MELTDOWN CVE-2017-5754漏洞Linux检测工具

检查系统是否受变体3:流氓数据缓存加载(CVE-2017-5754),又名MELTDOWN的影响。
基本的想法是用户将知道运行的系统是否被正确地修补了,例如KAISER补丁集(https://lkml.org/lkml/2017/10/31/884)。
***现在只能在Linux上运行***

怎么运行的?

它通过使用 /proc/kallsyms 来查找系统调用表,并检查通过利用MELTDOWN找到的系统调用的地址是否匹配/   /proc/kallsyms. 

当遇到这个错误“无法读取 /proc/kallsyms…”时该怎么办?

这是因为系统可能会阻止程序读取 /proc/kallsyms 中的内核符号,因为 /proc/sys/kernel/kptr_restrict 设置为1.以下命令将执行棘手的操作:

sudo sh -c "echo 0  > /proc/sys/kernel/kptr_restrict"

如果您有关于如何在这种情况下回退到另一种方法的想法请打开问题。

入门

运行make编译该项目

受Meltdown影响的系统的输出示例:

Checking whether system is affected by Variant 3: rogue data cache load (CVE-2017-5754), a.k.a MELTDOWN ...
Checking syscall table (sys_call_table) found at address 0xffffffffaea001c0 ...
0xc4c4c4c4c4c4c4c4 -> That's unknown
0xffffffffae251e10 -> That's SyS_write
System affected! Please consider upgrading your kernel to one that is patched with KAISER
Check https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html for more details

 
 

Leave a Reply