Mi hipervisor me dice que Mmio stale dataestá parcheado:
Vulnerability Mmio stale data: Mitigation; Clear CPU buffers; SMT disabled
Pero cuando reviso dentro de mi kvm ejecutando Linux 6.1.0-12-amd64, veo esto:
Mmio stale data: Vulnerable: Clear CPU buffers attempted, no microcode; SMT Host state unknown
El invitado usa la CPU del host con estos indicadores de CPU adicionales:
md-clear pcid spec-ctrl ssbd aes
Si esto significa que soy vulnerable, ¿debería preocuparme? ¿Qué tan fácil es este exploit?
Respuesta1
Creo que esto es de esperarse, incluso si hizo lo correcto: deshabilitó SMT en el host.
Siempre que sus invitados determinen correctamente que el anfitrión es vulnerable, aplicarán la mitigación que (algunos en este momento) consideren apropiada para el caso de un solo subproceso. Los invitados simplemente no podrán confirmar esto por sí solos, porque no es raro que el hipervisor presente núcleos separados cuando en realidad solo ofrece recursos compartidos.
Algunos hipervisores puedenprometer explícitamenteque se asegurarán de que todos los subprocesos SMT hermanos sean (asignados estáticamente, no compartidos de forma insegura y) reconocibles como tales. De hecho, esto sólo lo utilizan los invitados de Windows. el linuxEl mensaje "Estado del host desconocido" está codificado, sin tener en cuentaHYPERV_CPUID_ENLIGHTMENT_INFO.EAX BIT(18).