/log/messagesでCVE-2018-3646エラーを示すログが見つかりました。リンクは次のとおりです。https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/l1tf.html)。特定の脆弱性を特定するために、リンク(/sys/devices/system/cpu/vulnerability/l1tf)で参照されているファイルパスにアクセスしました。この問題をどのように解決できますか?これらの設定を変更すると発生する可能性がありますか?
答え1
訪問者緩和メカニズムあなたができるすべてのことのリストを作成してください。最も簡単な解決策:を使用するl1tf=full kvm-intel.vmentry_l1d_flush=always
とパフォーマンスが低下します(特にこのオプションはハイパースレッディングを無効にするため、マルチスレッディング)。しかし、脆弱性の実際の影響にはまったく興味がないようです。問題を解決するだけに興味があるだけです。それでも。
ちなみに、現在までCPUアーキテクチャのバグを悪用するエクスプロイトは見つかりませんでした。
答え2
Artem S. Tashkinovの回答すべてのL1TF緩和を完全に有効にする方法を説明します。
既知の脆弱性がないと述べたArtemに加えてすでに緩和策の恩恵を受ける。 PTE反転が有効になり、ユーザーを保護します。VMベースではなく、すべての攻撃から保護されます。- たとえば、潜在的なブラウザベースの攻撃があります。条件付き VMX キャッシュフラッシュも有効になります。悪意のあるVMがホストから秘密を抽出できない、ハイパーバイザーのアドレス空間レイアウト(ピギーバック攻撃を容易にすることができます - 繰り返しますが、これは私たちが知っている限りすべて理論的なものです)に追加されます。
追加の軽減機能を有効にすることは、信頼できない仮想マシンを実行してもL1TFを使用した悪用が発生しないようにしたい場合にのみ役立ちます。複数のテナント用の仮想マシンをホストしない限り、これは関連するセキュリティ脅威になる可能性はありません。