如果我更新内核，我需要微码更新吗？

Question

存在CPU漏洞，微体系结构填充缓冲区数据采样。我使用Linux操作系统，我认为要修复微体系结构填充缓冲区数据采样，您需要更新intel微代码或将内核更新为一个固定的https://security-tracker.debian.org/tracker/CVE-2018-12130。

我将内核更新为微体系结构填充缓冲区数据采样固定的内核。之后，我运行幽灵熔毁检查器并获得状态:易受所有4种类型MFBDS的攻击。为什么？

 CVE-2019-11091 aka 'RIDL, microarchitectural data sampling uncacheable memory (MDSUM)'
* Mitigated according to the /sys interface:  NO  (Vulnerable: Clear CPU buffers attempted, no microcode; SMT disabled)
* Kernel supports using MD_CLEAR mitigation:  YES  (found md_clear implementation evidence in kernel image)
* Kernel mitigation is enabled and active:  NO 
* SMT is either mitigated or disabled:  YES 
> STATUS:  VULNERABLE  (Vulnerable: Clear CPU buffers attempted, no microcode; SMT disabled)

Answer 1

是的，你两者都需要。Linux端的更改利用了微代码端的更改来减轻这些可维护性，这两者都是其工作所必需的。

请注意，如果您真的想要减轻超线程，您还需要禁用超线程。

我要补充的是，英特尔发布了一些细节，说明如何使用一些代码序列来“也许”--也许--部分地减轻它的影响，即使没有微代码的改变，这些工作也是有效的。至少有一个BSD部署了这些，但是Linux没有(也没有计划)。很明显，他们并没有把事情减轻到值得争论的地步)。