CPU Vulnerabilities hata listesi

baris1 dedi:

Hata mi, sorun mu, acik listesi mi bilemedim ama Arch Linux guvenlik sayfasini takip ediyordum. Wiki de ve teker teker onerilenleri uyguluyordum. Islemci aciklari kismina geldigimde konsola

grep -r . /sys/devices/system/cpu/vulnerabilities/ yazdim ve su sekilde bir cikti aldim.


/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Enhanced / Automatic IBRS; IBPB: Conditional; RSB filling; PBRSB-eIBRS: SW sequence; BHI: SW loop, KVM: SW loop

/sys/devices/system/cpu/vulnerabilities/itlb_multihit:KVM: Mitigation: VMX unsupported

/sys/devices/system/cpu/vulnerabilities/ghostwrite:Not affected

/sys/devices/system/cpu/vulnerabilities/mmio_stale_data:Mitigation: Clear CPU buffers; SMT disabled

/sys/devices/system/cpu/vulnerabilities/mds:Not affected

/sys/devices/system/cpu/vulnerabilities/reg_file_data_sampling:Not affected

/sys/devices/system/cpu/vulnerabilities/l1tf:Not affected

/sys/devices/system/cpu/vulnerabilities/spec_store_bypass:Mitigation: Speculative Store Bypass disabled VIA prctl

/sys/devices/system/cpu/vulnerabilities/tsx_async_abort:Not affected

/sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization

/sys/devices/system/cpu/vulnerabilities/gather_data_sampling:Mitigation: Microcode

/sys/devices/system/cpu/vulnerabilities/retbleed:Mitigation: Enhanced IBRS

/sys/devices/system/cpu/vulnerabilities/spec_rstack_overflow:Not affected

Genişletmek için tıkla...

Işlemciler donanımsal hatalara sahiplerdir, yıllar içerisinde güvenlik araştırmacıları işlemcilerin fiziksel kusurları sebebiyle içinden veri çalabilme veya kod çalıştırma gibi ciddi güvenlik sorunlarını ortaya çıkarmışlardır.

Bu listede işlemcinizin sahip olduğu hatalar ve ne yapıldığı gösterilir:

• Mitigation yani önlem, o hataya sahip olduğunuzu ve bunun için Linux kernel geliştiricileri tarafından geliştirilmiş yazılımsal bir önlem alındığını gösterir.
• Microcode, o hataya sahip olduğunuzu ancak bu hatanın Intel ve AMD tarafından gelen işlemci yaması tarafından çözüldüğünü gösterir.
• Not mitigated, hataya sahip olup önlem alınmadığını.
• Not affected, işlemcinizin spesifik o hataya sahip olmadığını yani yamaya ihtiyaç duymadığını belirtir.

Windows'ta da aynı yamalar vardır ama kullanıcıya gösterilmez. Işlemcinin performans sağlayan alanları kapatıldığından veya performansı düşüren ek adımlar yapılır.

Donanımsal tasarım hataları olduğundan performans kaybı olmadan tam çözmekte imkansızdır. Neredeyse her işlemcinin bir güvenlik zaafiyeti vardır. Bu hataların çoğu çok ekstrem koşullarda ve birçok faktörün bir araya gelmesi sonucunda ancak uygulanabiliyor yani pratik olarak imkansız olsa da yine de yamalanıyor.

Linux'da performansınızı arttırmak istiyorsanız bütün bu performans düşüren güvenlik yamalarını kapatabiliyorsunuz.

baris1 dedi:

mitigations=off yapmaktan bahsediyorsunuz değil mi?

Genişletmek için tıkla...

Aynen.