Компания AMD предложила упростить в ядре Linux управление блокировками уязвимостей CPU

Так как число поддерживаемых в ядре Linux режимов для противостояния уязвимостям в CPU достигло 15 и перечисление всех уязвимостей в командной строке ядра стало довольно сложной задачей, разработчик ядра из компании AMD предложил перейти от настройки блокировки конкретных уязвимостей к выбору блокировки векторов атаки.

Методы блокировки предлагается активировать в зависимости вида нарушения изоляции: между пользователем и ядром (mitigate_user_kernel), между пользователем и другим пользователем (mitigate_user_user), между гостевой системой и хост-окружением (mitigate_guest_host), между разными гостевыми системами (mitigate_guest_guest) и между разными потоками (mitigate_cross_thread).

Предложенный подход даст возможность активировать только защиту от тех классов уязвимостей, которые реально волнуют пользователя. Например, владельцы облачных окружений могут включить режимы mitigate_guest_host и mitigate_guest_guest, после чего будут активированы методы защиты от уязвимостей BHI, GD, L1TF, MDS, MMIO, Retbleed, RFDS, Spectre_v2, SRBDS, SRSO и TAA.

 
=============== ============== ============ ============= ============== ============
Vulnerability   User-to-Kernel User-to-User Guest-to-Host Guest-to-Guest Cross-Thread
=============== ============== ============ ============= ============== ============
BHI                   X                           X
GDS                   X              X            X              X
L1TF                                              X                            X        
MDS                   X              X            X              X             X        
MMIO                  X              X            X              X             X        
Meltdown              X
Retbleed              X                           X                            X        
RFDS                  X              X            X              X
Spectre_v1            X
Spectre_v2            X                           X
Spectre_v2_user                      X                           X
SRBDS                 X              X            X              X
SRSO                  X                           X
SSB         
TAA                   X              X            X              X             X        

Источник: http://www.opennet.ru/opennews/art.shtml?num=61876