Hlavní navigace

Jak zjistím, jestli má můj systém záplaty na Meltdown a Spectre?

Petr Krčmář

Pokud používáte nějakou běžnou linuxovou distribuci, která vám dodává nové verze balíčků a vy pravidelně aktualizujete, měli byste být alespoň teoreticky už chráněni proti některým typům chyb Meltdown a Spectre.

Doba čtení: 2 minuty

Greg Kroah-Hartman sepsal nedávno článek o stavu záplat pro Meltdown a Spectre (originální článek). Nyní na svém blogu popsal, jak po aktualizaci jednoduše zjistit, že vaše jádro obsahuje dostupné opravy a zda je tedy váš počítač už (alespoň částečně) chráněn.

Stačí se podívat do příslušného adresáře  v /sys, kde vás jádro o současném stavu informuje:

# grep . /sys/devices/system/cpu/vulnerabilities/*

Můžete získat například následující výpis:

/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal generic ASM retpoline

Z něj plyne, že dané jádro problém Meltdown řeší tím, že implementuje PTI, tedy Page Table Isolation. Proti Spectre v první variantě chráněno není, má ale základní ochranu proti druhé variantě. Ta ovšem v tuto chvíli není nic platná, protože jádro není přeložené překladačem podporujícím ochranu Retpoline.

Pokud vaše jádro nevypsalo nic nebo adresář /sys neobsahuje potřebné podadresáře, pak máte samozřejmě problém a měli byste aktualizovat na distribuční jádro nebo na nejnovější verzi v některé z podporovaných řad: 4.4, 4.9 nebo 4.14.

Greg varuje, že některé enterprise distribuce do starších jader sice opravy backportovaly, ale vývojáři se neobtěžovali zahrnout do nich i reportovací funkčnost, takže se o opravě takto nedozvíte. Je proto potřeba tlačit na dodavatele těchto distribucí, aby opravu zahrnuli celou.

Pozor také na to, že tyto soubory jsou platné pouze pro architekturu x86–64, v ostatních případech se dozvíte něco jako „Not affected“. To ovšem v případě Spectre rozhodně neplatí, s výjimkou opravdu starých procesorů. Takže je to pro vás jen informace, že máte hodně zastaralé jádro. Budete muset pár měsíců počkat, než se i do těchto jader dostanou správné hooky pro reportování.

Zároveň Greg připomíná, že pro správné řešení chyby Spectre je potřeba ještě aktualizovat mikrokód procesoru. Bohužel někteří uživatelé hlásí po aktualizaci mikrokódu nejrůznější problémy jako je výrazné snížení výkonu či nestabilita.

Našli jste v článku chybu?