[Centos6.5][谱]变式2未固定

Question

My (CentOS 6.5，内核版本2.6.32-696.18.7.el6.x86_64)正在ESXI服务器中运行(VMware ESXi 5.5.0 build-6480324，应用了补丁ESX550-201709001.zip)。

我安装了https://lists.centos.org/pipermail/centos-announce/2018-January/中提到的所有软件包

已安装的包列表为

kernel-debug-devel-2.6.32-696.18.7.el6.i686
kernel-2.6.32-696.18.7.el6.x86_64
kernel-doc-2.6.32-696.18.7.el6.noarch
kernel-debug-2.6.32-696.18.7.el6.x86_64
kernel-devel-2.6.32-696.18.7.el6.x86_64
kernel-debug-devel-2.6.32-696.18.7.el6.x86_64
libreport-plugin-kerneloops-2.0.9-19.el6.centos.x86_64
abrt-addon-kerneloops-2.0.8-21.el6.centos.x86_64
dracut-kernel-004-409.el6_8.2.noarch
kernel-headers-2.6.32-696.18.7.el6.x86_64
kernel-firmware-2.6.32-696.18.7.el6.noarch
kernel-abi-whitelists-2.6.32-696.18.7.el6.noarch
dracut-004-409.el6_8.2.noarch
dracut-kernel-004-409.el6_8.2.noarch    
elfutils-libs-0.164-2.el6.x86_64
elfutils-0.164-2.el6.x86_64
elfutils-libelf-devel-0.164-2.el6.x86_64
elfutils-libelf-0.164-2.el6.x86_64
elfutils-devel-0.164-2.el6.x86_64
microcode_ctl-1.17-25.2.el6_9.x86_64
python-perf-2.6.32-696.18.7.el6.x86_64
perf-2.6.32-696.18.7.el6.x86_64     

但是，仍将/sys/内核/调试/x86/ibrs_enabled设置为0，如果我执行

echo 2 > /sys/kernel/debug/x86/ibrs_enabled"

那么我们就得到了错误

"bash: echo:写错误:没有这样的设备“。

/sys/kernel/debug/x86/ibpb_enabled的内容也是0和

echo 1 > /sys/kernel/debug/x86/ibpb_enabled  

抛出相同的错误

"bash: echo:写错误:没有这样的设备“。

我用一个工具https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh来检测熔毁和幽灵是否被修复。幽灵变体1和熔毁得到固定，但不是变式2。

"CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  YES
*   Kernel support for IBRS:  YES
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)"

Answer 1

但是/sys/ echo 2 > /sys/kernel/debug/x86/ibrs_enabled /debug/x86/ibrs_enabled仍然被设置为0，如果我执行，那么我们将得到错误"bash: echo:写错误:没有这样的设备“。/sys/内核/debug/x86/ibpb_启用的内容也是0，而echo 1>/sys/内核/debug/x86/ibpb_启用引发错误"bash: echo:写错误:没有这样的设备“。

在Centos 6上(与CentOS 7不同)，为了能够编写go，您需要挂载内核调试器

 mount -t debugfs nodev /sys/kernel/debug

Answer 2

我有几个CentOS 6.x和CentOS 7主机。

我的主机运行在VMWare ESX主机上，因此它们需要修补以获得最新的cpu功能，如ibrs和spec_ctrl。

修补完主机后，所有VM都需要升级到VMWare硬件版本>= 9。

最后，我安装了CentOS提供的新内核，这些内核利用了微码更新添加的缓和特性。

正如VMWare所述，您需要为每个VM提供动力，以使新的CPU功能就绪。

在动力循环(重新启动)之前，不可能执行echo 2>/sys/内核/debug/x86/ibrs_enabled

在权力循环之后，它就像一种魅力一样工作，我的所有CentOS VM都减轻了所有3种谱变体的作用。我创建了一个cron作业，在每次重新引导时将ibrs_enabled设置为2，因为这个设置不会持续，但如果可用微码提供的新功能，CentOS内核默认将其设置为1。