Я использую Debian Buster (10.3) на ThinkPad T420 (i5-2520M), установлен текущий пакет intel-microcode. Для проверки известных уязвимостей ЦП я использовал скрипт spectre-meltdown-checker (https://github.com/speed47/spectre-meltdown-checker), что привело к следующему результату:
Согласно сценарию, все CVE, связанные с уязвимостью микроархитектурной выборки данных (MDS) (которые указаны в руководстве пользователя и администратора ядра Linux по адресу:https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html) исправлены в моей системе.
Мне кажется, что это cat /sys/devices/system/cpu/vulnerabilities/mdsприводит к Mitigation: Clear CPU buffers; SMT vulnerableтому, что «Процессор уязвим, и включена функция очистки буфера ЦП» и «SMT включен».
Как следует интерпретировать результаты работы инструментов или, лучше сказать, какому инструменту можно доверять?
EDIT: Это вывод с включенной опцией --paranoid:
решение1
Оба инструмента согласны; по умолчанию spectre-meltdown-checkerпомечает уязвимости как исправленные, даже если SMT является проблемой. Если вы добавите флаг, --paranoidвы должны увидеть, как несколько зеленых квадратов изменятся на красные.
В вашей настройке все доступные исправления применяются к вашей системе, за исключением отключения SMT, что является вашим решением. Смотрите такжеНужно ли мне предпринимать какие-либо действия в отношении моего статуса микроархитектурной выборки данных (MDS)?
Какому инструменту вы доверяете больше всего, зависит от того, насколько свежи тесты; использование последних данных spectre-meltdown-checkerобычно гарантирует наличие актуальных тестов.