openSUSE - Meltdown & Spectre 更新 - 2018年1月26日

大家好，

这是关于 openSUSE Leap 和 Tumbleweed 上 Meltdown 和 Spectre 当前情况的更新。

我们已于一月份初发布了包含初步 Meltdown 和 Spectre 缓解措施的内核。

对于 openSUSE Leap 42.2 和 42.3，我们已于 1 月 5 日发布了更新。

对于 openSUSE Tumbleweed，我们在一月份的前几周发布了 4.14.11、4.14.12 和 4.14.13 内核。最初这些内核存在一些与 32 位二进制文件相关的错误，这些错误最终在 4.14.13 中得到修复。

当前已发布的内容

• 通过这些 Linux 内核更新，内核页面表隔离 (KPTI) 功能完全缓解了 Meltdown 攻击。

• Linux 内核的 Spectre Variant 1 攻击通过在整个内核代码中添加各种推测栅栏来缓解。如果遗漏了某些位置，我们可能会添加更多。

• 我们发布了 Qemu 更新，用于传递 CPU 标志以进行 Variant 2 缓解。

• 我们发布了 Firefox、Chromium 和 Webkit2Gtk3 更新，这些更新删除了 Meltdown 和 Spectre 的 Javascript 利用向量。

部分缓解的内容

• Spectre Variant 2……我们发布的初始内核更新需要 CPU 微码更新。

虽然我们已经发布了一些 Intel 芯片组和 AMD Ryzen 的更新，但 Intel CPU 微码更新后来被发现不稳定，现在已被撤回。

Intel 目前正在开发更好的 CPU 微码版本，一旦可用，我们将发布它们。

对于 openSUSE Tumbleweed，我们将“ucode-intel”软件包恢复到 Spectre 之前的状态。

对于 openSUSE Leap 42.2 和 42.3，我们已撤回更新的“ucode-intel”软件包，因此如果遇到类似 MCE 错误的问题，则需要手动降级它们。

可以通过以下方式完成：

• openSUSE Leap 42.2: zypper in -f ucode-intel-20170707-7.6.1
• openSUSE Leap 42.3: zypper in -f ucode-intel-20170707-10.1

即将推出

• 我们正在使用所谓的“retpolines”（“返回蹦床”）进行 Spectre Variant 2 缓解，这在很大程度上消除了对固件缓解的需求。

我们已经发布了支持此代码的 Leap 的 gcc48 系统编译器和 Tumbleweed 的 gcc7。

我们正在开发将启用 retpoline 支持并因此缓解 Variant 2 的 Linux 内核更新。

• XEN 更新

XEN 团队正在开发缓解 Meltdown 和 Spectre 的方法，一旦可用，我们也将发布针对它们的 XEN 更新。