Mmio 过期数据已在虚拟机管理程序上修复,但在 kvm 客户机内部仍存在漏洞

Mmio 过期数据已在虚拟机管理程序上修复,但在 kvm 客户机内部仍存在漏洞

我的虚拟机管理程序告诉我Mmio stale data已修补:

Vulnerability Mmio stale data:      Mitigation; Clear CPU buffers; SMT disabled

但是当我检查运行 linux 的 kvm 时6.1.0-12-amd64,我看到了以下内容:

Mmio stale data:       Vulnerable: Clear CPU buffers attempted, no microcode; SMT Host state unknown

客户机使用带有以下附加 CPU 标志的主机 CPU: md-clear pcid spec-ctrl ssbd aes

如果这意味着我很容易受到攻击,我应该担心吗?这种攻击有多容易?

答案1

我相信这是可以预料到的,即使你做了正确的事情:在主机上禁用 SMT。

只要您的客户机正确判断主机存在漏洞,它们就会应用(目前有些人认为)适合单线程情况的缓解措施。客户机只是无法自行确认这一点,因为虚拟机管理程序提供单独的核心而实际上仅提供共享资源的情况并不少见。

一些虚拟机管理程序可以明确承诺他们将确保所有同级 SMT 线程(静态分配、非不安全共享且)可识别。据我所知,这仅由 Windows 客户机使用。Linux“主机状态未知”消息是硬编码的,不考虑HYPERV_CPUID_ENLIGHTMENT_INFO.EAX 位(18)

相关内容