Estoy ejecutando Debian Buster (10.3) en un ThinkPad T420 (i5-2520M), el paquete de microcódigo Intel actual está instalado. Para comprobar si hay vulnerabilidades conocidas de la CPU, utilicé el script spectre-meltdown-checker (https://github.com/speed47/spectre-meltdown-checker) que resultó en este resultado:
Según el script, todos los CVE relacionados con la vulnerabilidad de muestreo de datos de microarquitectura (MDS) (que se especifican en la guía del usuario y administrador del kernel de Linux en:https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html) están fijos en mi sistema.
Lo que me hace pensar es que eso cat /sys/devices/system/cpu/vulnerabilities/mdsconduce a Mitigation: Clear CPU buffers; SMT vulnerablelo que significa que "El procesador es vulnerable y la mitigación de borrado del búfer de la CPU está habilitada". y "SMT está habilitado".
¿Cómo deberían interpretarse los resultados de las herramientas, o mejor preguntarse, en qué herramienta puedo confiar?
EDITAR: Este es el resultado con la opción --paranoid habilitada:
Respuesta1
Ambas herramientas están de acuerdo; De forma predeterminada, spectre-meltdown-checkermarca las vulnerabilidades como solucionadas incluso cuando SMT es un problema. Si agrega la --paranoidbandera, debería ver que varios cuadros verdes cambian a rojos.
En su configuración, todas las correcciones disponibles se aplican en su sistema, además de deshabilitar SMT, que es su decisión. Ver también¿Debo tomar medidas con respecto a mi estado de muestreo de datos de microarquitectura (MDS)?
La herramienta en la que confíe más depende de qué tan recientes sean las pruebas; obtener la última versión spectre-meltdown-checkergeneralmente garantizará pruebas actualizadas allí.