tom/kernel_dell_tom
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity

UPD configuration 04 upto 05 for Linux 6.16

Browse Source
This commit is contained in:
Thomas Kuschel
2025-08-06 16:49:14 +02:00
parent 169c303750
commit 8151b4615c
9 changed files with 496 additions and 542 deletions
Download Patch File Download Diff File Expand all files Collapse all files

6
.vscode/settings.json vendored
View File

@@ -85,6 +85,7 @@
"Arasan", "Arasan",
"arbeiten", "arbeiten",
"architekturabhängige", "architekturabhängige",
"architekturbasierte",
"archlinux", "archlinux",
"arcmsr", "arcmsr",
"arcnet", "arcnet",
@@ -413,6 +414,7 @@
"Dateisystemunterstützung", "Dateisystemunterstützung",
"datenabhängige", "datenabhängige",
"datenbankähnliche", "datenbankähnliche",
"Datenleckage",
"Davicom", "Davicom",
"Dawi", "Dawi",
"dccp", "dccp",
@@ -860,6 +862,7 @@
"ICAN", "ICAN",
"Icanx", "Icanx",
"IDLETIMER", "IDLETIMER",
"idpb",
"idpf", "idpf",
"ieee", "ieee",
"ietf", "ietf",
@@ -1493,6 +1496,7 @@
"PARTUUID", "PARTUUID",
"PASIDs", "PASIDs",
"Passthru", "Passthru",
"Patchen",
"Patchram", "Patchram",
"Pathwalk", "Pathwalk",
"PCAN", "PCAN",
@@ -2253,6 +2257,7 @@
"vmcore", "vmcore",
"vmemmap", "vmemmap",
"Vmemmap", "Vmemmap",
"vmexit",
"vmlinux", "vmlinux",
"VMOD", "VMOD",
"VMWGFX", "VMWGFX",
@@ -2347,6 +2352,7 @@
"yama", "yama",
"yellowfin", "yellowfin",
"Yopy", "Yopy",
"zählerbasierten",
"Zaptel", "Zaptel",
"Zaurus", "Zaurus",
"zbud", "zbud",

1
documentation/.linux_configuration_hyphenation.sty
View File

@@ -14,6 +14,7 @@ Gast-spei-cher-in-halts
In-ter-feren-zen In-ter-feren-zen
Leistungs-gewinne Leistungs-gewinne
Le-se-mar-ker Le-se-mar-ker
Platt-form-ebene
Sicher-heits-modulen Sicher-heits-modulen
Sub-netze Sub-netze
Web-ser-ver Web-ser-ver

4
documentation/linux_configuration.pdf
View File

@@ -1,3 +1,3 @@
version https://git-lfs.github.com/spec/v1 version https://git-lfs.github.com/spec/v1
oid sha256:b33e2e703fd5328e39235b4277eac76023827698df1e3e0d7637724897675a2f oid sha256:44714bcb8161dc63a003feeab5a6edc5d156e13a4be4f503587ac370197717a6
size 841319 size 449775

12
documentation/linux_configuration.tex
View File

@@ -10,15 +10,15 @@
% pacman -S texlive-mathscience % pacman -S texlive-mathscience
\includeonly{ \includeonly{
linux_configuration_01_general_setup, %linux_configuration_01_general_setup,
linux_configuration_02_64-bit_kernel, linux_configuration_02_64-bit_kernel,
linux_configuration_03_processor_type_and_features, %linux_configuration_03_processor_type_and_features,
%linux_configuration_04_mitigations_for_speculative_execution_vulnerabilities, linux_configuration_04_mitigations_for_cpu_vulnerabilities,
%linux_configuration_05_power_management_and_acpi_options, linux_configuration_05_power_management_and_acpi_options,
%linux_configuration_09_general_architecture-dependent_options, %linux_configuration_09_general_architecture-dependent_options,
%linux_configuration_11_enable_the_block_layer, %linux_configuration_11_enable_the_block_layer,
%linux_configuration_12_executable_file_formats, %linux_configuration_12_executable_file_formats,
linux_configuration_13_memory_management_options, %linux_configuration_13_memory_management_options,
%linux_configuration_14_networking_support, %linux_configuration_14_networking_support,
%linux_configuration_15_device_drivers, %linux_configuration_15_device_drivers,
%linux_configuration_16_file_systems, %linux_configuration_16_file_systems,
@@ -208,7 +208,7 @@ Version \version ~an:
%3 %3
\include{linux_configuration_03_processor_type_and_features} \include{linux_configuration_03_processor_type_and_features}
%4 %4
\include{linux_configuration_04_mitigations_for_speculative_execution_vulnerabilities} \include{linux_configuration_04_mitigations_for_cpu_vulnerabilities}
%5 %5
\include{linux_configuration_05_power_management_and_acpi_options} \include{linux_configuration_05_power_management_and_acpi_options}
%6 %6

