MeltdownおよびSpectreの脆弱性からサーバーを保護します

公開: 2018-01-16

世界のコンピュータプロセッサのほとんどがMeltdownとSpectreの脆弱性に対して脆弱であることをあなたは知らないかもしれません。 MeltdownとSpectreとは何ですか?サーバーを保護するために何をすべきですか? この記事では、これらの脆弱性を確認し、影響を受ける主要なハードウェアベンダーについて説明します。 最も重要なことは、データを保護するためにWindowsサーバーとLinuxサーバーで実行する必要がある手順について説明することです。

飛び込みましょう!

メルトダウンとスペクターの脆弱性とは何ですか?

MeltdownとSpectreは、コンピュータープロセッサの重大な脆弱性です。 これらは、プログラムが実行中に情報を漏洩することを許可し、その情報をハッカーが利用できるようにします。 最新のコンピュータシステムは、ユーザーが特に許可しない限り、プログラムが他のプログラムのデータにアクセスできないように設定されています。 MeltdownおよびSpectreの脆弱性により、攻撃者はユーザーの許可なしに(通常はユーザーの知らないうちに)プログラムデータにアクセスできます。 つまり、攻撃者は、個人の写真、電子メール、ブラウザのパスワードマネージャに保存されているパスワード、インスタントメッセージ、企業文書、納税申告書などにアクセスする可能性があります。

Meltdownを使用すると、すべてのアプリケーションがシステムメモリ全体にアクセスできるようになります。 この脆弱性を軽減するには、オペレーティングシステムのパッチとファームウェアの更新が必要です。

なぜメルトダウンと呼ばれるのですか?
この脆弱性は、機密情報を保護するために設定されているセキュリティ境界を「溶かし」ます。

一方、 Spectreは、あるアプリケーションが別のアプリケーションにそのメモリの一部にアクセスするように強制することを許可します。 この脆弱性は、Meltdownよりも悪用するのが困難ですが、軽減するのも困難です。

なぜスペクターと呼ばれるのですか?
この名前は、脆弱性の根本原因である「投機的実行」に基づいています。 (また、修正するのが難しく、しばらくの間私たちを悩ませるので!)

どのハードウェアベンダーが影響を受けますか?

IntelのコアアーキテクチャとAMDプロセッサが最も広く影響を受けています。 ただし、これらの脆弱性の影響を受けるベンダーは131社以上あります。

Meltdownの影響を受けるデバイスはどれですか?
デスクトップ、ラップトップ、およびクラウドコンピューターはすべてMeltdownの影響を受けます。 Intel ItaniumとAtomを除いて、投機的実行を使用する1995年以降に製造されたすべてのIntelプロセッサが影響を受ける可能性があります。 2013年以降に製造されたItaniumおよびAtomプロセッサは、Meltdownの影響を受けません。

Spectreの影響を受けるデバイスはどれですか?
Spectreは、デスクトップ、ラップトップ、クラウドサーバー、およびスマートフォンに影響を与えます。 最新のプロセッサはすべて、Spectreの脆弱性の影響を受ける可能性があります。 Spectreは、Intel、AMD、およびARMプロセッサで確認されています。

MeltdownとSpectreの脆弱性からWindowsサーバーを保護するにはどうすればよいですか?

Windowsシステムが脆弱かどうかを確認することが重要です。 もしそうなら、あなたは行動を起こす必要があるでしょう。 ステップバイステップの説明を提供することで、簡単にご利用いただけます。

Windowsサーバーがこれらの脆弱性から保護されているかどうかを確認するにはどうすればよいですか?

  1. サーバーにログインし、管理者としてWindows PowerShellを実行し、次のコマンドを実行します。
     インストールモジュールSpeculationControl

  2. Y 」と入力し、Enterキーを押してNuGetプロバイダーを有効にします。
  3. 信頼できないソースからパッケージをインストールするかどうかを尋ねられたら、「 Y 」と入力してEnterキーを押します。これで問題ありません。
  4. 次のコマンドを実行して、現在の実行ポリシーを保存します。
     $ SaveExecutionPolicy = Get-ExecutionPolicy
  5. 次のコマンドを実行して、次の手順でモジュールをインポートできることを確認します。
     Set-ExecutionPolicy RemoteSigned -Scope Currentuser
  6. Y 」と入力し、Enterキーを押して、実行ポリシーの変更を確認します。
  7. 次のコマンドを実行して、SpeculationControlモジュールをインポートします。
     Import-Module SpeculationControl
  8. 最後に、次のコマンドを実行して、デバイスに必要な更新があることを確認します。
     Get-SpeculationControlSettings

サーバーがまだMeltdownおよびSpectreのセキュリティ上の欠陥に対して脆弱であるかどうかを確認できます。 このスクリーンショットは、保護されていないWindowsシステムを示しています。

これらの脆弱性からWindowsサーバーを保護する方法は?

