Estou executando o Debian Buster (10.3) em um ThinkPad T420 (i5-2520M), o pacote Intel-microcode atual está instalado. Para verificar vulnerabilidades conhecidas da CPU, usei o script spectre-meltdown-checker (https://github.com/speed47/spectre-meltdown-checker) que resultou nesta saída:
De acordo com o script, todos os CVEs relacionados à vulnerabilidade Microarchitectural Data Sampling (MDS) (que são especificados no guia do usuário e do administrador do kernel Linux em:https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html) são corrigidos no meu sistema.
O que me faz pensar é que isso cat /sys/devices/system/cpu/vulnerabilities/mdssignifica Mitigation: Clear CPU buffers; SMT vulnerableque "O processador está vulnerável e a mitigação de limpeza do buffer da CPU está habilitada". e "SMT está habilitado".
Como devem ser interpretados os resultados das ferramentas, ou melhor, perguntar: em que ferramenta posso confiar?
EDIT: Esta é a saída com a opção --paranoid habilitada:
Responder1
Ambas as ferramentas concordam; por padrão, spectre-meltdown-checkersinaliza vulnerabilidades como corrigidas mesmo quando o SMT é um problema. Se você adicionar a --paranoidbandeira, verá várias caixas verdes mudarem para vermelhas.
Na sua configuração, todas as correções disponíveis são aplicadas no seu sistema, além de desabilitar o SMT que é sua decisão. Veja tambémPreciso tomar medidas em relação ao meu status de amostragem de dados microarquiteturais (MDS)?
A ferramenta em que você mais confia depende de quão recentes são os testes; extrair o mais recente spectre-meltdown-checkergeralmente garantirá testes atualizados.