2
documentation/linux_configuration_01_general_setup.tex
View File

@@ -1,4 +1,4 @@
% linux_configuration_01_general_setup % linux_configuration_01_general_setup.tex
% since Linux 6.16 % since Linux 6.16
\section{General setup \texorpdfstring{$\rightarrow$}{->}} \section{General setup \texorpdfstring{$\rightarrow$}{->}}

2
documentation/linux_configuration_02_64-bit_kernel.tex
View File

@@ -1,4 +1,4 @@
% linux_configuration_02_64-bit_kernel % linux_configuration_02_64-bit_kernel.tex
% since Linux 6.16 % since Linux 6.16
\section{64-bit kernel} \section{64-bit kernel}
CONFIG\_64BIT [=y] \textbf{[Y]}\\ CONFIG\_64BIT [=y] \textbf{[Y]}\\

2
documentation/linux_configuration_03_processor_type_and_features.tex
View File

@@ -1,4 +1,4 @@
% linux_configuration_03_processor_type_and_features % linux_configuration_03_processor_type_and_features.tex
% since Linux 6.16 % since Linux 6.16
\section{Processor type and features \texorpdfstring{$\rightarrow$}{->}} \section{Processor type and features \texorpdfstring{$\rightarrow$}{->}}
Prozessortyp und Eigenschaften Prozessortyp und Eigenschaften

226
documentation/linux_configuration_04_mitigations_for_speculative_execution_vulnerabilities.tex → documentation/linux_configuration_04_mitigations_for_cpu_vulnerabilities.tex
View File

