CVE-2018-3640 [Rogue System Register Read](「Variant 3a」とも呼ばれます)およびCVE-2018-3639 [Speculative Storage Bypass](別名「Variant 4」)を変更する方法です。彼らに対する私の立場は脆弱です。 Intel CPUがあり、カーネル4.17を使用します。
Spectreを非常に簡単に修正できる007というフレームワークがあることをウェブサイトで見ましたが、githubでは見つかりませんでした。
答え1
この記事を書いている時点で、亜種3aと4を軽減するには最新のCPUマイクロコードアップデートが必要ですが、すべてのIntel CPUがこれらの緩和機能をリリースしたわけではありません。Linuxシステム用の2018年7月のIntelマイクロコードパッケージ。。
時には、Linux用にパッケージ化された最新のマイクロコードを入手するのに時間がかかることがあります。これは、さまざまなバージョンのマイクロコードを使用できると主張するGithubサイトです。、インターネット上のランダムな人が最新のファームウェアを含む新しいシステムからインポートされます。使用による責任はユーザーにあります。
マイクロコードアップデートは、システムファームウェア(= BIOS / UEFIアップデート)および/またはオペレーティングシステムで提供できます。マイクロコードの更新はCPUに保持されません。システムを再起動するたびに再ロードする必要があります。これがシステムファームウェアにマイクロコードアップデートを含めることが「最良の」オプションであるように見える理由です。これにより、ファームウェアではなくコードが実行される前に常にアップデートがロードされることが保証されます。
Intelハードウェアを使用した最新のLinuxディストリビューションでは、マイクロコードパッケージをダウンロードし、iucode-tool
withオプションを使用して-S -l
パッケージにCPUと一致する更新されたマイクロコードが含まれていることを確認し、withオプションを使用して-S -K
適切なLocationの下に更新されたマイクロコードを書くことができます/lib/firmware/intel-ucode
。次に、initramfs
/ファイルを更新しinitrd
て再起動します。
Spectreの問題は、実際の修正には次のレベルの変更が必要であることです。CPU設計原理。現在までにリリースされたマイクロコードとオペレーティングシステムのパッチは次のとおりです。緩和策つまり、根本的な問題を必ずしも解決するわけではありませんが、悪用を不可能にします(または少なくとも非常に非効率的です)。
「Spectreを簡単に修正する」と主張する「フレームワーク」は、私にヘビ油のように聞こえます。