对于 Spectre 的分支历史注入变体(Spectre BHI),有一个补丁正在等待发布,它将为这个已有两年历史的 CPU 安全漏洞添加一个新的缓解选项。
Spectre BHI/BHB 可导致在现代英特尔 CPU 上泄漏任意内核内存,VUSec 早在 2022 年就披露了这一漏洞。 Linux 内核支持启用硬件缓解措施和其他针对 Spectre BHI 的软件回退缓解措施,以保护系统调用和虚拟机。通过 “spectre_bhi=”启动参数,管理员可以启用/禁用 Spectre BHI 缓解状态。
现在,Linux 内核将支持 “spectre_bhi=vmexit “选项。新的 VMEXIT 选项将仅在需要基于软件的缓解措施的系统上保护虚拟机退出进程。为了避免软件缓解系统调用的性能成本,这个新选项适用于较旧处理器上的云环境,以抵御由虚拟机引发的 Spectre BHI 攻击。系统调用仍然存在漏洞,但至少在云/虚拟化环境中可以抵御来自虚拟机内部的攻击。
因此,spectre_bhi=vmexit 是一种成本较低的缓解措施,适用于此类具有不受信任虚拟机的云环境,而不会全面采用 spectre_bhi=on。
在即将到来的 Linux 6.11 合并窗口之前,可以在 TIP.git 的 x86/bugs 分支中找到这个新的 Spectre BHI 缓解选项。
转自 Linux Prepares New Spectre BHI Mitigation Option For Cloud Environments – Phoronix