Инженер из AMD предложил упростить в ядре Linux управление блокировками уязвимостей CPU
Так как число поддерживаемых в ядре Linux режимов для противостояния уязвимостям в CPU достигло 15 и перечисление всех уязвимостей в командной строке ядра стало довольно сложной задачей, разработчик ядра из компании AMD предложил перейти от настройки блокировки конкретных уязвимостей к выбору блокировки векторов атаки.
Методы блокировки предлагается активировать в зависимости вида нарушения изоляции: между пользователем и ядром (mitigate_user_kernel), между пользователем и другим пользователем (mitigate_user_user), между гостевой системой и хост-окружением (mitigate_guest_host), между разными гостевыми системами (mitigate_guest_guest) и между разными потоками (mitigate_cross_thread).
Предложенный подход даст возможность активировать только защиту от тех классов уязвимостей, которые реально волнуют пользователя. Например, владельцы облачных окружений могут включить режимы mitigate_guest_host и mitigate_guest_guest, после чего будут активированы методы защиты от уязвимостей BHI, GD, L1TF, MDS, MMIO, Retbleed, RFDS, Spectre_v2, SRBDS, SRSO и TAA.
=============== ============== ============ ============= ============== ============ Vulnerability User-to-Kernel User-to-User Guest-to-Host Guest-to-Guest Cross-Thread =============== ============== ============ ============= ============== ============ BHI X X GDS X X X X L1TF X X MDS X X X X X MMIO X X X X X Meltdown X Retbleed X X X RFDS X X X X Spectre_v1 X Spectre_v2 X X Spectre_v2_user X X SRBDS X X X X SRSO X X SSB TAA X X X X X
Источник: http://www.opennet.ru/opennews/art.shtml? num=61876
© OpenNet