@@ -1,95 +1,98 @@
% linux_configuration_04_mitigations_for_speculative_execution_vulnerabilities % linux_configuration_04_mitigations_for_cpu_vulnerabilities.tex
% since Linux 6.16 % since Linux 6.16
\section{Mitigations for speculative execution vulnerabilities \texorpdfstring{$\rightarrow$}{->}} % former: \section{Mitigations for speculative execution vulnerabilities \texorpdfstring{$\rightarrow$}{->}}
CONFIG\_SPECULATION\_MITIGATIONS [=y] \textbf{[Y]}\\ \section{Mitigations for CPU vulnerabilities {\tiny{seit 6.9}} \texorpdfstring{$\rightarrow$}{->}}
Sagen Sie hier Y, um Optionen zu aktivieren, die Abhilfemaßnahmen für Hardware-Schwachstellen durch spekulative Ausführung ermöglichen. % CONFIG\_SPECULATION\_MITIGATIONS [=y] \textbf{[Y]}\\
Wenn Sie N sagen, werden alle Abhilfemaßnahmen deaktiviert. CONFIG\_CPU\_MITIGATIONS [=y] \textbf{[Y]}\\
Sie sollten wirklich wissen, was Sie tun, um dies anzugeben. Geben Sie hier Y ein, um Optionen zu aktivieren, die Abhilfemaßnahmen für Hardware-Sicherheitslücken (in der Regel im Zusammenhang mit spekulativer Ausführung) ermöglichen.
Abhilfemaßnahmen können über den Kernel-Parameter \texttt{mitigations} zur Laufzeit deaktiviert oder auf SMT-Systeme beschränkt werden.\\
Wenn Sie N eingeben, werden alle Abhilfemaßnahmen deaktiviert.
Dies kann zur Laufzeit NICHT überschrieben werden.\\
Geben Sie Y ein, es sei denn, Sie wissen genau, was Sie tun.
\english{Say Y here to enable options which enable mitigations for hardware vulnerabilities (usually related to speculative execution). \english{Say Y here to enable options which enable mitigations for hardware vulnerabilities (usually related to speculative execution).
Mitigations can be disabled or restricted to SMT systems at runtime via the "mitigations" kernel parameter.\\ Mitigations can be disabled or restricted to SMT systems at runtime via the ``mitigations'' kernel parameter.\\
If you say N, all mitigations will be disabled. If you say N, all mitigations will be disabled.
This CANNOT be overridden at runtime.\\ This CANNOT be overridden at runtime.\\
Say 'Y', unless you really know what you are doing.} Say `Y', unless you really know what you are doing.}
%4.1 %4.1 changed from CONFIG\_PAGE\_TABLE\_ISOLATION to CONFIG\_MITIGATION\_PAGE\_TABLE\_ISOLATION seit 6.9
\subsection{Remove the kernel mapping in user mode} \subsection{Remove the kernel mapping in user mode}
CONFIG\_PAGE\_TABLE\_ISOLATION [=y] \textbf{[Y]}\\ CONFIG\_MITIGATION\_PAGE\_TABLE\_ISOLATION [=y] \textbf{[Y]}\\
Diese Funktion reduziert die Anzahl der Hardware-Seitenkanäle, indem sie sicherstellt, dass die meisten Diese Funktion reduziert die Anzahl der Hardware-Seitenkanäle, indem sie sicherstellt, dass die meisten Kernel-Adressen nicht in den Benutzerraum abgebildet werden.\\
Kernel-Adressen nicht in den Benutzerraum abgebildet werden.\\
Siehe \texttt{Documentation/arch/x86/pti.rst} für weitere Details. Siehe \texttt{Documentation/arch/x86/pti.rst} für weitere Details.
\english{This feature reduces the number of hardware side channels by ensuring that \english{This feature reduces the number of hardware side channels by ensuring that the majority of kernel addresses are not mapped into userspace.\\
the majority of kernel addresses are not mapped into userspace.\\
See Documentation/arch/x86/pti.rst for more details.} See Documentation/arch/x86/pti.rst for more details.}
%4.2 %4.2 changed from CONFIG\_RETPOLINE to CONFIG\_MITIGATION\_RETPOLINE seit 6.9
\subsection{Avoid speculative indirect branches in kernel} \subsection{Avoid speculative indirect branches in kernel}
CONFIG\_RETPOLINE [=y] \textbf{[Y]}\\ CONFIG\_MITIGATION\_RETPOLINE [=y] \textbf{[Y]}\\
Kompilieren Sie den Kernel mit den retpoline Compiler-Optionen, um Datenlecks zwischen Kernel und Benutzer Kompilieren Sie den Kernel mit den retpoline Compiler-Optionen, um Datenlecks zwischen Kernel und Benutzer zu verhindern, indem spekulative indirekte Verzweigungen vermieden werden.
