Powitać. No bujam się wciąż na tych gałęziach i skaczę z drzewa na drzewo niczym małpa. Tylko, że małpy generalnie, są inteligentne… 
Przeglądając ostatnio dziennik, znalazłem wyróżniony kolorem żółtym, wiersz: MDS CPU bug present and SMT on, data leak possible. Wiem czego dotyczy i wyłączenie HT w bios, likwiduje tę dziurę, ale zasadniczo rzecz rozbija się o to, że w Manjaro i w Mabox, tudzież Debianie,Ubuntu, ten komunikat nie występował. Czy zatem jest to kwestia odpowiednich łatek zaimplementowanych w Kernel, czy może jednak ślepy byłem i wcześniej tego nie wyłapałem? A może po prostu trzeba by, zainstalować starszy kernel z linii lts?
Aby się pozbyć tego wpisu w logu musisz dodać do Grubego taką treść
GRUB_CMDLINE_LINUX_DEFAULT="mds=full,nosmt"
I oczywiście przeładować
sudo update-grub
“Pozbyć się” poprzez załatanie, czy tylko co by oka nie drażniło?
Miałem ten komunikat w logu jeszcze na jajku 5.17, a teraz na 5.18 on zniknął.
Do tej pory miałem 5.18, teraz zmieniłem na 5.15 LTS, ale to nic nie dało. Ogólnie kompletnie nie odczuwam różnicy pomiędzy HT i większa ilością wątków, a jego brakiem, no ale jak coś może działać, to powinno. Możliwe, że kernel 5.4, którego dotychczas używałem w Mabox, posiada odpowiednie łatki.
Już nie pamiętam czy ten komunikat pojawiał się u mnie gdy miałem kompa z procesorem i3-2100. Bo obecnie mam kompa z i5-4590, i mnie się wydaje że ten błąd wynika z tego że np. i3-2100 ma 2 rdzenie i 4 wątki, natomiast i5-4590 ma 4 rdzenie i 4 wątki. Tak więc chyba o to chodzi.
No ja mam i7 tyle że pierwszej generacji. 4 rdzenie, osiem wątków z HT. Poza tym to nie błąd @robson75 , a podatność. Jak się chronić przed usterką Meltdown i Spectre? nie specjalnie lubię takie serwisy, ale nie stać mnie dziś na bardziej wyrafinowane źródła
Owszem jest taka podatność, ale z tego co mi wiadomo nie dotyczy ona procesorów sprzed 6 generacji Intela.
https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html
EDIT: Dodam jeszcze, że podstawowe informacje o tym jakie podatności ma wasz procesor pokaże lscpu, a bardziej obszerny raport da spectre-meltdown-checker
1 polubienie
Cytat z tego pseudo źródła, aczkolwiek potwierdzony: “Pierwszą podatnością – Meltdown – objęte są wszystkie procesory Intela wyprodukowane po 1995 roku”.
Meltdown to nie to samo co MDS.
No MDS przetłumaczyłem sobie jako skrót związany meltdown 
zaraz posprawdzam tym narzędziem bo widzę, że w aur jest.
W Manjaro jest w repozytoriach i jest domyślnie zainstalowane.
No tu nie ma, jak wielu innych rzeczy, ale już na pokładzie. Ino umieć jeszcze trzeba to obsłużyć
Po prostu spectre-meltdown-checker, chyba że masz jakieś wymagania to odsyłam do --help
Jest ok. Sklerotyk zapomniał o makepkg takie mam wyniki:
CPU vulnerability to the speculative execution attack variants
* Affected by CVE-2017-5753 (Spectre Variant 1, bounds check bypass): YES
* Affected by CVE-2017-5715 (Spectre Variant 2, branch target injection): YES
* Affected by CVE-2017-5754 (Variant 3, Meltdown, rogue data cache load): YES I się dowiedziałem przy okazji, że muszę zrobić update mikrokodu cpu.
@robson75 grzecznie odszczekuję po włączeniu HT, takie wyniki:
CVE-2017-5753 aka 'Spectre Variant 1, bounds check bypass'
* Mitigated according to the /sys interface: YES (Mitigation: usercopy/swapgs barriers and __user pointer sanitization)
* Kernel has array_index_mask_nospec: YES (1 occurrence(s) found of x86 64 bits array_index_mask_nospec())
* Kernel has the Red Hat/Ubuntu patch: NO
* Kernel has mask_nospec64 (arm64): NO
* Kernel has array_index_nospec (arm64): NO
> STATUS: NOT VULNERABLE (Mitigation: usercopy/swapgs barriers and __user pointer sanitization)
CVE-2017-5715 aka 'Spectre Variant 2, branch target injection'
* Mitigated according to the /sys interface: YES (Mitigation: Retpolines, IBPB: conditional, IBRS_FW, STIBP: conditional, RSB filling)
* Mitigation 1
* Kernel is compiled with IBRS support: YES
* IBRS enabled and active: YES (for firmware code only)
* Kernel is compiled with IBPB support: YES
* IBPB enabled and active: YES
* Mitigation 2
* Kernel has branch predictor hardening (arm): NO
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
> STATUS: NOT VULNERABLE (Full retpoline + IBPB are mitigating the vulnerability)
CVE-2017-5754 aka 'Variant 3, Meltdown, rogue data cache load'
* Mitigated according to the /sys interface: YES (Mitigation: PTI)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Reduced performance impact of PTI: YES (CPU supports PCID, performance impact of PTI will be reduced)
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)Tak więc raz, że pomyliłem jedno z drugim, dwa wiem tyle co zjem, a że byle co jem to…
Edyta: i muszę dodać, że tytułowy błąd, nie jest pokazywany przez journalctl w Mabox. Podejrzewam że w Manjaro podobnie, bo jak pisałem, nie zauważyłem tego nigdy w tych systemach.