Выборка микроархитектурных данных вызывает беспокойство для серверов, не подключенных к Интернету?
Я заметил в журналах это сообщение, которое относится к выборке микроархитектурных данных:
kernel: MDS CPU bug present and SMT on, data leak possible. See https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html for more details.
URL-адрес относится к выборке микроархитектурных данных. На вики-страницах на нем говорится: «... уязвимость может использоваться хакерами, использующими уязвимость для кражи информации, к которой недавно обращался уязвимый микропроцессор».
Если сервер не находится в Интернете, используется в локальной сети в качестве сервер интрасети, является ли эта уязвимость серьезной проблемой?
Даже если бы она была в Интернете, как хакер мог бы получить доступ к микропроцессору для кражи информации из-за MDS?
Я вижу, что одним из решений является отключение гиперпоточность, но производительность пострадает.
Последний вопрос: является ли безопасность единственной проблемой для MDS или это, как известно, вызывает другие проблемы?
Этой уязвимости был присвоен термин MDS; безопасность - вот вся суть этого дела.
Выборка микроархитектурных данных - это аппаратная уязвимость, которая позволяет непривилегированный спекулятивный доступ к данным, доступным в различные внутренние буферы ЦП.
Угрозы исходят не из Интернета, а из других источников. Представьте, что вы запускаете образ контейнера, импортированный разработчиком в вашу инфраструктуру. Которая использует атаку побочного канала MDS для раскрытия закрытых ключей от хоста или других контейнеров!
Код пользовательского пространства, использующий обычные инструкции, чтобы вывести призрак данных, которые он не должен видеть.
Этот тип атаки в основном (полностью?) Теоретический. Нелегко использовать, требует вывода значений кеша без контроля над адресами памяти. Однако сама по себе возможность утечки данных между хостами, гостями и контейнерами - это плохо. Это предупреждение информирует вас на случай, если вы захотите что-то с этим сделать.
Полное смягчение последствий: ядро + микрокод + отключение SMT (также известного как HT). Обязательно возьмите ядро и микрокод, включая другие обновления безопасности и качества. Попробуйте отключить SMT на своем серверном оборудовании или с помощью параметра загрузки Linux. Если производительность слишком высока, оцените риски при работе с HT.
Раздел ресурсов Страница Intel MDS является хорошим индексом нескольких поставщиков ОС и оборудования.
Это влияет только на Процессоры Intel. AMD или архитектуры, отличные от x86, специально не затрагиваются MDS.