概述

本文主要介绍Linux镜像如何开启或关闭Meltdown与Spectre、MDS等漏洞修复的方法。

Meltdown与Spectre

漏洞详情

Meltdown（CVE-2017-5754）与Spectre（CVE-2017-5715/CVE-2017-5753）存在于英特尔（Intel）处理器芯片的安全漏洞，该漏洞源于芯片硬件层面的设计缺陷，可导致操作系统内核信息泄露、应用程序越权访问系统内核数据等问题

漏洞编号：

CVE-2017-5753

CVE-2017-5715

CVE-2017-5754

Linux内核社区已经针对上述问题提出了缓解措施，但部分缓解措施存在副作用，会导致系统的运行效率有较大幅度下降，目前百度智能云在GuestOS中默认关闭Meltdown与Spectre漏洞的修复，以保证GuestOS的性能。

MDS

漏洞详情

Intel “Micro Architectural Data Sampling (MDS)“，该漏洞可能通过侧信道攻击的方式，导致未经授权的一些敏感数据泄露。

漏洞编号

影响范围

Intel相应型号的CPU芯片，详情请参见Intel安全公告。

如何开启或者关闭MDS漏洞修复

目前Linux发行版社区针对MDS漏洞，已通过更新内核补丁来修复处理器漏洞

以下几种镜像为涉及的公共镜像 centos 7 / 8

debian 9 /10

ubuntu 16.04 / 18.04 【 ubuntu-20.04内核不受影响】

opensuse 15

漏洞的修复可能会带来比较明显的性能回退，如果用户对性能需求比较敏感，可通过关闭修复的方式来提升性能。

社区修复情况