डेबियन स्ट्रेच और एक कर्नेल और स्थापित माइक्रोकोड के साथ परीक्षण / बस्टर प्रणाली पर मैं अभी भी मेल्टडाउन और दर्शक को बग के रूप में सूचीबद्ध देखता हूं /proc/cpuinfo।
हालाँकि, spectre-meltdown-checkerशो चलाना असुरक्षित नहीं है।
इसलिए मैं सोच रहा हूं कि क्या /proc/cpuinfoदिखाता है। क्या ये इस सीपीयू के लिए सिर्फ कमजोरियां हैं और क्या हमेशा एक पैच सिस्टम होने के बावजूद इसे सूचीबद्ध किया जाएगा?
जवाबों:
"बग" फ़ील्ड के इरादे का /proc/cpuinfoवर्णन उस संदेश में किया गया है जिसने इसे पेश किया था :
x86/cpufeature: बग झंडे जोड़ें/proc/cpuinfoउन झंडों को डंप करें, जिन्हें हमने पता लगाया है और / या बग को सीपीयू पर बग वर्कअराउंड लागू किया है, जिस पर हम कार्य कर रहे हैं, इसी तरह के झंडे के साथ।
फायदा यह है कि सीपीयू के फीचर्स की तरह ये समय के साथ जमा नहीं हो रहे हैं।
पहले, हार्डवेयर बग जिन्हें कर्नेल का पता लगाया गया था, उन्हें अलग-अलग विशेषताओं के रूप में सूचीबद्ध किया गया था ( उदाहरण के लिए कुख्यात F00F बग, जिसमें 32-बिट x86 सिस्टम पर अपनी f00f_bugप्रविष्टि है /proc/cpuinfo)। "बग" प्रविष्टि को एक ही फीचर में आगे की ओर रखने के लिए पेश किया गया था, उसी शैली में x86 सीपीयू झंडे के रूप में ।
जहां तक प्रविष्टियों के व्यवहार में होने का मतलब है, जैसा कि आप संदेश में देख सकते हैं, गारंटी है कि कर्नेल ने एक हार्डवेयर बग का पता लगाया है। समस्याओं से निपटा जा सकता है या नहीं, यह निर्धारित करने के लिए आपको कहीं और (बूट संदेश, या विशिष्ट /procप्रविष्टियाँ या /sysफ़ाइलें जैसे कि प्रविष्टियाँ /sys/devices/system/cpu/vulnerabilities/) देखने की आवश्यकता होगी ।
"बग" प्रविष्टियों की उपयोगिता दो तरह से सीमित है। पहला यह है कि सच्चे नकारात्मक को अज्ञात से अलग नहीं किया जा सकता है: यदि फ़ील्ड "cpu_meltdown" को निर्दिष्ट नहीं करता है, तो आप यह नहीं जान सकते (केवल फ़ील्ड से) क्या इसका मतलब यह है कि कर्नेल मेल्टडाउन के बारे में नहीं जानता है, या कि आपका CPU Meltdown से प्रभावित नहीं है। दूसरा यह है कि पता लगाना बहुत सरल हो सकता है; यह सावधानी के आधार पर गलत है, इसलिए यह रिपोर्ट कर सकता है कि जब यह नहीं है तो आपका सीपीयू असुरक्षित है। क्योंकि "डिटेक्शन" टेबल-चालित है, इसकी सटीकता इस बात पर निर्भर करती है कि आप किस कर्नेल के संस्करण को चला रहे हैं।
मेल्टडाउन और स्पेक्टर बग्स के मामले में, पता लगाने की प्रक्रिया जो x86 पर /proc/cpuinfo निम्नानुसार कामों में मूल्यों को खिलाती है :
मेल्टडाउन / स्पेक्टर कमजोरियां सीपीयू चिपसेट डिजाइन / आर्किटेक्चर पर हैं, और भविष्य के नए हार्डवेयर खरीदने के लिए कम, पैच लंबी अवधि में सुरक्षा का एक अच्छा भ्रम है । खामियों के दोहन के नए तरीके समय के साथ सतह पर आ सकते हैं जो वर्तमान पैच को बायपास करने में सक्षम हैं।
संक्षेप में, वर्तमान सॉफ़्टवेयर पैच / माइक्रोकोड कारनामों के स्पेक्टर / मेल्टडाउन परिवार के ज्ञात तरीकों के खिलाफ समस्याओं को कम करता है, लेकिन अंतर्निहित सीपीयू डिज़ाइन समस्याओं को हल नहीं करता है जो उन्हें पहली जगह में अनुमति देता है। सीपीयू के प्रभावित (कई पीढ़ियों) लंबे समय में असुरक्षित होना बंद नहीं हुआ है (और शायद कभी नहीं)।
हालाँकि, @Gilles सही ढंग से बताता है, कि चेतावनी का मतलब यह नहीं है कि मौजूदा ज्ञात कारनामे Spectre / Meltdown के तरीके काम करेंगे; पैच स्थापित होने पर वे काम नहीं करेंगे।
प्रश्न में उल्लिखित मामले में, कर्नेल केवल सीपीयू मॉडल के लिए जाँच कर रहा है जिसे स्पेक्टर / मेल्टडाउन (अभी के लिए सभी x86 सीपीयू से प्रभावित किया जाता है अगर हम केवल x86 के बारे में बात कर रहे हैं), और इसलिए cpu-insecureअभी भी बग सेक्शन में सूचीबद्ध किया जा रहा है / लाइन में /proc/cpuinfo।
जाओ अपनी जाँच करो
/proc/cpuinfo। यदि आपके कर्नेल में KPTI पैच है, तो इसमें cpu_insecure होगामैंने पाया है कि KPTI पैच में कोड का यह टुकड़ा है:
/* Assume for now that ALL x86 CPUs are insecure */ setup_force_cpu_bug(X86_BUG_CPU_INSECURE);और कर्नेल अपडेट के बाद, आपको मिलता है:
bugs : cpu_insecure
पुनश्च। स्पेक्टर / मेल्टडाउन "बग्स" के दोहन के लिए एक नई विधि के लिए पहले से ही अपडेट का एक दौर था। यह शायद आखिरी बार नहीं होगा।
/proc/cpuinfoभले ही वे एक सॉफ्टवेयर पैच द्वारा पूरी तरह से कम हो। उनकी उपस्थिति का मतलब यह नहीं है कि आपका सिस्टम उस विशेष बग के लिए असुरक्षित है।
bugsलाइन शो का सच है , और यह सिर्फ गलत है। अधिकांश CPU डिज़ाइन बग में एक पूर्ण सॉफ़्टवेयर वर्कअराउंड होता है, जिसमें केवल थोड़ा सा प्रदर्शन होता है। यदि कर्नेल वर्कअराउंड लागू करता है, तो बग हानिरहित है।