幽灵的微码更新？

Question

在这一点上，我们都知道幽灵与熔毁。“拿走”是使用(复杂和侵入性的)内核修补程序(即KAISER/PTI)解决/处理熔毁问题，谱需要具有高级分支控制的更新的微码。

直到几天前，Red还发布了一个更新过的microcode_ctl包，在某些情况下(但并不是全部)有适当的微码来修补/更新(在引导过程的早期)基本处理器的微代码。

然而，更新后的微码似乎会导致系统不稳定、意外重启甚至无法启动的系统。因此，Red恢复了microcode_ctl包，以避免加载修复谱所需的微码更新。现在他们的官方建议是与他们的硅供应商联系，为他们的特定处理器获取最新的微码。

虽然可以理解，但这种立场只会将“不稳定提供者”从从操作系统转移到BIOS/固件本身。

所以，我的问题是:你对微码更新有什么感觉？您是否将新的BIOS/固件应用于生产系统？报告/评论有不稳定的地方吗？最后，我应该等待一个新的“补丁圆”，还是建议您立即应用BIOS/固件修复？

Answer 1

我不认为他们实际上是这么说的。没有提到UEFI/BIOS更新或系统供应商/主板供应商(虽然这当然是一个很好的选择时，如果新的微码是可靠的)。

至少对我来说，“建议客户与他们的硅供应商联系，为他们的特定处理器获取最新的微码”：“下载并使用当前的微码，由你自己承担风险，或者为一个固定版本安装英特尔。”

我还设想Redhat的决定是针对这个版本，特别是对于已知的稳定性问题，一旦有了更新，我就会想象他们会重新评估(可能在向每个人推出之前给它多一点时间)。

还有其他的操作系统供应商也同样推出了微码更新，现在已经回滚他们的更新(参见VMware的声明)。

总之，我的印象是，以目前的微码版本(由英特尔打包为20180108)，似乎存在着“稳定问题与触发它们的宝贵信息”和“减少幽灵的可能性”的权衡，而主要的操作系统供应商似乎在解决这些问题时站在“稳定”的一边。

Answer 2

好的，似乎有多家供应商已经退出了他们的BIOS更新，所以固件更新选项目前几乎不存在。例如，从戴尔网站：

补丁指南(更新2018-01-22)：英特尔已经传达了关于“重新启动问题和不可预测的系统行为”的新指南，其中包含了BIOS更新以地址谱(变体2) ( CVE-2017-5715 )中包含的微代码。戴尔建议，目前所有客户都不应该为谱(变体2)漏洞部署BIOS更新。我们已经从我们的支持页面中删除了受影响的BIOS更新，并正在与Intel合作进行新的BIOS更新，其中将包括来自Intel的新的微码。如果您已经部署了BIOS更新，为了避免不可预测的系统行为，您可以恢复到以前的BIOS版本。见下表。提醒您，操作系统修补程序不会受到影响，并且仍然可以减轻幽灵(变式1)和熔毁(变式3)的影响。微码更新只要求谱(变式2)，CVE-2017-5715。

英特尔自己的文档证实了这一点。

基本上，获得所需的ucode的唯一方法是手动下载来自英特尔网站。

TL;DR:我会拭目以待，看看失败的微码更新的后果如何。幸运的是，只需更新内核就可以修补熔毁和幽灵变体n.1。