[Centos6.5] [Specter] variante 2 não sendo consertado

Navegue suas respostas
1

O meu Guest os (CentOS 6.5, versão do kernel 2.6.32-696.18.7.el6.x86_64) está sendo executado no servidor ESXI (VMware ESXi 5.5.0 build-6480324,     o patch ESXi550-201709001.zip foi aplicado)
Eu instalei todos os pacotes mencionados no link

A lista de pacotes instalados é 

kernel-debug-devel-2.6.32-696.18.7.el6.i686
kernel-2.6.32-696.18.7.el6.x86_64
kernel-doc-2.6.32-696.18.7.el6.noarch
kernel-debug-2.6.32-696.18.7.el6.x86_64
kernel-devel-2.6.32-696.18.7.el6.x86_64
kernel-debug-devel-2.6.32-696.18.7.el6.x86_64
libreport-plugin-kerneloops-2.0.9-19.el6.centos.x86_64
abrt-addon-kerneloops-2.0.8-21.el6.centos.x86_64
dracut-kernel-004-409.el6_8.2.noarch
kernel-headers-2.6.32-696.18.7.el6.x86_64
kernel-firmware-2.6.32-696.18.7.el6.noarch
kernel-abi-whitelists-2.6.32-696.18.7.el6.noarch
dracut-004-409.el6_8.2.noarch
dracut-kernel-004-409.el6_8.2.noarch    
elfutils-libs-0.164-2.el6.x86_64
elfutils-0.164-2.el6.x86_64
elfutils-libelf-devel-0.164-2.el6.x86_64
elfutils-libelf-0.164-2.el6.x86_64
elfutils-devel-0.164-2.el6.x86_64
microcode_ctl-1.17-25.2.el6_9.x86_64
python-perf-2.6.32-696.18.7.el6.x86_64
perf-2.6.32-696.18.7.el6.x86_64

Mas / sys / kernel / debug / x86 / ibrs_enabled ainda está definido como 0 e se eu executar 

echo 2 > /sys/kernel/debug/x86/ibrs_enabled"

então estamos recebendo o erro

"bash: echo: write error: No such device".

O conteúdo de /sys/kernel/debug/x86/ibpb_enabled também é 0 e 

echo 1 > /sys/kernel/debug/x86/ibpb_enabled

gera o mesmo erro

"bash: echo: write error: No such device" .

Eu usei uma ferramenta link para     detectar se o colapso e o espectro foram corrigidos. Variante 1 e fusão do espectro foram corrigidos, mas não a variante 2. 

"CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
*   Hardware (CPU microcode) support for mitigation:  YES
*   Kernel support for IBRS:  YES
*   IBRS enabled for Kernel space:  NO
*   IBRS enabled for User space:  NO
* Mitigation 2
*   Kernel compiled with retpoline option:  NO
*   Kernel compiled with a retpoline-aware compiler:  NO
> STATUS:  VULNERABLE  (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)"
    
por nitnit1981 10.01.2018 / 14:05

2 respostas

1

But /sys/kernel/debug/x86/ibrs_enabled is still set to 0 and if I execute echo 2 > /sys/kernel/debug/x86/ibrs_enabled then we are getting the error

"bash: echo: write error: No such device" .

     

O conteúdo de / sys / kernel / debug / x86 / ibpb_enabled também é 0 e echo 1 > / sys / kernel / debug / x86 / ibpb_enabled lança o erro

     

"bash: echo: write error: No such device

No Centos 6 (ao contrário do CentOS 7) para poder gravar esses locais você precisa montar o kernel debugfs 

 mount -t debugfs nodev /sys/kernel/debug
    
por 10.01.2018 / 14:21
0

Eu tenho vários hosts do CentOS 6.xe do CentOS 7.

Meus hosts são executados em hosts VMWare ESX, portanto, eles precisavam de correção para obter os recursos de CPU mais recentes, como ibrs e spec_ctrl.

Após corrigir os hosts, todas as VMs precisaram de uma atualização para a versão de hardware VMWare > = 9.

Por fim, instalei os novos kernels fornecidos pelo CentOS, que utilizam recursos de mitigação adicionados pela atualização do microcódigo.

Como afirma o VMWare, você precisa desligar e ligar todas as máquinas virtuais para obter os novos recursos da CPU.

Antes do ciclo de energia (reinicializações) era impossível executar o echo 2 > / sys / kernel / debug / x86 / ibrs_enabled

Após o ciclo de energia, funcionou como um encanto e todas as 3 variantes do Specter foram mitigadas em todas as minhas VMs do CentOS. Eu criei uma tarefa do cron que define ibrs_enabled como 2 em cada reinicialização, pois essa configuração não persistirá, embora o kernel CentOS defina como 1, por padrão, se os novos recursos fornecidos pelo microcódigo estiverem disponíveis.

    
por 16.01.2018 / 14:52

Tags

Proxy reverso NGINX com autenticação de cliente SSL opcional Backup do Cloudberry Re-Upload de cópias do arquivo inalterado