Spectre亜種#2の修正を使用するために最新のIntelマイクロコードアップデートをインストールしましたが、スペクター&メルトダウンチェッカーそれでもIBRS / IBPBが利用できないとマークされています。
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: YES
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel has branch predictor hardening (arm): NO
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (Your kernel is compiled with IBRS but your CPU microcode is lacking support to successfully mitigate the vulnerability)
dmesg は、最新バージョンがインストールされていることを示します。
# dmesg | grep microcode
[ 1.199842] microcode: CPU0 sig=0x206d7, pf=0x1, revision=0x713
[ 1.199860] microcode: CPU1 sig=0x206d7, pf=0x1, revision=0x713
[ 1.199877] microcode: CPU2 sig=0x206d7, pf=0x1, revision=0x713
[ 1.199898] microcode: CPU3 sig=0x206d7, pf=0x1, revision=0x713
[ 1.199966] microcode: Microcode Update Driver: v2.01 <[email protected]>, Peter Oruba
CPUはIntel(R) Xeon(R) CPU E5-2420 0 @ 1.90GHzあり、ホストタイプはです。ESXi-5.1.0-20130402001-standard
答え1
5.5より前のESXiバージョンは、IPBBおよびIBRSハイパーバイザーのパススルーに必要な機能をサポートしていません。バラよりVMwareサポート技術情報もっと学ぶ。
Spectre Variant 2の影響を軽減するには、ESXiをアップグレードするか、リトポリンサポートカーネルに切り替える必要があります。