधाई। एएमडी एपीयू के साथ, मैंने स्क्रिप्ट को चलाया और सब कुछ ठीक था। कुछ चूने, दूसरों को रेत: और यह सोचने के लिए कि जब मैं इस टीम में शामिल हो गया, तो यह एक उत्कृष्ट पदोन्नति के कारण था जो एक चेन स्टोर में वर्षों पहले दिखाई दिया था और समय बीतने पर मैंने अपने भाग्य को शाप दिया कि जीएनयू के लिए मालिकाना एएमडी ड्राइवरों द्वारा जीते गए नरक / लिनक्स (समाप्ति के बाद, मैंने खुद को मुफ्त ड्राइवर्स को देने के लिए चुना और मुझे खुशी है, यह विंडोज 10 से बेहतर काम करता है)। मेरे पास समस्या से गंभीर रूप से प्रभावित मित्र हैं और उनके उपकरण वास्तव में i4 और i3 प्रोसेसर वाले पेंटियम 5 युग में वापस जाते हैं।
स्पेक्टर और मेल्टडाउन मिटिगेशन डिटेक्शन टूल v0.28
चलने वाले कर्नेल लिनक्स के खिलाफ कमजोरियों की जाँच 4.14.12-1-MANJARO # 1 SMP PREEMPT Sat 6 जनवरी 21:03:39 UTC 2018 x86_64
CPU इंटेल (R) कोर (TM) i5-2435M CPU @ 2.40GHz है
CVE-2017-5753 [सीमा जाँच बाईपास] उर्फ 'स्पेक्टर वेरिएंट 1'
* कर्नेल में LFENCE opcodes की गिनती की जाँच: नहीं
> स्थिति: व्यवहार्य (केवल 21 opcodes पाया, होना चाहिए> = 70, सरकारी पैच उपलब्ध होने पर सुधार करने के लिए अनुमानी)
CVE-2017-5715 [शाखा लक्ष्य इंजेक्शन] उर्फ 'स्पेक्टर वेरिएंट 2'
* शमन १
* शमन के लिए हार्डवेयर (सीपीयू माइक्रोकोड) समर्थन: नहीं
* IBRS के लिए कर्नेल समर्थन: नहीं
* कर्नेल स्थान के लिए IBRS सक्षम: नहीं
* उपयोगकर्ता अंतरिक्ष के लिए IBRS सक्षम: NO
* शमन १
* कर्नेल को रेटपॉलिन विकल्प के साथ संकलित किया गया: नहीं
* कर्नेल एक रेटपोलिन-अवगत संकलक के साथ संकलित: सं
> स्थिति: कमजोर (IBRS हार्डवेयर + कर्नेल समर्थन या रेटपॉलिन के साथ कर्नेल को भेद्यता को कम करने की आवश्यकता होती है)
CVE-2017-5754 [दुष्ट डेटा कैश लोड] उर्फ 'मेल्टडाउन' उर्फ 'वेरिएंट 3'
* कर्नेल पृष्ठ तालिका अलगाव (पीटीआई) का समर्थन करता है: हाँ
* पीटीआई सक्षम और सक्रिय: हाँ
> STATUS: घटिया नहीं (पीटीआई भेद्यता को कम करता है)
सुरक्षा का झूठा भाव किसी भी तरह की सुरक्षा से बदतर नहीं है, देखें-अस्वीकरण
इस हिस्से में मैं हां कहता हूं, और छवि में आप कहते हैं कि नहीं।
* पीटीआई सक्षम और सक्रिय: हाँ
इक्या करु
नमस्कार,
मैं मंज़रो का उपयोग नहीं करता, लेकिन मुझे लगता है कि वे एक अद्यतन पर काम करेंगे। इसलिए अपने सिस्टम को यथासंभव अद्यतित रखें। कर्नेल के नवीनतम संस्करण भी समाधान लागू करते हैं यदि आप उन्हें स्थापित करना चाहते हैं ...
एक ग्रीटिंग और पढ़ने के लिए धन्यवाद!
उबंटू में उन्होंने कर्नेल अपडेट के साथ मेल्टडाउन समस्या को हल किया, 4.13.0।
मैं पेपरमिंट 8 का उपयोग करता हूं और मेल्टडाउन भेद्यता परीक्षण करता हूं जो अब मुझे असुरक्षित नहीं बनाता है।
नमस्ते.
स्पेक्टर और मेल्टडाउन मिटिगेशन डिटेक्शन टूल v0.28
चलने वाले कर्नेल लिनक्स के खिलाफ कमजोरियों की जाँच 4.14.13-041413-जेनेरिक # 201801101001 एसएमपी बुध 10 जनवरी 10:02:53 यूटीसी 2018 x86_64
सीपीयू AMD A6-7400K Radeon R5, 6 Compute Cores 2C + 4G है
CVE-2017-5753 [सीमा जाँच बाईपास] उर्फ 'स्पेक्टर वेरिएंट 1'
* कर्नेल में LFENCE opcodes की गिनती की जाँच: नहीं
> स्थिति: व्यवहार्य (केवल 29 opcodes पाया, होना चाहिए> = 70, सरकारी पैच उपलब्ध होने पर सुधार करने के लिए अनुमानी)
CVE-2017-5715 [शाखा लक्ष्य इंजेक्शन] उर्फ 'स्पेक्टर वेरिएंट 2'
* शमन १
* शमन के लिए हार्डवेयर (सीपीयू माइक्रोकोड) समर्थन: नहीं
* IBRS के लिए कर्नेल समर्थन: नहीं
* कर्नेल स्थान के लिए IBRS सक्षम: नहीं
* उपयोगकर्ता अंतरिक्ष के लिए IBRS सक्षम: NO
* शमन १
* कर्नेल को रेटपॉलिन विकल्प के साथ संकलित किया गया: नहीं
* कर्नेल एक रेटपोलिन-अवगत संकलक के साथ संकलित: सं
> STATUS: नहीं होने योग्य (आपके CPU विक्रेता ने आपके CPU मॉडल को असुरक्षित नहीं बताया)
CVE-2017-5754 [दुष्ट डेटा कैश लोड] उर्फ 'मेल्टडाउन' उर्फ 'वेरिएंट 3'
* कर्नेल पृष्ठ तालिका अलगाव (पीटीआई) का समर्थन करता है: हाँ
* पीटीआई सक्षम और सक्रिय: नहीं
> STATUS: नहीं होने योग्य (आपके CPU विक्रेता ने आपके CPU मॉडल को असुरक्षित नहीं बताया)
सुरक्षा का झूठा भाव किसी भी तरह की सुरक्षा से बदतर नहीं है, देखें-अस्वीकरण
क्या यह नवीनतम कर्नेल होने से हल नहीं हुआ था?
सादर
क्या यह मापने का एक तरीका है कि पैच लगाने से पहले और बाद में प्रदर्शन हमें कैसे प्रभावित करता है ???