英特尔优化MDS缓解处理以避免可能的内核数据泄露

2023年 10月 21日 26.4k 0

周五,一位英特尔工程师发布了一组Linux内核补丁,这些补丁正在完善微体系结构数据采样(
MDS
)Linux内核的缓解处理,以更好地保护一些内核数据,并带来一些非常微妙的性能优势。

MDS缓解需要在返回到用户空间之前清除CPU缓冲区。这是用VERW指令完成的,MDS漏洞暴露后,该指令通过Intel CPU微码进行了更新,以过载VERW指令,同时清除CPU缓冲区。但随着Linux内核自2021年以来的缓解,内核数据仍有可能最终进入CPU缓冲区。因此,新提出的补丁正在将VERW指令移动到稍后的返回用户代码路径中。

新的补丁程序通过将VERW调用移动到出口到用户路径的稍后位置来解决这种情况,以减轻这些瞬态数据采样攻击。

“MDS的缓解措施是使用VERW指令清除CPU缓冲区中的任何机密。VERW执行后的任何内存访问仍然可以保留在CPU缓冲区内。在返回用户路径的后期执行VERW更安全,以最大限度地减少内核数据最终进入CPU缓冲区的窗口。SWITCH_to_user_CR3之后没有太多内核机密。

添加对在用户注册状态恢复后部署VERW缓解的支持。这有助于最大限度地减少内核数据在执行VERW后进入CPU缓冲区的可能性。“

该补丁系列还将VERW移近KVM虚拟化代码中的VMentry。

具有
此修补程序系列
undergoing review it's also been said to help some workloads like Nginx and Hackbench with up to 1~2% better performance.

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论