我在 /log/messages 中发现一条日志,显示 CVE-2018-3646 错误,链接如下:(https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/l1tf.html)。我已从链接(/sys/devices/system/cpu/vulnerability/l1tf)访问了提到的文件路径以检查特定漏洞,它显示“缓解:PTE 反转; VMX:条件缓存刷新,SMT 易受攻击”。我怎样才能解决这个问题?更改这些设置可能会产生任何后果吗?
答案1
访客缓解机制列出你可以做的一切。最简单的解决方案:使用l1tf=full kvm-intel.vmentry_l1d_flush=always.这会破坏性能(特别是多线程,因为此选项禁用超线程),但看起来您对漏洞的真正影响并不完全感兴趣,您只是对无论如何解决它感兴趣。
提醒一下:迄今为止,利用 CPU 架构错误在野外发现的漏洞利用次数为零。
答案2
Artem S. Tashkinov 的回答解释如何完全启用所有 L1TF 缓解措施。
除了 Artem 指出没有已知的漏洞之外,值得注意的是,您确实存在已经从缓解措施中受益。 PTE 反转已启用,这可以保护您免受所有非基于虚拟机的攻击— 例如,潜在的基于浏览器的攻击。还启用了条件 VMX 缓存刷新,这意味着恶意虚拟机无法从主机中提取机密,除了虚拟机管理程序的地址空间布局(这可能有助于背负式攻击——同样,据我们所知,这都是理论上的)。
仅当您想要保证运行不受信任的虚拟机不会导致使用 L1TF 的利用时,启用任何进一步的缓解措施才有用。除非您为多个租户托管虚拟机,否则这不太可能成为相关的安全威胁。