Security
微架構數據採樣對不在 Internet 上的伺服器的關注?
我在日誌中註意到這條與微架構數據採樣有關的消息:
kernel: MDS CPU bug present and SMT on, data leak possible. See https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html for more details.
URL 指的是微架構數據採樣。它上面的 wiki 頁面指出,“……漏洞可以被黑客利用該漏洞來竊取受影響的微處理器最近訪問的資訊。”
如果伺服器不在 Internet 上,在 LAN 上用作 Intranet 伺服器,此漏洞是否值得關注?
就算是在網際網路上,黑客怎麼可能因為 MDS 而進入微處理器竊取資訊呢?
我看到解決方案之一是禁用超執行緒,但性能會受到影響。
最後一個問題,安全性是 MDS 的唯一關注點還是已知會導致其他問題?
MDS 一詞被賦予了這個漏洞;安全是這件事的全部重點。
微架構數據採樣是一個硬體漏洞,它允許對各種 CPU 內部緩衝區中可用的數據進行非特權推測性訪問。
威脅來自網際網路以外的來源。想像一下執行某個開發人員導入到您的基礎架構中的容器映像。它使用 MDS 側通道攻擊從主機或其他容器中洩露私鑰!
使用者空間程式碼使用正常指令來推斷它不應該看到的數據的幽靈。
在這一點上,這種類型的攻擊主要(完全?)是理論上的。不容易被利用,需要在不控制哪些記憶體地址的情況下推斷記憶體值。但是,僅在主機、來賓和容器之間洩露數據的可能性就很糟糕。此警告正在通知您,以防您想對此做些什麼。
完全緩解是核心 + 微碼 + 禁用 SMT(又名 HT)。確定核心和微碼,其中包括其他安全和質量更新。嘗試在您的伺服器硬體中或使用 Linux 引導選項禁用 SMT。如果性能太受打擊,請對使用 HT 執行進行風險評估。
英特爾 MDS 頁面的資源部分是幾個作業系統和硬體供應商的良好索引。
這僅影響英特爾處理器。AMD 或 x86 以外的架構不受 MDS 的特別影響。