Основано на информации от товарища n3k0nation (ZG) и дополнено мной По факту это три уязвимости. Их нужно боятся, если у вас виртуальный сервер или же вы хостер, который предоставляет виртуальные сервера в аренду. Для тех, у кого выделенный сервер боятся нечего, а подобные патчи лишь уменьшают производительность… Список уязвимых процессоров: Spoiler: Intel (Server/Desktop) https://www.techarp.com/guides/complete-meltdown-spectre-cpu-list/4/ https://www.techarp.com/guides/complete-meltdown-spectre-cpu-list/5/ Spoiler: AMD (Server/Desktop) https://www.techarp.com/guides/complete-meltdown-spectre-cpu-list/#server https://www.techarp.com/guides/complete-meltdown-spectre-cpu-list/2/ Версии ядра популярных дистрибутивов, начиная с которых присутствуют патчи для устранения уязвимостей: Code: RHEL 6/ CentOS 6 - 2.6.32-696.18.7 RHEL 7/ CentOS 7 - 3.10.0-693.11.6 Debian 7 - 3.2.0-5-amd64 Debian 8 - 3.16.0-5-amd6 Debian 9 - 4.9.0-5-amd64 Ubuntu 14.04 - 3.13.0-139-generic Ubuntu 16.04 - 4.4.0-109-generic/ 4.13.0-26-generic Ubuntu 17.10 - 4.13.0-25-generic Также ряд хостеров поставляет в своих образах ядра, которые им же и модифицированы, например OVH. В таком случае версия ядра может отличатся о тех, которые описаны выше и там уже могут быть вшиты эти патчи. Для того чтобы проверить вашу систему берём специальный bash скрипт: https://github.com/speed47/spectre-meltdown-checker Сохраняем к себе на сервер и выполняем (от root): Code: sh spectre-meltdown-checker.sh Если ваш сервер уязвим, то будет написано VULNERABLE, если нет, то NOT VULNERABLE соответственно. Spoiler: Пример ВНИМАНИЕ! Дальнейшие действия только для владельцев выделенных серверов, т.к эти уязвимости не несут никакой опасности для них (как и написано выше) и патчи, которые их закрывают можно смело отключить. ВНИМАНИЕ! Если вы не понимаете, что делаете, то действовать самостоятельно не рекомендуется! Прежде чем редактировать загрузчик рекомендую проверить наличие VNC/KVM консоли, дабы в случае проблем с загрузкой сервера вы смогли зайти и вернуть всё обратно. Никто кроме вас не несёт ответственности за последствия. Все действия вы совершаете на свой страх и риск. Итак, для того, чтобы отключить патчи необходимо добавить два аргумента в загрузчик ядра Редактируем файл: /etc/default/grub Нужный нам параметр: Code: GRUB_CMDLINE_LINUX_DEFAULT Добавляем в конец Code: pti=off spectre_v2=off должно получится так: Code: GRUB_CMDLINE_LINUX_DEFAULT=".............. pti=off spectre_v2=off" (где .............. аргументы, которые там были изначально) Например так: Code: GRUB_CMDLINE_LINUX_DEFAULT="noquiet nosplash pti=off spectre_v2=off" Затем: Code: update-grub перегружаем сервер. Проверяем утилитой spectre-meltdown-checker.sh, что сервер уязвим (VULNERABLE) по всем 3 вариантам, а значит патчи успешно отключены.
Ещё более интересные новости: Разработчики СУБД MariaDB предупредили о существенном снижении производительности хранилища MyISAM при использовании ядра Linux с патчами KPTI, блокирующими уязвимость Meltdown. Замедление операций сканирования строк в MyISAM после применения патчей KPTI составляет около 40%, а при отсутствии поддержки PCID может достигать 90%. Для избавления от подобного эффекта требуется полный редизайн MyISAM. Судя по всему это касается всех версий mysql и не только форков... https://mariadb.org/myisam-table-scan-performance-kpti/