zu verhindern, indem spekulative indirekte Verzweigungen vermieden werden. Erfordert einen Compiler mit Erfordert einen Compiler mit \texttt{-mindirect-branch=thunk-extern} Unterstützung für vollen Schutz.
\texttt{-mindirect-branch=thunk-extern} Unterstützung für vollen Schutz. Der Kernel kann langsamer laufen. Der Kernel kann langsamer laufen.
\english{Compile kernel with the retpoline compiler options to guard against kernel-to-user \english{Compile kernel with the retpoline compiler options to guard against kernel-to-user data leaks by avoiding speculative indirect branches.
data leaks by avoiding speculative indirect branches.
Requires a compiler with -mindirect-branch=thunk-extern support for full protection. Requires a compiler with -mindirect-branch=thunk-extern support for full protection.
The kernel may run slower.} The kernel may run slower.}
%4.2.1 changed from CONFIG\_RETHUNK to CONFIG\_MITIGATION\_RETHUNK seit 6.9
\subsubsection{Enable return-thunks} \subsubsection{Enable return-thunks}
CONFIG\_RETHUNK [=y] \textbf{[Y]}\\ CONFIG\_MITIGATION\_RETHUNK [=y] \textbf{[Y]}\\
Kompiliere den Kernel mit der Compileroption return-thunks, um Datenlecks zwischen Kernel und Benutzer zu Kompiliere den Kernel mit der Compileroption \texttt{return-thunks}, um Datenlecks zwischen Kernel und Benutzer zu verhindern, indem Rückgabespekulationen vermieden werden.
verhindern, indem Rückgabespekulationen vermieden werden. Erfordert einen Compiler mit Erfordert einen Compiler mit \texttt{-mfunction-return=thunk-extern} Unterstützung für vollen Schutz.
\texttt{-mfunction-return=thunk-extern} Unterstützung für vollen Schutz. Der Kernel kann langsamer laufen. Der Kernel kann langsamer laufen.
\english{Compile the kernel with the return-thunks compiler option to guard against \english{Compile the kernel with the return-thunks compiler option to guard against kernel-to-user data leaks by avoiding return speculation.
kernel-to-user data leaks by avoiding return speculation.
Requires a compiler with -mfunction-return=thunk-extern support for full protection. Requires a compiler with -mfunction-return=thunk-extern support for full protection.
The kernel may run slower.} The kernel may run slower.}
%4.2.1.1 changed CONFIG seit 6.9
\paragraph{Enable UNRET on kernel entry}$~$\\ \paragraph{Enable UNRET on kernel entry}$~$\\
CONFIG\_CPU\_UNRET\_ENTRY [=y] \textbf{[Y]}\\ %CONFIG\_CPU\_UNRET\_ENTRY [=y] \textbf{[Y]}\\
Kompiliere den Kernel mit Unterstützung für die \texttt{retbleed=unret}-Abschwächung. CONFIG\_MITIGATION\_UNRET\_ENTRY [=y] \textbf{[Y]}\\
Kompiliere den Kernel mit Unterstützung für die \texttt{retbleed=unret}"=Abwehrmaßnahme.
\english{Compile the kernel with support for the retbleed=unret mitigation.} \english{Compile the kernel with support for the retbleed=unret mitigation.}
\note{Wird nur bei AMD-Prozessoren angezeigt.} \note{Wird nur bei AMD-Prozessoren angezeigt.}
%4.3 %4.3
\subsection{Mitigate RSB underflow with call depth tracking} \subsection{Mitigate RSB underflow with call depth tracking}
CONFIG\_CALL\_DEPTH\_TRACKING [=y] \textbf{[Y]}\\ %CONFIG\_CALL\_DEPTH\_TRACKING [=y] \textbf{[Y]}\\
Kompiliere den Kernel mit Call-Depth-Tracking, um das Intel SKL Return-Speculation-Buffer (RSB) Underflow-Problem CONFIG\_MITIGATION\_CALL\_DEPTH\_TRACKING [=y] \textbf{[Y]}\\
zu entschärfen. Die Entschärfung ist standardmäßig ausgeschaltet und muss in der Kernel-Befehlszeile über die Kompiliere den Kernel mit Call-Depth-Tracking, um das Intel SKL Return-Speculation-Buffer (RSB) Underflow"=Problem zu beheben.
Option \texttt{retbleed=stuff} aktiviert werden. Für nicht betroffene Systeme ist der Overhead dieser Option Die Abhilfe ist standardmäßig deaktiviert und muss über die Option \texttt{retbleed=stuff} in der Kernel"=Befehlszeile aktiviert werden.
marginal, da die Verfolgung der Aufruftiefe zur Laufzeit generierte Call Thunks in einem vom Compiler generierten Für nicht betroffene Systeme ist der Overhead dieser Option marginal, da die Verfolgung der Aufruftiefe zur Laufzeit generierte Call Thunks in einem vom Compiler generierten Padding-Bereich und Call Patching verwendet.
