Не отключайте рекламу на сайте - поможете проектуx86_64: LFD10-23.05 ; Roll24.02-24.04 ; LFU22 ; FAS ; Alt-lxde3-auc i686: DDR01-21.08 Русские PuppyLinux
0 Пользователей и 1 Гость просматривают эту тему.
pti=off spectre_v2=off nospec_store_bypass_disable
pti=on spectre_v2=on может задать в параметрах загрузки принудительно
Так как механизмы защиты приводят к снижению производительности, предусмотрены опции для их отключения, которые могут применяться на системах с минимальным риском атаки, например на однопользовательских рабочих станциях. Для отключения PTI во время загрузки ядру можно передать опцию pti=off, а для отключения retpoline - опцию "spectre_v2=off".
ядро 4.14.20-pf10 и х64
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'* Mitigated according to the /sys interface: NO (kernel confirms your system is vulnerable)* Mitigation 1 * Kernel is compiled with IBRS/IBPB support: NO * Currently enabled features * IBRS enabled for Kernel space: NO * IBRS enabled for User space: NO * IBPB enabled: NO* Mitigation 2 * Kernel compiled with retpoline option: UNKNOWN (couldn't read your kernel configuration) * Kernel compiled with a retpoline-aware compiler: NO (kernel reports minimal retpoline compilation)> STATUS: VULNERABLE (Vulnerable: Minimal generic ASM retpoline)
IBRS/IBPB - это и есть PTI или как?
cat /proc/cpuinfo можно еще смотреть, там строчка bugs
# cat /proc/cpuinfo |grep bugsbugs : cpu_meltdown spectre_v1 spectre_v2bugs : cpu_meltdown spectre_v1 spectre_v2
Это хорошо или плохо?
Для применения защиты от Spectre обязательно требуется наличие обновлённого микрокода
Загрузил модуль с intel-microcode в pfs-testПо идее у нас сейчас микрокоды лежат в модуле с фирмваре, думаю в нем и надо заменить.
sudo echo > /sys/devices/system/cpu/microcode/reload
4.14.20-pf10
sudo cat /sys/devices/system/cpu/vulnerabilities/*
Может мы торопимся - полностью дыры закрыты только в 4.15
Включение средств для обеспечения защиты от первого варианта атаки Spectre (CVE-2017-5753) и кода для блокирования Meltdown на процессорах ARM отложено до выпуска 4.16.