Debian Stretchに最新のIntelマイクロコードをインストールすることはできません。

Debian Stretchに最新のIntelマイクロコードをインストールすることはできません。

私はDebian Stretchを実行しているコンピュータでSpectre 2をパッチしようとしています。intel-microcodeパッケージをインストールしましたstrech-backports

https://packages.debian.org/stretch-backports/intel-microcode

これには、Intelの2018-03-12マイクロコードアップデートが含まれます。再起動後、私は実行しsudo dmesg | grep 'microcode'ます

[    1.180101] microcode: sig=0x30678, pf=0x8, revision=0x831
[    1.180418] microcode: Microcode Update Driver: v2.01 
<[email protected]>, Peter Oruba

私が知っている限り、これは私のプロセッサの最新バージョンではありません。私のプロセッサは、Bay Trailシリーズの一部であるIntel Celeron N2840です。 ~によると

https://newsroom.intel.com/wp-content/uploads/sites/11/2018/03/microcode-update-guidance.pdf

すべてのベイトレイルはマイクロコードのアップデートを受け取る必要がありますが、いかなるリビジョンも私と同じではありません。また、spectre-meltdown-checker.shスクリプトは次のように言います。

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (Mitigation: Full 
generic retpoline - vulnerable module loaded)
* Mitigation 1
  * Kernel is compiled with IBRS support:  NO 
    * IBRS enabled and active:  UNKNOWN 
  * Kernel is compiled with IBPB support:  YES 
    * IBPB enabled and active:  NO 
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO 
  * Kernel compiled with retpoline option:  YES 
    * Kernel compiled with a retpoline-aware compiler:  YES  (kernel 
reports full retpoline compilation)
> STATUS:  VULNERABLE  (IBRS+IBPB or retpoline+IBPB is needed to mitigate 
the vulnerability)

マイクロコードアップデートが正しくインストールされ使用されていることを確認するにはどうすればよいですか?

数時間後に修正してください。

私はIntel Core i5-5200Uプロセッサ(Broadwell)を搭載したコンピュータとDebian Stretchで上記のプロセスを実行しました。そのコンピュータでは、スクリプトは「脆弱ではない」と言い、Spectre v2を軽減するマイクロコードがあります。dmesg | grep 'microcode'また、上記のリンクされたIntelドキュメントに記載されているリビジョンがあることを示します。

また、以前のIntel Core 2 Duo Penrynプロセッサを搭載したコンピュータでこの手順を実行しました。 IntelはSpectre v2を軽減するためのマイクロコードを提供していません。これはこのコンピュータのスクリプト結果です。

CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface:  YES  (Mitigation: Full generic retpoline)
* Mitigation 1
  * Kernel is compiled with IBRS support:  NO 
    * IBRS enabled and active:  UNKNOWN 
  * Kernel is compiled with IBPB support:  YES 
    * IBPB enabled and active:  NO 
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO 
  * Kernel compiled with retpoline option:  YES 
    * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
> STATUS:  NOT VULNERABLE  (Full retpoline is mitigating the vulnerability)
IBPB is considered as a good addition to retpoline for Variant 2 mitigation, but your CPU microcode doesn't support it

私はこれをSpectre v2(カーネル専用攻撃、そうですか?)を軽減するレプトラインとして解釈しますが、IBPBはマイクロコードアップデートを実行することをお勧めします。

私の最初のコンピュータ(Intel Celeron N2840プロセッサを搭載したコンピュータ)少なくとも私の最後のコンピュータと同じレプトライン緩和ですか?そうではありませんか?返品中間コンピュータとしてマイクロコード緩和はありますか?

答え1

Skylakeと最新のプロセッサでは、リトポリンはSpectre V2を完全に軽減するのに十分ではありません。 Bay Trailがデスクトッププロセッサ世代とどのように比較されるかはわかりませんが、Skylakeに似た予測ロジックを使用できます。

また、マイクロコードガイドPDFには、Celeron Nxxxxシリーズ用のマイクロコードが「生産中」と記載されていますが、Linuxマイクロコードファイルの最新リリースには含まれていないようです。一部の人々はこれについて非常に冷淡です。 https://communities.intel.com/thread/124308

関連情報