Mein Hypervisor teilt mir mit, dass Mmio stale dataein Patch vorhanden ist:
Vulnerability Mmio stale data: Mitigation; Clear CPU buffers; SMT disabled
Aber wenn ich in meinem KVM unter Linux nachschaue 6.1.0-12-amd64, sehe ich Folgendes:
Mmio stale data: Vulnerable: Clear CPU buffers attempted, no microcode; SMT Host state unknown
Der Gast verwendet die Host-CPU mit diesen zusätzlichen CPU-Flags:
md-clear pcid spec-ctrl ssbd aes
Sollte ich mir Sorgen machen, wenn das bedeutet, dass ich gefährdet bin? Wie einfach ist dieser Exploit?
Antwort1
Ich glaube, das ist zu erwarten, auch wenn Sie das Richtige getan haben: SMT auf dem Host deaktiviert.
Solange Ihre Gäste den Host als anfällig richtig einstufen, werden sie die Abhilfemaßnahme anwenden, die (zu diesem Zeitpunkt von einigen) für den Single-Thread-Fall als angemessen erachtet wird. Gäste werden dies jedoch nicht selbst bestätigen können, da es nicht ungewöhnlich ist, dass der Hypervisor separate Kerne präsentiert, während er in Wirklichkeit nur gemeinsam genutzte Ressourcen anbietet.
Einige Hypervisoren könnenausdrücklich versprechendass sie sicherstellen, dass alle Geschwister-SMT-Threads (statisch zugewiesen, nicht unsicher geteilt und) als solche erkennbar sind. Soweit ich weiß, wird dies nur von Windows-Gästen genutzt. Das LinuxDie Meldung „Hoststatus unbekannt“ ist fest codiertohne Rücksicht aufHYPERV_CPUID_ENLIGHTMENT_INFO.EAX BIT(18).