MicrosoftはCPUベンダーと協力して、重要なセキュリティアップデートをリリースしました。 次のことを行う必要があります。

  1. すべてのセキュリティアップデートをインストールします。
  2. OEMデバイスの製造元からの該当するファームウェアアップデートを適用します。

Windows Updateを確認すると、2018年1月にリリースされたセキュリティ更新プログラムを取得できない場合があります。これらの更新プログラムを取得するには、仮想サーバーに次のレジストリキーを追加する必要があります。

Key = “ HKEY_LOCAL_MACHINE” Subkey = “ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ QualityCompat” Value =” cadca5fe-87d3-4b96-b7fb-a231484277cc”
Type = “ REG_DWORD”
データ= 「0x00000000」

このレジストリキーを追加したら、サーバーを再起動します。 システムが再起動したら、アップデートを確認します。 すべての新しいアップデートをインストールし、サーバーを再起動します。

また、次のセキュリティパッチがインストールされていることを確認する必要があります。

Windows Serverバージョン1709(Server Coreインストール)– 4056892
Windows Server 2016 – 4056890
Windows Server 2012 R2 – 4056898
Windows Server 2008 R2 – 4056897

それでもこれらのパッチがインストールされていない場合は、アップデートコードに記載されているリンクからパッチをダウンロードできます。

システムを更新し、OEMデバイスの製造元から必要なファームウェアの更新を適用したら、Windows PowerShellから次のコマンドを再度実行して、サーバーが安全であることを確認します。

$ SaveExecutionPolicy = Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope Currentuser
Import-Module SpeculationControl
Get-SpeculationControlSettings
Set-ExecutionPolicy $ SaveExecutionPolicy -Scope Currentuser

あなたは今危険地帯から出ています! このスクリーンショットは、SpectreおよびMeltdownの脆弱性から保護されているWindowsシステムを示しています。

MeltdownおよびSpectreの脆弱性からLinuxサーバーを保護するにはどうすればよいですか?

これらの脆弱性はハードウェアベースであるため、ほとんどすべてのLinuxシステムがこれらの脆弱性の影響を受けます。 多くのLinuxディストリビューションは、脆弱性につながるプロセッサの動作を無効にするか回避することで、MeltdownとSpectreを軽減するソフトウェアアップデートをリリースしています。 Linuxシステムにはまだ完全なパッチが適用されていません。

以下は、部分的に軽減されたカーネルアップデートをリリースしたLinuxディストリビューションのリストです。

  • CentOS 7:カーネル3.10.0-693.11.6
  • CentOS 6:カーネル2.6.32-696.18.7
  • Fedora 27:カーネル4.14.11-300
  • Fedora 26:カーネル4.14.11-200
  • Ubuntu 17.10:カーネル4.13.0-25-ジェネリック
  • Ubuntu 16.04:カーネル4.4.0-109-generic
  • Ubuntu 14.04:カーネル3.13.0-139-generic
  • Debian 9:カーネル4.9.0-5-amd64
  • Debian 8:カーネル3.16.0-5-amd64
  • Debian 7:カーネル3.2.0-5-amd64
  • Fedora 27 Atomic:カーネル4.14.11-300.fc27.x86_64
  • CoreOS:カーネル4.14.11-coreos

カーネルのバージョンが少なくとも上記のバージョンに更新されている場合は、いくつかの更新が適用されています。 2018年1月12日の時点で、FreeBSDディストリビューションはまだカーネルアップデートをリリースしていません。 Ubuntu 17.04は2018年1月13日にEOL(End Of Life)に到達し、アップデートを受信しません。

以下は、CentOS7.xのSpectreおよびMeltdownの脆弱性を確認および修正するために実行できる手順です。

脆弱性を確認するには、以下のコマンドを実行します。

  1. 現在のOSバージョンを確認します。
    lsb_release -d
  2. 現在のカーネルバージョンを確認します。
    uname -a
  3. システムが脆弱かどうかを確認します。
    cd / tmp
    wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
    sudo sh spectre-meltdown-checker.sh

    上のスクリーンショットは、Meltdown/Spectreの脆弱性の修正がパッチされていない場合のCentOS7.xからの出力です。

  4. 新しいパッチをインストールするには、以下のコマンドを実行する必要があります。
    sudo yum update
  5. yumアップデートの主な理由は、カーネルバージョンをアップデートする必要があることです。 パッチがインストールされたら、以下のコマンドを使用して再起動します。
    リブート
  6. コンピュータが再起動したら、以下のコマンドを使用して脆弱性を再度確認できます。
    sudo sh spectre-meltdown-checker.sh

    このスクリーンショットは、SpectreVariant1とMeltdownに対して脆弱ではないことを示していることがわかります。

結論

MeltdownとSpectreは重大な脆弱性です。 それらは引き続き悪用されており、それらの損傷の全体的な影響はまだ確立されていません。

システムに最新のオペレーティングシステムとベンダーがリリースした最新のファームウェアアップデートのパッチを適用しておくことを強くお勧めします。