我在 ThinkPad T420 (i5-2520M) 上运行 Debian Buster (10.3),安装了当前的 intel-microcode 软件包。为了检查已知的 CPU 漏洞,我使用了 spectre-meltdown-checker 脚本(https://github.com/speed47/spectre-meltdown-checker)这导致了这个输出:
根据该脚本,所有 CVE 均与微架构数据采样 (MDS) 漏洞相关(在 Linux 内核用户和管理员指南中指定,网址为:https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html)已固定在我的系统上。
让我想到的是,这cat /sys/devices/system/cpu/vulnerabilities/mds
意味着Mitigation: Clear CPU buffers; SMT vulnerable
“处理器容易受到攻击,并且启用了 CPU 缓冲区清除缓解措施”。和“SMT 已启用”。
应该如何解释工具的输出,或者更好地询问,我可以信任哪个工具?
答案1
两种工具都一致;默认情况下,spectre-meltdown-checker
即使 SMT 存在问题,也会将漏洞标记为已修复。如果添加--paranoid
标志,您应该会看到许多绿色框变为红色。
在您的设置中,除了由您决定禁用 SMT 之外,所有可用的修复都会应用于您的系统。也可以看看我是否需要针对我的微架构数据采样 (MDS) 状态采取行动?
您最信任哪个工具取决于测试的最新程度;拉取最新版本spectre-meltdown-checker
通常可以确保那里的测试是最新的。