由於內核支援的數量有限 Linux 由於 CPU 漏洞緩解模式的數量已達到 15 種,在核心命令列上列出所有漏洞已成為一項相當困難的任務,AMD 的一位核心開發人員提議,從配置阻止特定漏洞轉向選擇阻止攻擊向量。
建議根據隔離違規的類型來啟動封鎖方法:使用者和核心之間 (mitigate_user_kernel)、使用者和另一個使用者之間 (mitigate_user_user)、來賓系統和主機環境之間 (mitigate_guest_host)、不同來賓之間系統(mitigate_guest_guest)和不同執行緒之間(mitigate_cross_thread)。
所提出的方法將能夠僅啟動針對用戶真正關心的那些類別的漏洞的保護。例如,雲端環境的擁有者可以啟用mititate_guest_host和mititate_guest_guest模式,之後將啟動針對漏洞BHI、GD、L1TF、MDS、MMIO、Retbleed、RFDS、Spectre_v2、SRBDS、SRSO和TAA的保護方法。 ================================================= = === ============== ============ 漏洞用戶到核心用戶到用戶訪客到主機訪客到-訪客跨線程===== ======================== ============ ===== ======== = ========================= BHI XX GDS XXXX L1TF XX MDS XXXXX MMIO XXXXX 熔毀X 重新出血XXX RFDS XXXX Spectre_v1 X Spectre_v2 XX Spectre_v2_user XX SRBDS XXXX SRSO XX SSB TAA XXXXX
來源: opennet.ru
