我们都知道Spectre 和 Meltdown,此时。要点是,虽然 Meltdown 可以通过(复杂且侵入性的)内核补丁(即 KAISER/PTI)解决/解决,但 Spectre需要具有高级分支控制的更新微码。
直到几天前,Red Hat 发布了更新的microcode_ctl软件包,其中一些(但不是所有的) 情况下,具有适当的微码来修补/更新(在启动过程的早期)基础处理器微码。
然而,更新的微代码似乎会导致系统不稳定、意外重启甚至无法启动系统。因此,Red Hat 将软件包恢复microcode_ctl为不是加载修复 Spectre 所需的微代码更新。现在他们的官方建议是“联系他们的硅片供应商以获取其特定处理器的最新微码”。
虽然可以理解,但这种立场只会让“不稳定提供者”地位下降从操作系统到BIOS/固件本身。
所以,我的问题是:您对微代码更新有何看法?您是否已将新的 BIOS/固件应用于生产系统?有任何不稳定情况需要报告/评论吗?最后,我应该等待新的“补丁轮次”还是您建议立即应用 BIOS/固件修复?
答案1
我认为他们实际上不是这么说的。没有提到 UEFI/BIOS 更新或系统供应商/主板供应商(尽管如果可用并且新微代码可靠地工作,这肯定是一个不错的选择)。
至少对我来说,“建议客户联系他们的硅片供应商,以获得适用于其特定处理器的最新微代码”是指:“下载并使用当前微代码,风险自负,或向英特尔寻求修复版本”。
我还想象 Redhat 的决定是针对这个已知稳定性问题的版本,一旦有更新,我想他们会重新评估(可能再给它一点时间才向所有人推出)。
其他操作系统供应商也推出了类似的微代码更新,但现在已回滚了更新(例如VMware 的公告)。
总而言之,我的印象是,使用当前的微码版本(英特尔将其打包为20180108),似乎存在“稳定性问题,但关于其触发原因的信息很少”与“Spectre 缓解的可能性”之间的权衡,并且主要的操作系统供应商似乎在解决这些问题时都采取了“稳定性”的立场。
答案2
好的,似乎有多家供应商退休他们的 BIOS 更新,因此固件更新选项目前几乎不存在。例如,来自 DELL 网站:
补丁指南(更新 2018-01-22):英特尔已发布有关“重启问题和不可预测的系统行为”的新指南,其中包含为解决 Spectre(变体 2)CVE-2017-5715 而发布的 BIOS 更新中包含的微代码。戴尔建议所有客户此时不要部署针对 Spectre(变体 2)漏洞的 BIOS 更新。我们已从支持页面中删除受影响的 BIOS 更新,并正在与英特尔合作开发新的 BIOS 更新,其中将包含来自英特尔的新微代码。
如果您已经部署了 BIOS 更新,为了避免不可预测的系统行为,您可以恢复到以前的 BIOS 版本。请参阅下表。
提醒一下,操作系统补丁不受影响,仍可缓解 Spectre(变体 1)和 Meltdown(变体 3)的影响。微码更新仅适用于 Spectre(变体 2)CVE-2017-5715。
证实英特尔自己的文档
基本上,获取所需 ucode 的唯一方法是手动下载摘自英特尔网站
总结:我会等待微代码更新失败的后果解决。幸运的是,只需更新内核即可修补 Meltdown 和 Spectre 变体 n.1。