Instalei a atualização de microcódigo Intel mais recente para usar a correção da variante #2 do Spectre, mas o verificador Spectre&Meltdown ainda mostra que o IBRS/IBPB não pode ser usado.
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: YES
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel has branch predictor hardening (arm): NO
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (Your kernel is compiled with IBRS but your CPU microcode is lacking support to successfully mitigate the vulnerability)
dmesg mostra que a revisão mais recente está instalada.
# dmesg | grep microcode
[ 1.199842] microcode: CPU0 sig=0x206d7, pf=0x1, revision=0x713
[ 1.199860] microcode: CPU1 sig=0x206d7, pf=0x1, revision=0x713
[ 1.199877] microcode: CPU2 sig=0x206d7, pf=0x1, revision=0x713
[ 1.199898] microcode: CPU3 sig=0x206d7, pf=0x1, revision=0x713
[ 1.199966] microcode: Microcode Update Driver: v2.01 <[email protected]>, Peter Oruba
A CPU é Intel(R) Xeon(R) CPU E5-2420 0 @ 1.90GHze o tipo de host éESXi-5.1.0-20130402001-standard
As versões do ESXi anteriores a 5.5 não oferecem suporte aos recursos necessários para passagem de hipervisor de IBPB e IBRS. Consulte a entrada VMware KB para obter detalhes.
Para mitigar a variante Spectre 2, você precisa atualizar o ESXi ou mudar para um kernel habilitado para retpoline.