カーネルを更新する場合、マイクロコードの更新が必要ですか?
CPUの脆弱性Microarchitectural Fill Buffer Data Samplingがあります。私はLinux OSを使用していて、マイクロアーキテクチャーのフィルバッファーデータサンプリングを修正すると思います。インテルのマイクロコードを更新するか、カーネルを修正したものに更新する必要があります https://security-tracker.debian.org/tracker/CVE-2018- 121
カーネルをMicroarchitectural Fill Buffer Data Samplingが修正されたカーネルに更新しました。その後 spectre-meltdown-checker を実行すると、4種類すべてのMFBDSにSTATUS:VULNERABLEが表示されます。どうして ?
CVE-2019-11091 aka 'RIDL, microarchitectural data sampling uncacheable memory (MDSUM)'
* Mitigated according to the /sys interface: NO (Vulnerable: Clear CPU buffers attempted, no microcode; SMT disabled)
* Kernel supports using MD_CLEAR mitigation: YES (found md_clear implementation evidence in kernel image)
* Kernel mitigation is enabled and active: NO
* SMT is either mitigated or disabled: YES
> STATUS: VULNERABLE (Vulnerable: Clear CPU buffers attempted, no microcode; SMT disabled)
はい、両方必要です。 Linux側の変更は、マイクロコード側の変更を利用してこれらの脆弱性を軽減します。bothが機能するために必要です。
これを軽減することを本当に真剣に考えている場合は、ハイパースレッディングを無効にする必要があることに注意してください。
追加する必要があるのは、一部のコードシーケンスを使用して部分的に軽減する「たぶん」軽減する方法についてIntelが公開した詳細であり、これらはマイクロコードを変更しなくても機能します。少なくとも1つのBSDがこれらをデプロイしましたが、Linux しないでください(そして、その計画もありません。明らかに、面倒に見合うだけの十分なものを軽減していません)。