[linux] lscpu: wat te doen bij cpu-kwetsbaarheden?

Daniel C. von Asmuth asmuth op vonasmuth.nl
Zo Sep 8 20:09:44 CEST 2024


Aldus schreef André Ockers op Sun, Sep 08, 2024 at 06:51:12PM +0200:
> Beste Daniel,
> 
> Op vrijdag 6 september 2024 22:35:45 CEST schreef Daniel C. von Asmuth:
> > Zo te zien heeft je processor twee kwetsbaarheden en voor de rest heeft de
> > Linux kernel beschermende maatregelen ingeschakeld.
> 
> Bedankt voor je reactie. Ik denk dan aan  Mds en Spec store bypass.
> 
> Met vriendelijke groet,
> 
> André Ockers
> Lid NLLGG

Bedankt, maar je overschat me: ik ben maar een eenvoudig codekloppertje. De
volgende Wikipedia pagina's geven een introductie.

https://en.wikipedia.org/wiki/Microarchitectural_Data_Sampling
https://en.wikipedia.org/wiki/Speculative_Store_Bypass

Wat duidelijk is dat het om fouten in de processor gaat, in het bijzonder die
van Intel. De laatste keer dat Intel een fout in een processor oploste door middel
van een massale omruilactie ging het om de eerste versie van de Pentium I (60 en 66
MHz). Sindsdien beperkt de aanpak zich tot updates van de microcode. In enkele 
gevallen is er sprake van een bug in de microcode; anders gaat het om /mitigation/,
dat wil zeggen workarounds in de microcode. Merk op dat die de processor behoorlijk
trager kunnen maken in ruil voor meer veiligheid. In sommige gevallen helpt het 
om bepaalde features uit te schakelen in het BIOS. In veel gevallen hebben de Linux
kernel ontwikkelaars manieren gevonden om te zorgen dat de problemen niet meer
optreden (mitigation). 

Sommige van de mitigations in de kernel gaan ten koste van de CPU prestatie en moet
je dan expliciet inschakelen via het prctl of seccomp commando of via een kernel
parameter. Andere verhelp je door het juiste Microcode package te laden als Linux
start. 

https://bbs.archlinux.org/viewtopic.php?id=263528
https://www.suse.com/support/kb/doc/?id=000019189

Voor de MDS kwetsbaarheid:

https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html

Conclusie: Linux heeft mitigation voor beide kwetsbaarheden. 

Suc6,



Daniel
-- 

P.S. de beheerder van deze mailing lijst blokkeert mijn antwoorden.


Meer informatie over de Linux maillijst