Ich verwende Debian Buster (10.3) auf einem ThinkPad T420 (i5-2520M), das aktuelle Intel-Microcode-Paket ist installiert. Um nach bekannten CPU-Schwachstellen zu suchen, habe ich das Skript Spectre-Meltdown-Checker verwendet (https://github.com/speed47/spectre-meltdown-checker), was zu dieser Ausgabe führte:
Dem Skript zufolge sind alle CVEs, die mit der Sicherheitslücke im Bereich Microarchitectural Data Sampling (MDS) in Zusammenhang stehen (die im Benutzer- und Administratorhandbuch des Linux-Kernels unter folgender Adresse aufgeführt sind):https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html) sind auf meinem System behoben.
Ich denke, das cat /sys/devices/system/cpu/vulnerabilities/mdsführt zu Mitigation: Clear CPU buffers; SMT vulnerabledem Ergebnis: „Der Prozessor ist anfällig und die Milderung der CPU-Pufferungslöschung ist aktiviert.“ und „SMT ist aktiviert.“
Wie sind die Ausgaben der Tools zu interpretieren, oder besser gefragt: Welchem Tool kann ich vertrauen?
BEARBEITEN: Dies ist die Ausgabe mit aktivierter Option --paranoid:
Antwort1
Beide Tools stimmen überein. Standardmäßig spectre-meltdown-checkerwerden Schwachstellen als behoben markiert, auch wenn SMT ein Problem darstellt. Wenn Sie die --paranoidMarkierung hinzufügen, sollten Sie sehen, wie sich eine Reihe von grünen Kästchen in Rot ändern.
Bei Ihrem Setup werden alle verfügbaren Fixes auf Ihr System angewendet, mit Ausnahme der Deaktivierung von SMT, die Sie selbst entscheiden. Siehe auchMuss ich hinsichtlich meines Microarchitectural Data Sampling (MDS)-Status etwas unternehmen?
Welchem Tool Sie am meisten vertrauen, hängt davon ab, wie aktuell die Tests sind. Wenn Sie die aktuellsten Tools verwenden, spectre-meltdown-checkersind die Tests dort in der Regel auf dem neuesten Stand.