Confira !!
Aproximando-se do aniversário de dois anos no próximo mês da vulnerabilidade L1TF / Foreshadow, um engenheiro do Google propôs permitir que o estado de mitigação padrão fosse controlado por uma opção de tempo de compilação do Kconfig.
Esse ataque de execução especulativa às CPUs Intel foi mitigado desde agosto de 2018 e ofereceu para a mitigação da máquina virtual KVM o parâmetro do módulo kvm-intel.vmentry_l1d_flush para controlar o comportamento de liberação do cache de dados L1. Mas agora um engenheiro do Google propôs definir o modo de liberação de dados L1 padrão para ser configurável no momento da construção por meio de um novo KVM_VMENTRY_L1D_FLUSHbotão. Esse botão não fornece nenhuma nova mitigação de falha de terminal L1, mas apenas permite ajustar o comportamento padrão para a configuração padrão dessa imagem do kernel, seja para nunca liberar o cache antes de um VMENTER, liberar condicionalmente ou o estado mais impactante de sempre corando.
O comportamento padrão existente do kernel do Linux é liberar em instâncias específicas / condicionais quando o host entra no convidado, devido aos custos de desempenho envolvidos. Com esta opção Kconfig, as distribuições podem enviar kernels onde a liberação sempre acontece (a mais severa para o desempenho) ou nunca (melhor desempenho, embora os riscos de segurança do L1TF). Isso simplesmente torna mais fácil definir o padrão do que o parâmetro do módulo vmentry_l1d_flush para o KVM. Esta nova opção do Kconfig não toca no comportamento do Hyper Threading.
O patch é bastante simples, portanto, é possível vê-lo possivelmente para o Linux 5.9. Veremos e se algum fornecedor de distribuição adiante acabar usando os diferentes padrões do KVM_VMENTRY_L1D_FLUSH. Dado que um engenheiro do Google está trabalhando nisso, é bem provável que você considere alterar o padrão para sua nuvem ou outras necessidades internas.
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário