我在 ThinkPad T420 (i5-2520M) 上運行 Debian Buster (10.3),安裝了目前的 intel-microcode 軟體包。為了檢查已知的 CPU 漏洞,我使用了 spectre-meltdown-checker 腳本(https://github.com/speed47/spectre-meltdown-checker)這導致了這個輸出:
根據此腳本,所有 CVE 均與微架構資料採樣 (MDS) 漏洞相關(在 Linux 核心使用者和管理員指南中指定,網址為:https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html)已固定在我的系統上。
讓我想到的是,這cat /sys/devices/system/cpu/vulnerabilities/mds意味著Mitigation: Clear CPU buffers; SMT vulnerable「處理器容易受到攻擊,並且啟用了 CPU 緩衝區清除緩解措施」。和“SMT 已啟用”。
應該如何解釋工具的輸出,或更好地詢問,我可以信任哪個工具?
編輯:這是啟用 --paranoid 選項的輸出:
答案1
兩種工具都一致;預設情況下,spectre-meltdown-checker即使 SMT 存在問題,也會將漏洞標記為已修復。如果添加--paranoid標誌,您應該會看到許多綠色框變為紅色。
在您的設定中,除了由您決定停用 SMT 之外,所有可用的修復都會套用到您的系統。也可以看看我是否需要針對我的微架構資料採樣 (MDS) 狀態採取行動?
您最信任哪個工具取決於測試的最新程度;拉取最新版本spectre-meltdown-checker通常可以確保那裡的測試是最新的。