Spectre 및 Meltdown 익스플로잇을 완화하기 위해 시스템을 업그레이드하고 싶습니다.

관련 Ubuntu 페이지 에는 마이크로 코드를 업데이트해야한다고 명시되어 있습니다. "2 월 21 일 커널 업데이트를 기준으로 게스트 및 비 하이퍼 바이저 베어 메탈 관점에서 64 비트의 Spectre 및 Meltdown에 대한 완화 amd64, ppc64el 및 s390x는 시스템 아래의 모든 마이크로 코드, 펌웨어 및 하이퍼 바이저 업데이트가 완료되는 한 기능이 완벽합니다. ... "

나는 한 intel-microcode하고 iucode-tool있지만 실행되지, 설치 및 업데이트 dmesg | grep -i microcode와 grep -i microcode /var/log/syslog*나를 CPU 마이크로 중 하나가 업데이트되지 않습니다 생각 또는 뭔가 잘못하게 반환 아무것도.

패키지가 최신 상태이며 마지막 업데이트 이후 다시 시작되었습니다.

운영 체제 : Lubuntu 16.04

CPU : 인텔 N3700 (Braswell)

사용 가능한 소프트웨어 저장소 : 기본, 유니버스

사용 가능한 업데이트 : xenial-security

편집 :
의 출력 grep name /proc/cpuinfo | sort -uIS
model name : Intel(R) Pentium(R) CPU N3700 @ 1.60GHz

내 프로세서는 Skylake 또는 Kaby Lake가 아닙니다.

에서 /proc/cpuinfo지원되는 최대로 쇼를 하이퍼 스레딩,하지만 인텔의 페이지가 지원되지 않습니다 말한다 :
https://ark.intel.com/products/87261/Intel-Pentium-Processor-N3700-2M-Cache-up-to-2_40 -GHz

편집 2 :
실행 sudo update-initramfs -u하고 재부팅했습니다. 출력은 여전히 ​​동일합니다.

출력 /usr/sbin/iucode_tool -tb -lS /lib/firmware/intel-ucode/*:

/usr/sbin/iucode_tool: system has processor(s) with signature 0x000406c3
selected microcodes:

내 CPU에 대해 업데이트 된 마이크로 코드가없는 것 같습니다. Additional Drivers이전 에 탭에 선택 가능한 마이크로 코드가 있었기 때문에 흥미 롭습니다 (2017 년 말). 지금은 없습니다.

편집 3 :
출력 apt list --installed | grep intel-microcode:

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

intel-microcode/xenial-security,now 3.20180108.0+really20170707ubuntu16.04.1 amd64 [installed]

편집 4 :
이제 CPU 마이크로 코드에 대한 업데이트가 없다는 것을 이해합니다. 즉, 원래 문제가 해결되었다는 것을 의미하며 그대로 둡니다.

그러나 dmesg및 journalctl -b마이크로 버전에 대한 여전히 출력 라인, 나는 생각한다.
또한 이러한 부팅 로그가 tipical 1 또는 0 대신 "5"에서 시작하고 잘리는 반복 오류 메시지가 있음을 알았습니다 ( dmesg절단에 대해서는 아무 것도 말하지 않지만 journalctl커널 메시지가 371635 개 누락되었습니다 (아래 참조). . 지금은 이것을 무시하겠습니다.

March 19 06:36:40 NN systemd-journald[266]: Runtime journal (/run/log/journal/) is 8.0M, max 78.9M, 70.9M free.
March 19 06:36:40 NN systemd-journald[266]: Missed 371635 kernel messages
March 19 06:36:40 NN kernel: handle_bad_irq+0x0/0x230
March 19 06:36:40 NN kernel: ->irq_data.chip(): ffffffffbb172c40, 
March 19 06:36:40 NN kernel: chv_gpio_irqchip+0x0/0x120
March 19 06:36:40 NN kernel: ->action():           (null)
March 19 06:36:40 NN kernel:    IRQ_NOPROBE set
March 19 06:36:40 NN kernel: irq 115, desc: ffff9b91f5df8200, depth: 1, count: 0, unhandled: 0
March 19 06:36:40 NN kernel: ->handle_irq():  ffffffffb9ee8f70, 
March 19 06:36:40 NN kernel: handle_bad_irq+0x0/0x230
March 19 06:36:40 NN kernel: ->irq_data.chip(): ffffffffbb172c40, 
March 19 06:36:40 NN kernel: chv_gpio_irqchip+0x0/0x120
March 19 06:36:40 NN kernel: ->action():           (null)
March 19 06:36:40 NN kernel:    IRQ_NOPROBE set
March 19 06:36:40 NN kernel: irq 115, desc: ffff9b91f5df8200, depth: 1, count: 0, unhandled: 0
March 19 06:36:40 NN kernel: ->handle_irq():  ffffffffb9ee8f70, 
March 19 06:36:40 NN kernel: handle_bad_irq+0x0/0x230
March 19 06:36:40 NN kernel: ->irq_data.chip(): ffffffffbb172c40, 
March 19 06:36:40 NN kernel: chv_gpio_irqchip+0x0/0x120
March 19 06:36:40 NN kernel: ->action():           (null)
March 19 06:36:40 NN kernel:    IRQ_NOPROBE set
March 19 06:36:40 NN kernel: irq 115, desc: ffff9b91f5df8200, depth: 1, count: 0, unhandled: 0
March 19 06:36:40 NN kernel: ->handle_irq():  ffffffffb9ee8f70, 
March 19 06:36:40 NN kernel: handle_bad_irq+0x0/0x230
March 19 06:36:40 NN kernel: ->irq_data.chip(): ffffffffbb172c40, 
March 19 06:36:40 NN kernel: chv_gpio_irqchip+0x0/0x120

