Welche Tools/Scripts verwendet ihr, um den Status eurer Maschinen in Bezug auf Absicherungsmaßnahmen gegen Meltdown & Spectre zu prüfen?
Bei mir im Einsatz:
Linux: https://github.com/speed47/spectre-meltdown-checker
Windows: Get-SpeculationControlSettings (PowerShell Script, siehe https://support.microsoft.com/…ontrolsettings-powershell)
Gibt es andere Empfehlungen, wenn ja welche und warum?
Eine meiner Debian 8 VMs hatte übrigens den gepatchten Kernel 3.16.0-5-amd64 korrekt installiert, die Maschine wurde nach dem Kernel-Update auch korrekt neu gebootet - allerdings war das PAGE_TABLE_ISOLATION Feature (wie mir der spectre-meltdown-checker verriet) nicht aktiv. Config in /boot/config-3.16.0-5-amd64 war jedoch korrekt, und nach einem abermaligen Start nutzte der Kernel das PTI-Feature dann auch.
Ich war eigentlich der Meinung, dass seitens Netcup die nötigen Microcode CPU-Updates auf den Hostnodes bereits vorsorglich aufgebracht wurden (Kernel die diese nutzen stehen zumindest für Debian und Ubuntu meines Wissens nach noch nicht bereit). Der Checker bestätigt das allerdings nicht:
Spectre and Meltdown mitigation detection tool v0.29
Checking for vulnerabilities against running kernel Linux 4.4.0-109-generic #132-Ubuntu SMP Tue Jan 9 19:52:39 UTC 2018 x86_64
CPU is Intel(R) Xeon(R) CPU E5-2660 v3 @ 2.60GHz
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Checking count of LFENCE opcodes in kernel: NO
> STATUS: VULNERABLE (only 33 opcodes found, should be >= 70, heuristic to be improved when official patches become available)
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Hardware (CPU microcode) support for mitigation: NO
* Kernel support for IBRS: NO
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* Mitigation 2
* Kernel compiled with retpoline option: NO
* Kernel compiled with a retpoline-aware compiler: NO
> STATUS: VULNERABLE (IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
> STATUS: NOT VULNERABLE (PTI mitigates the vulnerability)
Alles anzeigen