Мы все знаем о Призрак и Meltdown, с этой точки зрения. Вывод заключается в том, что Meltdown можно решить / обойти с помощью (сложного и агрессивного) патча ядра (а именно KAISER / PTI), Spectre требует обновленный микрокод с расширенным контролем ветвлений.
Еще несколько дней назад Red Hat выпустила обновленный microcode_ctl
пакет, который в некоторые (но не все) случаев, имели соответствующий микрокод для исправления / обновления (в начале процесса загрузки) микрокода базового процессора.
Однако похоже, что обновленный микрокод вызывает нестабильность системы, неожиданную перезагрузку и даже не загружаемые системы. Поэтому Red Hat вернула microcode_ctl
пакет в не загрузить обновление микрокода, необходимое для исправления Spectre. Теперь их официальное предложение «связаться с поставщиком микросхем, чтобы получить последнюю версию микрокода для их конкретного процессора».
Хотя и понятна, такая позиция только опускает "поставщика нестабильности" из ОС к Сам BIOS / прошивка.
Итак, мой вопрос: как вы относитесь к обновлению микрокода? Применяли ли вы новый BIOS / прошивку в производственных системах? Есть ли нестабильность для сообщения / комментария? Наконец, стоит ли ждать нового "патча" или вы посоветуете немедленно применить исправление BIOS / прошивки?
Я не думаю, что они действительно так говорят. Нет упоминания об обновлениях UEFI / BIOS или поставщиках систем / материнских плат (хотя это, безусловно, хороший вариант, если он доступен, и если новый микрокод работает надежно).
По крайней мере, для меня «Клиентам рекомендуется связаться со своим поставщиком микросхем, чтобы получить последний микрокод для их конкретного процессора», гласит: «Загрузите и используйте текущий микрокод на свой страх и риск, или исправьте ошибку Intel для получения фиксированной версии».
Я также предполагаю, что решение Redhat относится именно к этой версии с известными проблемами стабильности, как только появится обновление, я полагаю, что они будут переоценены (возможно, дадут ему немного больше времени, прежде чем его распространят среди всех).
Есть другие поставщики ОС, которые аналогичным образом развернули обновление микрокода, но теперь откатили свои обновления (см., Например, Объявление VMware).
В общем, у меня сложилось впечатление, что с текущей версией микрокода (упакованной Intel как 20180108), похоже, что существует компромисс между «проблемами стабильности с очень небольшой информацией о том, что их запускает», и «возможностью смягчения последствий», и что основные поставщики ОС, похоже, принимают сторону «стабильности», пока проблемы решаются. на имя.
Хорошо, похоже, что у нескольких поставщиков есть на пенсии их обновление BIOS, поэтому возможность обновления прошивки на данный момент практически отсутствует. Например, с сайта DELL:
Руководство по исправлению (обновление 2018-01-22): Intel сообщила новое руководство относительно «проблем с перезагрузкой и непредсказуемого поведения системы» с микрокодом, включенным в обновления BIOS, выпущенные для решения Spectre (вариант 2), CVE-2017-5715. Dell рекомендует всем клиентам не развертывать обновление BIOS для уязвимости Spectre (вариант 2) в настоящее время. Мы удалили затронутые обновления BIOS со страниц поддержки и работаем с Intel над новым обновлением BIOS, которое будет включать новый микрокод от Intel.
Если вы уже развернули обновление BIOS, чтобы избежать непредсказуемого поведения системы, вы можете вернуться к предыдущей версии BIOS. См. Таблицы ниже.
Напоминаем, что исправления операционной системы не затронуты и по-прежнему обеспечивают защиту от Spectre (вариант 1) и Meltdown (вариант 3). Обновление микрокода требуется только для Spectre (вариант 2), CVE-2017-5715.
Это подтверждается Собственная документация Intel
По сути, единственный способ получить необходимый ucode - это загрузить его вручную. с сайта Intel
TL; DR: Я подожду и посмотрю, пока не уляжутся последствия неудачного обновления микрокода. К счастью, Meltdown и Spectre варианта №1 можно исправить, просто обновив ядро.