我在日志中注意到这条与微架构数据采样有关的消息:
kernel: MDS CPU bug present and SMT on, data leak possible. See https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html for more details.
URL 指的是微架构数据采样。它上面的 wiki 页面指出,“......漏洞可以被黑客利用该漏洞来窃取受影响的微处理器最近访问的信息。”
如果服务器不在 Internet 上,在 LAN 上用作 Intranet 服务器,此漏洞是否值得关注?
就算是在互联网上,黑客怎么可能因为 MDS 而进入微处理器窃取信息呢?
我看到解决方案之一是禁用超线程,但性能会受到影响。
最后一个问题,安全性是 MDS 的唯一关注点还是已知会导致其他问题?
MDS 一词被赋予了这个漏洞;安全是这件事的全部重点。
威胁来自互联网以外的来源。想象一下运行某个开发人员导入到您的基础架构中的容器映像。它使用 MDS 侧信道攻击从主机或其他容器中泄露私钥!
用户空间代码使用常规指令来推断它不应该看到的数据的幽灵。
在这一点上,这种类型的攻击主要(完全?)是理论上的。不容易被利用,需要在不控制哪些内存地址的情况下推断缓存值。但是,仅在主机、来宾和容器之间泄露数据的可能性就很糟糕。此警告正在通知您,以防您想对此做些什么。
完全缓解是内核 + 微码 + 禁用 SMT(又名 HT)。确定内核和微码,其中包括其他安全和质量更新。尝试在您的服务器硬件中或使用 Linux 引导选项禁用 SMT。如果性能太受打击,请对使用 HT 运行进行风险评估。
英特尔 MDS 页面的资源部分是几个操作系统和硬件供应商的良好索引。
这仅影响英特尔处理器。AMD 或 x86 以外的架构不受 MDS 的特别影响。