周五,一位英特尔工程师发布了一组Linux内核补丁,这些补丁正在完善微体系结构数据采样(
MDS
)Linux内核的缓解处理,以更好地保护一些内核数据,并带来一些非常微妙的性能优势。
MDS缓解需要在返回到用户空间之前清除CPU缓冲区。这是用VERW指令完成的,MDS漏洞暴露后,该指令通过Intel CPU微码进行了更新,以过载VERW指令,同时清除CPU缓冲区。但随着Linux内核自2021年以来的缓解,内核数据仍有可能最终进入CPU缓冲区。因此,新提出的补丁正在将VERW指令移动到稍后的返回用户代码路径中。
新的补丁程序通过将VERW调用移动到出口到用户路径的稍后位置来解决这种情况,以减轻这些瞬态数据采样攻击。
“MDS的缓解措施是使用VERW指令清除CPU缓冲区中的任何机密。VERW执行后的任何内存访问仍然可以保留在CPU缓冲区内。在返回用户路径的后期执行VERW更安全,以最大限度地减少内核数据最终进入CPU缓冲区的窗口。SWITCH_to_user_CR3之后没有太多内核机密。
添加对在用户注册状态恢复后部署VERW缓解的支持。这有助于最大限度地减少内核数据在执行VERW后进入CPU缓冲区的可能性。“
该补丁系列还将VERW移近KVM虚拟化代码中的VMentry。
具有
此修补程序系列
undergoing review it's also been said to help some workloads like Nginx and Hackbench with up to 1~2% better performance.
