侧信道漏洞微架构数据采样

常见问题解答

常见问题解答

  • 处理器:英特尔® 酷睿™ i9-9900K 处理器
  • 内存:2x16GB
  • 存储:英特尔® 760P 512GB 固态盘 NVMe*
  • 显示器分辨率:1920x1080
  • 操作系统:Windows* 10,版本 1809
  • 显卡:英特尔® 核芯显卡 630
  • 测试日期:2019 年 5 月 7 日
  • 测试者:英特尔公司。注意:所有客户端测量都使用相同的库存量单位 (SKU)。针对 MDS 的影响,不同的配置仅需更改微码和操作系统
  • SPEC 基准性能测试结果基于英特尔内部测量;所提供比率用于研究用途

  • 处理器:1 个节点,2 个英特尔® 至强® 铂金 8180 处理器(28 核,2.5 GHz),S2600WFT 平台
  • 内存:384 GB(12 个插槽/32GB/DDR4-2666)总内存
  • 存储:S3710 400G
  • MDS 缓解措施前:
  • 操作系统:Redhat Enterprise Linux* 7.6 3.10.0-957.10.1.el7.x86_64
  • 微码:0x200005a
  • MDS 缓解措施后:
  • 操作系统:Redhat Enterprise Linux* 7.63.10.0-957.12.2.el7.x86_64
  • 微码:0x200005e

  • 处理器:1 个节点,2 个英特尔® 至强® 处理器 E5-2699 v4(22 核,2.2 GHz),S2600WTTS1R 平台
  • 内存:256 GB(8 个插槽/32GB/DDR4-2666 [以 2400 运行])总内存
  • 存储:S3710 400G
  • MDS 缓解措施前:
  • 操作系统:Redhat Enterprise Linux* 7.6 3.10.0-957.10.1.el7.x86_64
  • 微码:0xb000030
  • MDS 缓解措施后:
  • 操作系统:Redhat Enterprise Linux* 7.6 3.10.0-957.12.2.el7.x86_64
  • 微码:0xb000036

MDS 是以前披露的预测执行侧信道漏洞的子类,包含 4 种紧密相关的公共漏洞和暴露 (CVE),首先由英特尔内部研究人员和合作伙伴发现,然后由外部研究人员独立报告给英特尔。

  • 微架构负载端口数据采样 (MLPDS) - CVE-2018-12127
  • 微架构存储缓冲区数据采样 (MSBDS) - CVE-2018-12126
  • 微架构填充缓冲区数据采样 (MFBDS) - CVE-2018-12130
  • 微架构数据采样不可缓存采样 (MDSUM) - CVE-2019-11091

在研究环境的受控条件外利用 MDS 是一项复杂的工作,并且英特尔未收到实际利用这些安全问题的任何报告。英特尔已发布的微码更新,结合我们行业合作伙伴提供的操作系统和虚拟机管理程序软件的相应更新,可为许多客户提供所需的保护。有些客户可能需要考虑额外的措施。这包括无法保障系统上运行的是可信软件且在使用同步多线程 (SMT) 的客户。在这些情况下,客户应该考虑如何将 SMT 用于特定工作负载,以及来自操作系统和 VMM 软件提供商的指导,还有其特定环境的安全威胁模型。在任何情况下,英特尔都建议大家让系统保持最新状态。

是。作为英特尔定期更新流程的一部分,处理器微码的发布结合我们行业合作伙伴提供的操作系统和虚拟机管理程序软件的更新,有助于确保消费者、IT 专业人员和云服务提供商享受所需的保护。
请访问我们的软件安全网站,了解深入信息。

否。英特尔未收到实际利用这些漏洞的任何报告。

是。在第八代和第九代智能英特尔® 酷睿™ 处理器以及第二代智能英特尔® 至强® 可扩展处理器家族中,MDS 漏洞已通过硬件变更得到解决。 我们预计未来所有的英特尔® 处理器都将包含解决这些漏洞的硬件缓解措施。

更多详情见此处

否。英特尔不建议用户禁用英特尔® 超线程技术(英特尔® HT 技术)。请务必了解这样做并不能针对 MDS 单独提供防护,并且可能会影响工作负载性能或资源利用率,具体视工作负载而定。

漏洞协同披露(也称为“CVD”或“负责任披露”)被广泛认为是负责任地保护客户免遭安全漏洞影响的最佳方式。CVD 基于两个基本概念:当公司意识到存在安全漏洞时,(1) 他们尽可能以迅速、协同、高效地工作,以缓解这些漏洞的影响;(2) 同时他们会采取一切步骤,尽可能降低可利用信息在缓解措施实施前,以泄露或其他方法被不法分子恶意获取并利用的风险。

卡耐基梅隆软件工程研究所 (Carnegie Mellon’s Software Engineering Institute) 的计算机紧急响应小组 (Computer Emergency Response Team, CERT) 对这些原则做出了最好的表达:
“公众,特别是易受攻击产品的用户,应被告知相关产品的问题及供应商如何处理这些问题。与此同时,在未经审查和采取缓解措施的情况下披露此类信息只会误导公众。当所有人通过协调合作来保护公众时,就会出现理想的情况。”

有关协同披露及其重要性的详情,请参见《漏洞协同披露指南》。