Я пытаюсь вручную обновить микрокод для Intel i5-2410M.
Dell XPS 15z 2011 - Intel i5-2410M (песчаный мост).
Ubuntu 18.04 (Debian) | Гном | Grub2 | Systemd
Я установил предварительно упакованный микрокод из репозитория Ubuntu, но не знаю, применим ли он ко мне:
apt install intel-microcode
dmsg | grep microcode
[0.000000] микрокод: микрокод обновлен до версии 0x2d, дата = 07.02.2018
[1.259590] микрокод: sig = 0x206a7, pf = 0x10, revision = 0x2d
[1.259643] микрокод: Обновление микрокода Драйвер: v2.2.
Обратите внимание, что это дата 7 февраля 2018 года. У Intel есть более поздняя версия i5-2410M, 25 апреля 2018 года.
https://downloadcenter.intel.com/download/27776/Linux-Processor-Microcode-Data-File?product=52224
CVE-2018-3640 [чтение реестра мошеннической системы], также известный как "вариант 3a"
СОСТОЯНИЕ: УЯЗВИМО (для устранения этой уязвимости необходим обновленный микрокод процессора)
Как исправить: необходимо обновить микрокод вашего процессора, чтобы устранить эту уязвимость. Обычно это выполняется ядром во время загрузки (обновление не сохраняется при перезагрузке, поэтому оно выполняется при каждой загрузке). Если вы используете дистрибутив, убедитесь, что у вас установлена последняя версия, поскольку обновления микрокода обычно поставляются вместе с ядром дистрибутива. Доступность обновления микрокода для вашей модели ЦП зависит от поставщика ЦП. Обычно вы можете узнать в Интернете, доступно ли обновление микрокода для вашего процессора, выполнив поиск по идентификатору процессора (указанному в разделе «Проверка оборудования»). Достаточно обновления микрокода, никаких дополнительных изменений ОС, ядра или программного обеспечения не требуется.
CVE-2018-3639 [спекулятивный обход магазина], также известный как "вариант 4"
Смягчается в соответствии с интерфейсом / sys: NO (Vulnerable)
Ядро поддерживает обход хранилища предположений: ДА (находится в / proc / self / status)
СТАТУС: УЯЗВИМО (Ваш ЦП не поддерживает SSBD)
Как исправить: ваше ядро достаточно свежее, чтобы использовать функции микрокода ЦП для смягчения последствий, но микрокод ЦП на самом деле не обеспечивает необходимых функций для использования ядром. Следовательно, микрокод вашего ЦП необходимо обновить. Обычно это выполняется ядром во время загрузки (обновление не сохраняется при перезагрузке, поэтому оно выполняется при каждой загрузке). Если вы используете дистрибутив, убедитесь, что у вас установлена последняя версия, поскольку обновления микрокода обычно поставляются вместе с ядром дистрибутива. Доступность обновления микрокода для вашей модели ЦП зависит от поставщика ЦП. Обычно вы можете узнать в Интернете, доступно ли обновление микрокода для вашего процессора, выполнив поиск по идентификатору процессора (указанному в разделе «Проверка оборудования»).
» grep . /sys/devices/system/cpu/vulnerabilities/*
/ sys / devices / system / cpu / уязвимости / meltdown: Смягчение: PTI
/ sys / devices / system / cpu / уязвимости / spec_store_bypass: уязвимый
/ sys / devices / system / cpu / уязвимости / spectre_v1: Смягчение: очистка указателя __user
/ sys / devices / system / cpu / уязвимости / spectre_v2: Смягчение: Полный общий retpoline, IBPB, IBRS_FW
Не мог бы кто-нибудь предоставить хлебную крошку для того, что я должен исследовать, сейчас я застрял довольно хорошо. Я ценю ваше время.
Короткий ответ: у вас самая последняя версия. Эта загрузка содержит обновления микрокода для многих процессоров. По крайней мере, один был обновлен, но не для вашего процессора.
Подробности:
Обратите внимание: sig микрокода - 0x206a7, версия 2d. Загрузите обновления микрокода и распакуйте их. Посмотрите в файл под названием list для строки с 06-2a-07. (Почему числа меняются местами и заполняются нулями, мне не понятно.)
06-2a-07/00000012 0000002d 2018-02-07
Таким образом, у вас последняя версия.
Вам нужно будет поставить свою ОС, но, по крайней мере, с Gentoo обновить микрокод легко. Вы создаете initramfs с микрокодом через:
iucode_tool -S --write-earlyfw=/boot/early_ucode.cpio /lib/firmware/intel-ucode/*
Gentoo исправил grub, чтобы автоматически включать этот initramfs.
Если вы хотите проверить это для своей ОС: найдите все initramfs, которые использует ваша система. Извлеките его с помощью cpio -idv < foo.img. Микрокод будет называться kernel/x86/microcode/GenuineIntel.bin Затем вы можете сравнить его с тем, что было в архиве. Например:
md5sum kernel/x86/microcode/GenuineIntel.bin
63b77e80b39b5a3ed81a30682ef2c5ab kernel/x86/microcode/GenuineIntel.bin
Из каталога intel-ucode, созданного при извлечении архива:
md5sum * | grep 63b77e80b39b5a3ed81a30682ef2c5ab
63b77e80b39b5a3ed81a30682ef2c5ab 06-2a-07