в исправлении для ядра Linux предусмотрена опция speculative_store_bypass_disable, позволяющая отключить защиту
Как это понимаю я. Можно поставить какую то опцию и мне не будут ставиться какие то обновления, которые снизят производительность моего компьютера в угоду безопасности.
Вопрос.
Скажите, пожалуйста, что это за опция? Что и куда надо написать?
Может есть ещё какие то настройки по этому классу проблем?
Мне больше нужна производительность, чем борьба за приватность процесорного кеша.
Это параметр загрузки ядра. По умолчанию выставлен в "auto" и работает только (если ядро так решит, в зависимости от модели процессора и своего конфига) для приложений, запущенных в режиме изоляции seccomp (современные браузеры, Firejail и прочие песочницы). Кстати, на самом деле параметр называется "spec_store_bypass_disable".
Стоит ли включать (ставить в "on", а если точнее - отключать SSB) этот параметр для всех приложений - большой вопрос.
Если пофиг на проблему и важна скорость, то можно явно выставить в "off".
P.S.: а ещё можно не обновлять микрокод процессора на тот, где есть SSBD и тогда вообще никакой просадки производительности не будет. =)
Странный комментарий от пользователя Gentoo... Но вообще, для процессоров Intel достаточно замаскировать пакет intel-ucode (или как там его зовут в Gentoo), начиная с версии, в которой добавили SSBD. В случае с AMD - замаскировать linux-firmware (либо просто руками заменить новые файлы прошивки AMD на более старые, c неотключаемым SSB). Включение же "spec_store_bypass_disable" не приведет к тому, что "не будут ставиться какие то обновления".
Можно еще проще: использовать nospec_store_bypass_disable в параметрах загрузки ядра. Что-то мне подсказывает, что после раскрытия оставшихся шести уязвимостей, появится еще целая охапка параметров типа notnononononospec_store_bypass_disable. =)
azsx
Можно вообще не волноваться. И уж точно не волноваться до тех пор, пока производители процессоров не выпустят свежие прошивки к своим процессорам.