Я заметил в журналах это сообщение, которое касается выборки микроархитектурных данных:
kernel: MDS CPU bug present and SMT on, data leak possible. See https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html for more details.
URL-адрес относится к выборке микроархитектурных данных. На вики-страницах говорится: «... уязвимость может использоваться хакерами, использующими эту уязвимость для кражи информации, к которой недавно обращался затронутый микропроцессор».
Если сервер не в Интернете, а используется в локальной сети в качестве сервера интрасети, вызывает ли эта уязвимость серьезное беспокойство?
Даже если бы это было в Интернете, как бы хакер мог получить доступ к микропроцессору для кражи информации из-за MDS?
Я вижу, что одно из решений - отключить гиперпоточность, но при этом снизится производительность.
Последний вопрос: является ли безопасность единственной проблемой для MDS или это, как известно, вызывает другие проблемы?
Этой уязвимости был присвоен термин MDS; безопасность - вот весь смысл этого дела.
Микроархитектурная выборка данных - это аппаратная уязвимость, которая позволяет непривилегированный спекулятивный доступ к данным, которые доступны в различных внутренних буферах ЦП.
Угрозы исходят не из Интернета, а из других источников. Представьте, что вы запускаете образ контейнера, импортированный разработчиком в вашу инфраструктуру. Которая использует атаку побочного канала MDS для раскрытия закрытых ключей от хоста или других контейнеров!
Код пользовательского пространства, использующий обычные инструкции, позволяет вывести призрачные данные, которые он не должен видеть.
Этот тип атаки в основном (полностью?) Теоретический. Нелегко использовать, требует вывода значений кеша без контроля того, какие адреса памяти. Однако сама возможность утечки данных между хостами, гостями и контейнерами - это плохо. Это предупреждение информирует вас, если вы хотите что-то с этим сделать.
Полное смягчение последствий - ядро + микрокод + отключение SMT (он же HT). Обязательно возьмите ядро и микрокод, включая другие обновления безопасности и качества. Попробуйте отключить SMT на вашем серверном оборудовании или с помощью параметра загрузки Linux. Если производительность слишком высока, оцените риски, связанные с бегом с HT.
Раздел ресурсов Страница Intel MDS является хорошим индексом нескольких производителей ОС и оборудования.
Это касается только процессоров Intel. AMD или архитектуры, отличные от x86, специально не затрагиваются MDS.