現在、Intel-MicrocodeパッケージがインストールされているThinkPad T420(i5-2520M)でDebian Buster(10.3)を実行しています。既知のCPUの脆弱性を確認するためのspectre-meltdown-checkerスクリプト(https://github.com/speed47/spectre-meltdown-checker) 結果は次のとおりです。
スクリプトによると、すべてのCVEは、次のLinuxカーネルユーザーおよび管理者ガイドで指定されているマイクロアーキテクチャデータサンプリング(MDS)の脆弱性に関連しています。https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html)が私のシステムで修正されました。
浮上するのは、「プロセッサが脆弱でCPUバッファの消去緩和が有効になっている」というcat /sys/devices/system/cpu/vulnerabilities/mds意味です。Mitigation: Clear CPU buffers; SMT vulnerableと「SMTを有効にする」。
ツールの出力をどのように解釈する必要がありますか?あるいは、どのツールを信頼できるか尋ねる方が良いでしょう。
編集:これは--paranoidオプションが有効な出力です。
答え1
どちらのツールも一貫性があり、デフォルトでspectre-meltdown-checkerSMTは問題が発生しても脆弱性を修正としてマークします。フラグを追加すると、--paranoid多くの緑色のボックスが赤色に変わることがわかります。
設定でSMTを無効にすることを決定したことを除き、利用可能なすべての修正がシステムに適用されます。また、見ることができますマイクロアーキテクチャデータサンプリング(MDS)の状態に対処する必要がありますか?
最も信頼できるツールは、テストがどれほど最新であるかによって異なります。spectre-meltdown-checker通常、最新バージョンをインポートすると、テストは最新の状態に保たれます。