web-dev-qa-db-ja.com

MDSの脆弱性を確認する方法は?

ThinkPad T420(i5-2520M)でDebian Buster(10.3)を実行していますが、現在のIntelマイクロコードパッケージがインストールされています。既知のCPUの脆弱性をチェックするために、spectre-meltdown-checkerスクリプト( https://github.com/speed47/spectre-meltdown-checker )を使用して、次の出力を生成しました。

Summary of spectre-meltdown-checker script

スクリプトによると、Microarchitectural Data Sampling(MDS)の脆弱性に関連するすべてのCVE(Linuxカーネルのユーザーおよび管理者ガイドで指定されています: https://www.kernel.org/doc/html/latest/ admin-guide/hw-vuln/mds.html )は私のシステムで修正されています。

cat /sys/devices/system/cpu/vulnerabilities/mdsMitigation: Clear CPU buffers; SMT vulnerableにつながると私は思います。これは、「プロセッサが脆弱であり、CPUバッファクリアの軽減が有効になっている」ことを意味します。および「SMTが有効になっています」。

ツールの出力はどのように解釈されるべきか、またはどのツールを信頼すればよいですか?

編集:これは--paranoidオプションを有効にした出力です: Summary with --paranoid option

2
Simon

どちらのツールも同意します。デフォルトでは、spectre-meltdown-checkerは、SMTが問題である場合でも、脆弱性に修正済みのフラグを立てます。 --paranoidフラグを追加すると、いくつかの緑色のボックスが赤色に変わるはずです。

セットアップでは、使用する決定であるSMTを無効にすることを除いて、使用可能なすべての修正がシステムに適用されます。参照 自分のマイクロアーキテクチャデータサンプリング(MDS)ステータスに関してアクションを起こす必要がありますか?

どのツールが最も信頼できるかは、テストがどれだけ新しいかによって異なります。最新のspectre-meltdown-checkerをプルすると、通常、そこで最新のテストが保証されます。

3
Stephen Kitt