我在日志中注意到了与微架构数据采样相关的消息:
kernel: MDS CPU bug present and SMT on, data leak possible. See https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html for more details.
该 URL 指的是微架构数据采样。其 wiki 页面上写道:“...黑客可以利用此漏洞窃取受影响微处理器最近访问的信息。”
如果服务器不在互联网上,而是在 LAN 上用作内联网服务器,那么这个漏洞是否值得担心?
即使是在互联网上,黑客又如何能够通过MDS进入微处理器并窃取信息呢?
我看到解决方案之一是禁用超线程,但性能会受到影响。
最后一个问题是,安全性是 MDS 唯一需要关注的问题吗?或者它是否会导致其他问题?
答案1
这个漏洞被称为“MDS”;安全是这个漏洞的全部意义所在。
微架构数据采样是一种硬件漏洞,允许对各种 CPU 内部缓冲区中的数据进行非特权推测访问。
威胁来自互联网以外的来源。想象一下运行某个开发人员导入到您的基础设施中的容器映像。它使用 MDS 侧信道攻击泄露来自主机或其他容器的私钥!
用户空间代码使用常规指令来推断它不应该看到的数据幽灵。
目前,这种类型的攻击大多(完全?)是理论上的。不容易利用,需要推断缓存值,而无法控制哪些内存地址。但是,在主机、客户机和容器之间泄露数据的可能性本身就很严重。此警告是为了提醒您,以防您想对此采取措施。
全面缓解措施是内核 + 微代码 + 禁用 SMT(又称 HT)。当然要考虑内核和微代码,它们包括其他安全和质量更新。尝试在服务器硬件中或使用 Linux 启动选项禁用 SMT。如果性能受到太大影响,请对使用 HT 运行进行风险评估。
资源部分英特尔的 MDS 页面是多个操作系统和硬件供应商的良好指数。
这仅影响英特尔处理器。AMD 或 x86 以外的架构不会受到 MDS 的影响。