spectre-meltdown-checker meckert

[littlefoot]

Hallo zusammen,

mit dem neuesten Update von Kernel 5.10.0-11-amd64 auf Kernel 5.10.0-12-amd64 meckert spectre-meltdown-checker.
Vor dem Update zeigt dieser bzgl. CVE-2017-5715 STATUS: NOT VULNERABLE, nach dem Update STATUS: VULNERABLE.
Das gleiche passiert auch bei Buster nach der Aktualisierung auf Kernel 4.19.0-19-amd64.
Gibt es dafür eine Erklärung?

Code: Alles auswählen

Spectre and Meltdown mitigation detection tool v0.44
Checking for vulnerabilities on current system
Kernel is Linux 5.10.0-11-amd64 #1 SMP Debian 5.10.92-1 (2022-01-18) x86_64
CPU is Intel(R) Core(TM) i7-5820K CPU @ 3.30GHz
...
CVE-2017-5715 aka 'Spectre Variant 2, branch target injection'
* Mitigated according to the /sys interface:  YES  (Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, STIBP: disabled, RSB filling)
* Mitigation 1
  * Kernel is compiled with IBRS support:  YES 
    * IBRS enabled and active:  YES  (for firmware code only)
  * Kernel is compiled with IBPB support:  YES 
    * IBPB enabled and active:  YES 
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO 
  * Kernel compiled with retpoline option:  YES 
    * Kernel compiled with a retpoline-aware compiler:  YES  (kernel reports full retpoline compilation)
  * Kernel supports RSB filling:  YES 
> STATUS:  NOT VULNERABLE  (Full retpoline + IBPB are mitigating the vulnerability)
...

Code: Alles auswählen

Spectre and Meltdown mitigation detection tool v0.44
Checking for vulnerabilities on current system
Kernel is Linux 5.10.0-12-amd64 #1 SMP Debian 5.10.103-1 (2022-03-07) x86_64
CPU is Intel(R) Core(TM) i7-5820K CPU @ 3.30GHz
...
CVE-2017-5715 aka 'Spectre Variant 2, branch target injection'
* Mitigated according to the /sys interface:  YES  (Mitigation: Retpolines, IBPB: conditional, IBRS_FW, STIBP: disabled, RSB filling)
* Mitigation 1
  * Kernel is compiled with IBRS support:  YES 
    * IBRS enabled and active:  YES  (for firmware code only)
  * Kernel is compiled with IBPB support:  YES 
    * IBPB enabled and active:  YES 
* Mitigation 2
  * Kernel has branch predictor hardening (arm):  NO 
  * Kernel compiled with retpoline option:  YES 
  * Kernel supports RSB filling:  YES 
> STATUS:  VULNERABLE  (IBRS+IBPB or retpoline+IBPB+RSB filling, is needed to mitigate the vulnerability)
...

[Blackbox]

Hast du den "spectre-meltdown-checker" ebenfalls einem Update unterzogen?
Schön wäre auch deine Quelle des "spectre-meltdown-checker" mit anzugeben.
Auch wie du den "spectre-meltdown-checker" aufrufst/ausführst wäre von Interesse.

[littlefoot]

den "spectre-meltdown-checker" habe ich aus dem stable Bullseye-Repository (betrifft die gesamte Installation) in der dort verfügbaren aktuellsten Version (0.42-1). Für den gab es dort kein Update.
Den Checker rufe ich wie schon zuvor als "root" einfach mit "spectre-meltdown-checker" auf.

[JTH]

Schön wäre auch deine Quelle des "spectre-meltdown-checker" mit anzugeben.

Den spectre-meltdown-checker vielleicht? Version passt. Ohne Anhalt für das Gegenteil würde ich doch erstmal davon ausgehen, dass ein Programm aus den Repos stammt.

[littlefoot]

uups: ich meinte die Version 0.44-2

[Blackbox]

Den spectre-meltdown-checker vielleicht? Version passt.

Guter Einwand.

Ohne Anhalt für das Gegenteil würde ich doch erstmal davon ausgehen, dass ein Programm aus den Repos stammt.

Genau das hat er bereits bestätigt, ich wollte aber sicherheitshalber noch einmal nachfragen.

den "spectre-meltdown-checker" habe ich aus dem stable Bullseye-Repository

[littlefoot]

Ist die Erklärung von
https://github.com/speed47/spectre-melt ... issues/420
die Lösung?

[JTH]

Das sieht danach aus. Du benutzt zwar andere Kernelversionen, aber den beschriebenen Unterschied in den Mitigation-Zeilen gibt es bei dir auch:

Bisher im Singular:

Code: Alles auswählen

Mitigation: […] retpoline

Jetzt im Plural:

Code: Alles auswählen

Mitigation: Retpolines

[littlefoot]

merci vielmals

[JTH]

De rien.