![Spectre 변종 3a와 변종 4를 수정하는 방법은 무엇입니까? [복사]](https://linux55.com/image/137983/Spectre%20%EB%B3%80%EC%A2%85%203a%EC%99%80%20%EB%B3%80%EC%A2%85%204%EB%A5%BC%20%EC%88%98%EC%A0%95%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F%20%5B%EB%B3%B5%EC%82%AC%5D.png)
CVE-2018-3640 [Rogue System Register Read]("Variant 3a"라고도 함) 및 CVE-2018-3639 [Speculative Storage Bypass](일명 "Variant 4")을 수정하는 방법입니다. 그들에 대한 나의 입장은 취약합니다. Intel CPU가 있고 커널 4.17을 사용합니다.
Spectre를 매우 쉽게 고칠 수 있는 007이라는 프레임워크가 있다는 것을 웹사이트에서 보았는데, github에서는 찾을 수 없습니다.
답변1
이 글을 쓰는 시점에서 변종 3a와 4를 완화하려면 최신 CPU 마이크로코드 업데이트가 필요하지만 모든 Intel CPU가 이러한 완화 기능을 출시한 것은 아닙니다.Linux 시스템용 2018년 7월 Intel 마이크로코드 패키지입니다..
때로는 Linux용으로 패키지된 최신 마이크로코드를 얻는 데 시간이 걸릴 수 있습니다.이것은 다양한 버전의 마이크로코드를 사용할 수 있다고 주장하는 Github 사이트입니다., 인터넷상의 임의의 사람이 최신 펌웨어가 포함된 새 시스템에서 가져온 것입니다. 사용에 따른 책임은 사용자에게 있습니다.
마이크로코드 업데이트는 시스템 펌웨어(= BIOS/UEFI 업데이트) 및/또는 운영 체제에서 제공될 수 있습니다. 마이크로코드 업데이트는 CPU에 유지되지 않습니다. 시스템을 다시 시작할 때마다 다시 로드해야 합니다. 이것이 시스템 펌웨어에 마이크로코드 업데이트를 포함시키는 것이 "최상의" 옵션인 것처럼 보이는 이유입니다. 이는 펌웨어가 아닌 코드가 실행되기 전에 항상 업데이트가 로드되도록 보장합니다.
Intel 하드웨어를 사용하는 최신 Linux 배포판에서는 마이크로코드 패키지를 다운로드한 다음 iucode-toolwith 옵션을 사용하여 -S -l패키지에 CPU와 일치하는 업데이트된 마이크로코드가 포함되어 있는지 확인한 다음 with 옵션을 사용하여 -S -K적절한 Location 아래에 업데이트된 마이크로코드를 작성할 수 있습니다 /lib/firmware/intel-ucode. 그런 다음 initramfs/ 파일을 업데이트 initrd하고 재부팅하십시오.
Spectre의 문제점은 실제 수정을 위해서는 다음 수준의 변경이 필요하다는 것입니다.CPU 설계 원리. 현재까지 출시된 마이크로코드 및 운영 체제 패치는 다음과 같습니다.완화 조치즉, 근본적인 문제를 반드시 해결하지는 않지만 악용을 불가능하게 만듭니다(또는 적어도 극도로 비효율적).
"Spectre를 쉽게 수정"한다고 주장하는 "프레임워크"는 나에게 뱀 기름처럼 들립니다.