「Retbleed」攻撃からシステムを保護するためにカーネルを更新しており、知っています。影響を受ける32ビット項目はまだ必要な緩和を受けていません。。完全に保護するには、Linuxカーネルでどの32ビット機能を無効にする必要があるかを知りたいです。
CONFIG_X86_X32_ABIこれまで見つけましたCONFIG_IA32_EMULATION。可能であれば、32ビットバイナリ実行機能を維持したいのですが、パフォーマンスは低下します。次の設定オプションのいずれか(またはその両方)がこの脆弱性を有効にしますか?無効にする必要がある他の機能はありますか?
わかりました一部の古いCPUは、完全に保護するためにSMTを無効にする必要があります。しかし、私のCPUはそのうちの1つではありません。
答え1
32ビットカーネルの実行。
オンにできる場合は、CONFIG_IA32_EMULATION32ビットカーネルを実行していません。
64ビットカーネルを実行しています。これは実行に適したタイプのカーネルです。構成の変更は不要です。
https://lore.kernel.org/lkml/Ys%[Eメール保護]/
x86システムからi386カーネルを起動します。 Spectre V2パッチがLinuxのメインラインにマージされるにつれて、RETBleedについて学びました。警告:Spectre v2の軽減により、CPUがRETBleed攻撃に対して脆弱になり、データの漏洩が発生する可能性があります。
それは面白いですね。私はこれが見ることができる有効な組み合わせであるとは思わないが、Pawanが見るべき「実際の」項目であるかどうかについてコメントする。
はい、これまで誰も32ビットを修正することに興味はありません。誰かが本当に良い心配になって努力したいので、パッチを見直す必要があると思いましたが、真剣に言えば、Skylake / Zenベースのシステムで32ビットカーネルを実行しないでください。それはただ愚かなことです。