Atualmente, a vulnerabilidade do processador Intel Meltdown é corrigida com o isolamento da tabela de páginas ativado. Há uma pergunta sobre como desativar isso: Como desativar o isolamento da tabela de páginas para recuperar o desempenho perdido devido ao patch da falha de segurança da CPU Intel?

Minha pergunta é oposta: existe uma maneira de verificar em um sistema em execução se o mecanismo PTI é eficaz no sistema e, portanto, o sistema está protegido? Estou procurando especificamente cat /proc/somethingou cat /sys/somethingnão verificando a versão do kernel ou o parâmetro de configuração ou algo semelhante.

Você pode executar o comando abaixo para ver todas as atenuações disponíveis (não apenas para a PTI, mas também para outras vulnerabilidades):

$ cat /sys/devices/system/cpu/vulnerabilities/*
Mitigation: PTE Inversion
Mitigation: Clear CPU buffers; SMT vulnerable
Mitigation: PTI
Mitigation: Speculative Store Bypass disabled via prctl and seccomp
Mitigation: usercopy/swapgs barriers and __user pointer sanitization
Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, STIBP: conditional, RSB filling

• Grepping CONFIG_PAGE_TABLE_ISOLATION na configuração do kernel, como sugerido por Raniz, não ajuda no Ubuntu de desktop, mas pode ajudar nas instâncias da nuvem:

  grep CONFIG_PAGE_TABLE_ISOLATION=y /boot/config-`uname -r` && \
  echo "patched :)" || echo "unpatched :("
  

• Você pode verificar /proc/cpuinfocomo o JonasCz sugeriu :

  grep -q "cpu_insecure\|cpu_meltdown\|kaiser" /proc/cpuinfo && echo "patched :)" \
  || echo "unpatched :("
  

• Ou de dmesg(graças a Jason Creighton ):

  dmesg | grep -q "Kernel/User page tables isolation: enabled" \
  && echo "patched :)" || echo "unpatched :("
  

• Você pode compilar o programa de teste de Raphael Carvalho para detectar Meltdown:

  sudo apt-get install git build-essential
  cd /tmp
  git clone https://github.com/raphaelsc/Am-I-affected-by-Meltdown.git
  cd Am-I-affected-by-Meltdown
  make
  sudo sh -c "echo 0  > /proc/sys/kernel/kptr_restrict"
  ./meltdown-checker
  

no sistema corrigido, deve terminar com saída

...
so far so good (i.e. meltdown safe) ...

System not affected (take it with a grain of salt though as false negative
may be reported for specific environments; Please consider running it once again).

• Verifique com a ferramenta https://github.com/speed47/spectre-meltdown-checker :

  cd /tmp
  wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh
  sudo sh /tmp/spectre-meltdown-checker.sh
  

No sistema corrigido, ele deve mostrar o seguinte:

Spectre and Meltdown mitigation detection tool v0.27

Checking for vulnerabilities against live running kernel Linux 4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018 x86_64
...
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):  YES 
* PTI enabled and active:  YES 
> STATUS:  NOT VULNERABLE  (PTI mitigates the vulnerability)

Não instale o 4.4.0-108-generic no Xenial! Ele interrompe a funcionalidade de inicialização / reinicialização / desligamento / suspensão !

Instale 4.4.0-109-generic ( consulte USN-3522-3 para obter detalhes)!

Como Robie Basak já escreveu , há uma página sobre o status das vulnerabilidades Spectre e Meltdown no Ubuntu .

Também existem:

• Boletim de segurança do Ubuntu para CVE-2017-5715
• Boletim de segurança do Ubuntu para CVE-2017-5753
• Boletim de segurança do Ubuntu para CVE-2017-5754

Execute o seguinte comando:

dmesg | grep 'page tables isolation'

Se exibir ativado, o PTI está ativado. Se nada for exibido ou você vir 'desativado' no terminal, o PTI estará desativado. O Ubuntu ainda não publicou o patch, portanto não exibirá nenhuma mensagem.

Você pode verificar com cat /proc/cpuinfo, se reportar cpu_insecureem "bugs", o PTI está ativado.

Se estiver em branco (ou simplesmente não cpu_insecureestiver listado ), provavelmente você está executando um kernel que ainda não foi corrigido (o Ubuntu não tem) ou possui um processador AMD (para o qual isso não será habilitado, visto que eles não é vulnerável).

Atualmente, todas as CPUs são tratadas como vulneráveis no kernel 4.15 mais recente.

Encontrei este ótimo script sh para testar as vulnerabilidades de fusão / espectro no seu sistema:

https://github.com/speed47/spectre-meltdown-checker

O script verifica se o seu sistema possui patches conhecidos de fusão e espectro no seu sistema para informar se essas vulnerabilidades agora foram mitigadas pelo seu sistema operacional.

Você pode verificar /proc/config.gz para CONFIG_PAGE_TABLE_ISOLATION=yo que significa que o kernel foi compilado com KPTI.

Este está no meu sistema Arch Linux corrigido, executando 4.14.11-1:

$ zgrep CONFIG_PAGE_TABLE_ISOLATION /proc/config.gz 
CONFIG_PAGE_TABLE_ISOLATION=y

Na minha instância do AWS Ubuntu 14.04.5 LTS EC2, executei

grep CONFIG_PAGE_TABLE_ISOLATION /boot/config-$(uname -r)

Deveria dizer:

CONFIG_PAGE_TABLE_ISOLATION=y

Para atualização, fiz:

sudo apt-get update && sudo apt-get install linux-image-generic

Eu também acho que isso é bom:

sudo apt-get update
sudo apt-get dist-upgrade

Para verificar a versão do kernel:

uname -r

Precisa ser 3.13.0-139-genérico ou mais recente.