Güncel bir çekirdeğe ve kurulu bir mikro koduna sahip olan bir Debian Stretch ve test / Buster sisteminde hala hata olarak listelenen erime ve hayaletleri görüyorum /proc/cpuinfo.
Ancak, spectre-meltdown-checkerşovları çalıştırmak savunmasız değil.
Bu yüzden ne /proc/cpuinfogösterdiğini merak ediyorum . Bunlar sadece bu cpu için güvenlik açıkları mı ve yamalanmış bir sisteme rağmen her zaman listelenecekler mi?
Yanıtlar:
“Hatalar” alanının amacı, onu tanıtan/proc/cpuinfo taahhüt mesajında açıklanmıştır :
x86/cpufeature: Hata bayrakları ekle/proc/cpuinfoTespit ettiğimizi ve / veya üzerinde çalıştığımız CPU'yu hata çözümlerini uyguladığımız bayrakları, özellik bayraklarına benzer şekilde boşaltın.
Bunun avantajı, CPU özellikleri gibi zaman içinde biriken olmamasıdır.
Önceden, çekirdeğin algıladığı donanım hataları ayrı özellikler olarak listeleniyordu ( örn . 32 bit x86 sistemlerinde kendi f00f_buggirişi olan rezil F00F hatası /proc/cpuinfo). "Hatalar" girişi, bunları ileriye dönük, x86 CPU bayrakları ile aynı tarzda, tek bir özellikte tutmak için tanıtıldı .
Girdilerin pratikte ne anlama geldiğine bakıldığında, mesajda görebileceğiniz gibi, garantili olan tek şey çekirdeğin bir donanım hatası algılamasıdır . Sorunların çözülüp çözülmediğini belirlemek için başka bir yere bakmanız gerekir (önyükleme iletileri veya dosyalar gibi belirli /procgirişler veya /sysgirişler /sys/devices/system/cpu/vulnerabilities/).
“Hata” girişlerinin faydası iki şekilde sınırlıdır. Birincisi, gerçek negatiflerin bilinmeyenlerden ayırt edilememesidir: alan “cpu_meltdown” belirtmiyorsa, çekirdeğin Meltdown hakkında bilmediği anlamına gelmediğini (sadece alandan) bilemezsiniz veya CPU'nuzun Meltdown'dan etkilenmediğini İkincisi, tespitin çok basit olabileceğidir; Dikkatli olduğu için, CPU'nuzun olmadığı zaman savunmasız olduğunu bildirebilir. “Algılama” tabloya dayalı olduğundan, doğruluğu, çalıştığınız çekirdeğin hangi sürümüne bağlı olduğuna bağlıdır.
Meltdown ve Spectre hataları durumunda, değerleri değerleri besleyen algılama işlemi x86'da /proc/cpuinfo şöyle çalışır :
Meltdown / Spectre güvenlik açıkları CPU yonga seti tasarımında / mimarisinde ve gelecekteki yeni donanımları satın almanın ötesinde yamalar , uzun vadede güzel bir güvenlik yanılsaması oluşturuyor . Kusurlardan yararlanmanın yeni yöntemleri, zaman içinde mevcut yamaları atlayabilen yüzeyler oluşturabilir.
Kısacası, mevcut yazılım yamaları / mikro kodları , Spectre / Meltdown istismar ailesinin bilinen yöntemlerine karşı olan sorunları hafifletir , ancak ilk başta onlara izin veren temel CPU tasarım sorunlarını çözmez. CPU'ların etkilenen (birkaç kuşak) uzun vadede savunmasız kalmayı bırakmadı (ve büyük olasılıkla asla).
Bununla birlikte, @Gilles'in doğru bir şekilde belirttiği gibi, bu uyarıya sahip olmak mevcut bilinen istismarların Spectre / Meltdown yöntemlerinin işe yarayacağı anlamına gelmez; yamalar kurulursa çalışmayacaklar.
Soruda söz konusu olan durumda, çekirdek yalnızca Spectre / Meltdown'dan etkilendiği bilinen CPU modellerini (sadece x86 hakkında konuşuyorsak şu an için tüm x86 CPU'ları) kontrol ediyor ve bu nedenle cpu-insecurehata bölümünde listeleniyor. / satırına /proc/cpuinfo.
Git kontrol et
/proc/cpuinfo. Çekirdeğinizde KPTI yaması varsa, cpu_insecure içerecektirKPTI yamasının bu kod parçasına sahip olduğunu buldum:
/* Assume for now that ALL x86 CPUs are insecure */ setup_force_cpu_bug(X86_BUG_CPU_INSECURE);Ve çekirdek güncellemesinden sonra şunları alırsınız:
bugs : cpu_insecure
PS. Spectre / Meltdown "bug" larını kullanmak için yeni bir yöntem için bir çok güncelleme yapıldı. Muhtemelen bu son olmayacak.
/proc/cpuinfobir yazılım yaması tarafından tamamen azaltılsa bile listelenir . Onların varlığı yok değil sistem söz konusu hatadan savunmasız olduğu anlamına gelir.
bugsçizgi dizileri için doğru olduğunu ve bunun yanlış olduğunu yazdın . Çoğu CPU tasarım hatası, yalnızca küçük bir performansa mal olan tam bir yazılım geçici çözümüne sahiptir. Çekirdek geçici çözümü uygularsa, böcek zararsızdır.