/usr/sbin/iucode_tool -tb -lS /lib/firmware/intel-ucode/*현재 CPU가 없기 때문에 CPU에 마이크로 코드가로드되지 않은 결과를 기반으로합니다 . 그렇다고 미래에는 없을 것입니다. 인텔의 마이크로 코드 및 iucode-tool을 안전하게 설치 한 상태로 둘 수 있습니다. CPU의 서명에 대한 마이크로 코드가 포함 된 업데이트가 있으면 사용됩니다.

Meltdown / Spectre Intel Microcode의 버그

2018 년 초 Intel Microcode 업데이트 에서 Meltdown / Spectre 보안 허점을 해결하기 위한 버그 가있었습니다 . 따라서 마이크로 코드는 이전 버전으로 롤백해야했습니다.

다음은 내가 사용하는 마이크로 코드입니다 (2018 년 1 월부터 모든 업데이트에서 제외).

$ apt list --installed | grep intel-microcode

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

intel-microcode/now 3.20170707.1~ubuntu16.04.0 amd64 [installed,upgradable to: 3.20180108.0+really20170707ubuntu16.04.1]

Intel Microcode Update를 설치하면이 버전 또는 이와 유사한 것을 얻을 수 있습니다.

intel-microcode/3.20180108.0+really20170707ubuntu16.04.1

우분투 16.04 LTS 메뉴

Lubuntu 메뉴 구조는 확실하지 않지만 일반적인 Ubuntu의 경우 Intel Microcode Update 컨트롤에 액세스하는 방법입니다.

하단 옵션은 인텔 마이크로 코드 업데이트를 제어합니다.

CLI에서 Intel Microcode 설치

GUI 메뉴를 완전히 건너 뛰려면 명령 행에서 설치할 수 있습니다.

sudo apt update
sudo apt install intel-microcode

dmesg 이제 올바른 출력을 보여줍니다

설치 단계를 수행 한 후 dmesg(아무것도 보이지 않는 질문과 달리) 원하는 출력을 반환합니다.

$ dmesg | grep -i microcode
[    1.166542] microcode: sig=0x506e3, pf=0x20, revision=0xba
[    1.166993] microcode: Microcode Update Driver: v2.2.
[16082.584598] microcode: microcode updated early to revision 0xba, date = 2017-04-09

우분투는이 악용에 대한 고정 커널 업데이트를 발표했습니다. 새로운 커널은 변경이 필요했습니다.

참조 : SecurityTeam / KnowledgeBase / SpectreAndMeltdown | 우분투 위키

Nouveau 디스플레이 드라이버를 사용하는 Ubuntu 16.04에 있습니다. 필자의 경우 새 커널을 설치 한 후 Intel-microcode가 제거되었습니다.

이 업데이트는 인텔에서 스펙터 버그 보안 취약점에 대한 버그 수정을 릴리스 한 직후에 릴리스되었습니다.

문제가 해결 될 것입니다.

당신은 내 장소 에서처럼 인텔 속성 드라이버를 교체하고 여전히 인텔 마이크로 코드 속성 드라이버를 원한다면.

인텔, 멜트 다운 및 스펙터 버그 수정을 위해 Linux CPU 마이크로 코드 출시 | bleepingcomputer.com

현재 새 드라이버는 Ubuntu ppa에 포함되어 있지 않습니다. 사용자는 Intel 웹 사이트에서 수동으로 다운로드해야 할 수도 있습니다.

경고 : 이로 인해 우분투에서 드라이버 충돌 또는 불안정이 발생할 수 있습니다. 당신은 자신의 위험에 설치해야합니다.

Linux 프로세서 마이크로 코드 데이터 파일 다운로드 | downloadcenter.intel.com

저에게는 우분투 랩톱에 문제가 없습니다. 그래서 위험을 감수하고 싶지 않습니다. 나는 우분투 팀을 떠나 내 시스템에서 가장 좋은 것을 결정했습니다. 우분투 드라이버 팀에서 업데이트를 기다리고 있습니다.