英特尔已经发布了针对基于Linux操作系统的更新微码(microcode)补丁,以解决Meltdown和Spectre安全漏洞。
到目前为止,每个人都听说过Meltdown和Spectre这两个影响数十亿设备的严重硬件错误,使得他们有可能受到攻击,因为无特权的攻击者可以使用本地安装的应用程序或通过Internet使用恶意脚本来窃取存储在内核内存中的敏感数据。英特尔,AMD和ARM处理器受到这些安全漏洞的影响。
英特尔上周承诺将发布更新的微代码,以解决Meltdown和Spectre的缺陷,最终这个补丁终于在这里发布了,它在过去五年中发布了众多处理器。建议用户立即更新微码(安装说明在下面提供)。文章结尾处列出了整个列表,英特尔还列出了一些官方支持的基于Linux的操作系统。
其中包括红帽企业Linux 7.4,7.3,7.2,7.1和7.0,红帽企业Linux 6.8,6.7,6.6,6.5,6.4,6.3和6.2,SUSE Linux Enterprise Server 12,SP3,SP2和SP1,SUSE Linux Enterprise Server 11,SP4,SP3,SP2和SP1,SUSE Linux Enterprise Server(SLES)12.2,CentOS 7.4,7.3,7.2,7.1和7.0,Debian 8.x和7.x,Fedora 24和23以及Ubuntu 16.04 LTS和14.04 LTS。
英特尔还将Red Hat Linux,SUSE Linux,Ubuntu,OpenDesktop,Google Chrome OS和Chromium OS列为受支持的操作系统,这意味着可以更新基于这些操作系统的任何发行版。因此,如果基于Ubuntu,SUSE,Red Hat等,我们建议所有的操作系统供应商下载这个补丁并把它移植到他们的GNU/Linux发行版中。
以下是如何更新Linux上的Intel CPU微代码(Intel microcode)
英特尔公司针对Linux操作系统发布的档案包含一个microcode.dat文件,该文件以传统的文本格式提供,仍然在某些Linux发行版中使用,允许用户通过旧版微码更新界面更新英特尔CPU微代码内核与和可以使用CONFIG_MICROCODE_OLD_INTERFACE=y选项。
要将microcode.dat更新到系统中,首先需要确保/dev/cpu/microcode的存在,然后使用在终端模拟器中输入dd if=microcode.dat of=/dev/cpu/microcode bs=1M 命令。一旦写入过程完成,您将不得不重新启动您的计算机以使更改生效。
“虽然通过BIOS更新是微码更新的常规方法,但英特尔意识到这可能是一个管理上的麻烦,Linux操作系统有一个机制来引导后更新微码,如果文件被放置在Linux系统的 /etc/firmware目录中,那么操作系统机制将使用该文件。“Intel说。
更新的微码档案还包含一个intel-ucode文件夹,这是大多数现代GNU/Linux发行版支持的第二种安装微码的方法。 要更新这种方式,请确保存在/sys/devices/system/cpu/microcode/reload,将整个intel-ucode目录复制到/lib/firmware,覆盖/lib/firmware/intel-ucode/中的文件, 编写重载接口1重新加载微码文件(例如 echo 1 > /sys/devices/system/cpu/microcode/reload),然后重启。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/industrynews/116464.html