So schaut das jetzt unter Linux auf einer
Intel Core i5 4xxx CPU aus:
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: SMT disabled, L1D conditional cache flushes
/sys/devices/system/cpu/vulnerabilities/mds:Mitigation:Clear CPU buffers; SMT disabled
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpoline, IBPB, RSB filling
Interessant ist, dass das Paket für den neuen Intel-Microcode das Datum 14. Mai 2019 trägt. — Das war noch vor der offiziellen Veröffentlichung.
ucode-intel-20190514
Neu ist der Kernel-Bootparameter «
mitigations=off», falls jemand ohnehin in einer sicheren Umgebung arbeitet und daher die gesamten Fixes der CPU-Sicherheitslücken auf
einmal abschalten will. Allerdings funktioniert das beim Linux LTS-Kernel 4.4.179 anscheinend doch nicht vollständig:
/sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion; VMX: SMT disabled, L1D vulnerable
/sys/devices/system/cpu/vulnerabilities/mds:Vulnerable; SMT disabled
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: IBRS+IBPB