Этот сайт лучше всего просматривать в современном браузере с включённым JavaScript.

CPU - Уязвимости Meltdown и Spectre

MTv

В этом топике будет собрана информация по уязвимостям, включая софт для проверки системы и способы отключения. После установки заплатки для Meltdown, падает производительность ЦП от 10% до 60%.

Проблемы получили имена:

CVE-2017-5754 - Meltdown | nopti 
CVE-2017-5753 - Spectre v1 |
CVE-2017-5715 - Spectre v2 | spectre_v2=off
CVE-2018-3639 - Spectre v4 | nospec_store_bypass_disable

Так как механизмы защиты приводят к снижению производительности, предусмотрены опции для их отключения, которые могут применяться на системах с минимальным риском атаки, например на однопользовательских рабочих станциях.

Linux:

Как проверить?
Shell Script - spectre-meltdown-checker

Linux Kernel 4.15: [link] | [Linus]
В состав ядра Linux добавлен диагностический вызов в sysfs для быстрого определения степени устранения уязвимостей Meltdown и Spectre, который привязан к директории "/sys/devices/system/cpu/vulnerabilities/":

# grep . /sys/devices/system/cpu/vulnerabilities/*
# ls -1A /sys/devices/system/cpu/vulnerabilities
# cat /sys/devices/system/cpu/vulnerabilities/*

Есть еще сайт: make-linux-fast-again.com
При переходе на него - выводит актуальный список опций.

 - От 10.01.2020
noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off tsx=on tsx_async_abort=off mitigations=off

Debian Stretch:

Рекомендации по безопасности.
DSA-4078-1 linux от 04.01.2018

Как отключить?
Передаем ядру команды "GRUB_CMDLINE_LINUX_DEFAULT = """.

# nano /etc/default/grub.d/cve-disable.cfg
GRUB_CMDLINE_LINUX_DEFAULT="noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off"
# update-grub
 - Проверка скорости до и после заплатки,
# dd if=/dev/zero of=testfile bs=512 count=5000000

Ссылки по теме:

MitigationControls

CentOS:

Ссылки по теме:

Controlling the Performance Impact of Microcode and Security Patches;

Как отключить:

# nano /etc/default/grub.d/cve-disable.cfg
GRUB_CMDLINE_LINUX_DEFAULT = "noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off"
# grub2-mkconfig -o /boot/grub2/grub.cfg

Windows:

Начиная с "build 1809" Windows будет подгружать "microcode" с помощбю файлика "mcupdate_GenuineIntel.dll" находится в C:\Windows\System32. Для получения лучшей производительности необходимо переименовать его или удалить. Обновление KB4100347.

Ссылки по теме:

Программы:

Online

Spectre CPU Vulnerability Online Checker;

Обсуждения:

LINUX.ORG.RU: | 1 | 2 | 3 |
Geektimes: | 1 | 2 |
Phoronix: | 1 + Comments |