lscpu 漏洞

Question

在安装 Ubuntu 20.04 之前我从未见过这个。

现在的输出lscpu显示了某些 CPU 上的一些漏洞。

例如：

Vulnerability Itlb multihit:     KVM: Mitigation: Split huge pages
Vulnerability L1tf:              Mitigation; PTE Inversion; VMX conditional cache flushes, SMT vulnerable
Vulnerability Mds:               Mitigation; Clear CPU buffers; SMT vulnerable
Vulnerability Meltdown:          Mitigation; PTI
Vulnerability Spec store bypass: Mitigation; Speculative Store Bypass disabled via prctl and seccomp
Vulnerability Spectre v1:        Mitigation; usercopy/swapgs barriers and __user pointer sanitization
Vulnerability Spectre v2:        Mitigation; Full generic retpoline, IBPB conditional, IBRS_FW, STIBP conditional, RSB filling
Vulnerability Tsx async abort:   Not affected

这究竟意味着什么？内核真的能缓解这些漏洞吗？我在哪里可以找到更多相关信息？

看起来这个Intel(R) Core(TM) i3-2328M CPU @ 2.20GHzCPU 是第一个在没有随机冻结的情况下运行良好的内核。

Answer 1

这究竟意味着什么？

过去几年，一些处理器中发现了一些安全问题。从Ubuntu wiki复制：

2018 年 1 月，安全研究人员宣布了一种新型侧通道攻击，该攻击会影响大多数处理器，包括 Intel、AMD、ARM 和 IBM 的处理器。该攻击允许恶意用户空间进程读取内核内存，并允许来宾中的恶意代码读取虚拟机管理程序内存。

。

内核真的能缓解这些漏洞吗？

是的，它还包括编译器，因为那里需要一些更改。而且特定区域的吞吐量非常昂贵。我最好的例子是“管道测试”，其中两个任务以高速率互相乒乓。我的用例是测试如此高的工作/空闲频率所使用的非常浅的空闲状态的空闲调速器。无论如何，我的 i7-2600K 测试系统上的典型循环时间已从几年前的每个循环约 3 微秒稳定增加到内核 5.7 的约 6.5 微秒。在其他类型的工作流程中，由于这些缓解措施而导致的性能下降是无法检测到的。

其中一些缓解措施可以在内核配置中关闭，但我从未尝试过。

我在哪里可以找到更多相关信息？

我不知道最好的参考，但尝试Ubuntu wiki。

这些是i5-9600K的列表：

Vulnerability Itlb multihit:     KVM: Mitigation: Split huge pages
Vulnerability L1tf:              Not affected
Vulnerability Mds:               Not affected
Vulnerability Meltdown:          Not affected
Vulnerability Spec store bypass: Mitigation; Speculative Store Bypass disabled via prctl and seccomp
Vulnerability Spectre v1:        Mitigation; usercopy/swapgs barriers and __user pointer sanitization
Vulnerability Spectre v2:        Mitigation; Enhanced IBRS, IBPB conditional, RSB filling
Vulnerability Tsx async abort:   Mitigation; TSX disabled

i7-2600K：

Vulnerability Itlb multihit:     KVM: Mitigation: Split huge pages
Vulnerability L1tf:              Mitigation; PTE Inversion; VMX conditional cache flushes, SMT vulnerable
Vulnerability Mds:               Mitigation; Clear CPU buffers; SMT vulnerable
Vulnerability Meltdown:          Mitigation; PTI
Vulnerability Spec store bypass: Mitigation; Speculative Store Bypass disabled via prctl and seccomp
Vulnerability Spectre v1:        Mitigation; usercopy/swapgs barriers and __user pointer sanitization
Vulnerability Spectre v2:        Mitigation; Full generic retpoline, IBPB conditional, IBRS_FW, STIBP conditional, RSB filling
Vulnerability Tsx async abort:   Not affected