Padding-Bereich und Call Patching verwendet. Dies erhöht die Textgröße um $\sim\qty{5}{\percent}$. Bei nicht betroffenen Systemen Dies erhöht die Textgröße um $\sim\qty{5}{\percent}$.
ist dieser Platz ungenutzt. Auf betroffenen SKL-Systemen führt dies zu einem erheblichen Leistungsgewinn gegenüber Bei nicht betroffenen Systemen ist dieser Platz ungenutzt.
der IBRS-Abschwächung. Auf betroffenen SKL-Systemen führt dies zu einem erheblichen Leistungsgewinn gegenüber der IBRS-Abschwächung.
\english{Compile the kernel with call depth tracking to mitigate the \english{Compile the kernel with call depth tracking to mitigate the Intel SKL Return-Stack-Buffer (RSB) underflow issue.
Intel SKL Return-Stack-Buffer (RSB) underflow issue. The mitigation is off by default and needs to be enabled on the kernel command line via the retbleed=stuff option.
The mitigation is off by default and needs to be enabled on the kernel command line via the For non-affected systems the overhead of this option is marginal as the call depth tracking is using run-time generated call thunks in a compiler generated padding area and call patching.
retbleed=stuff option. This increases text size by $\sim$5\%.
For non-affected systems the overhead of this option is marginal as the call depth tracking For non affected systems this space is unused.
is using run-time generated call thunks in a compiler generated padding area and call patching.
This increases text size by $\sim$5\%. For non affected systems this space is unused.
On affected SKL systems this results in a significant performance gain over the IBRS mitigation.} On affected SKL systems this results in a significant performance gain over the IBRS mitigation.}
\subsubsection{Enable call thunks and call depth tracking debugging} \subsubsection{Enable call thunks and call depth tracking debugging \tiny{seit 6.2}}
CONFIG\_CALL\_THUNKS\_DEBUG [=n] \textbf{[N]}\\ CONFIG\_CALL\_THUNKS\_DEBUG [=n] \textbf{[N]}\\
Aktiviere Call/Ret-Zähler zur Erkennung von Ungleichgewichten und baue ein lautes dmesg über die Erzeugung von Aktiviere Anruf-/Rückrufzähler für die Erkennung von Ungleichgewichten und integriere eine laute dmesg"=Meldung über die Generierung von Callthunks und das Patchen von Aufrufen zur Fehlerbehebung.
Callthunks und Call-Patching zur Fehlersuche ein. Die Debug-Ausdrucke müssen in der Kernel-Befehlszeile mit Die Debug-Ausgaben müssen in der Kernel-Befehlszeile mit \texttt{debug-callthunks} aktiviert werden.
\texttt{debug-callthunks} aktiviert werden. Aktivieren Sie dies nur, wenn Sie Call Thunks debuggen wollen, Aktivieren Sie diese Option nur, wenn Sie Call Thunks debuggen wollen, da dies einen spürbaren Laufzeit-Overhead erzeugt.
da dies einen spürbaren Laufzeit-Overhead erzeugt. Wenn Sie unsicher sind, sagen Sie N. Wenn Sie unsicher sind, sagen Sie N.
\english{Enable call/ret counters for imbalance detection and build in a noisy dmesg about \english{Enable call/ret counters for imbalance detection and build in a noisy dmesg about callthunks generation and call patching for trouble shooting.
callthunks generation and call patching for trouble shooting.
The debug prints need to be enabled on the kernel command line with 'debug-callthunks'. The debug prints need to be enabled on the kernel command line with 'debug-callthunks'.
Only enable this when you are debugging call thunks as this creates a noticeable runtime overhead. Only enable this when you are debugging call thunks as this creates a noticeable runtime overhead.
If unsure say N.} If unsure say N.}
%4.4 %4.4
\subsection{Enable IBPB on kernel entry} \subsection{Enable IBPB on kernel entry}
CONFIG\_CPU\_IBPB\_ENTRY [=y] \textbf{[Y]}\\ %CONFIG\_CPU\_IBPB\_ENTRY [=y] \textbf{[Y]}\\
Kompiliere den Kernel mit Unterstützung für die \texttt{retbleed=ibpb}-Abschwächung. CONFIG\_MITIGATION\_IBPB\_ENTRY [=y] \textbf{[Y]}\\
\english{Compile the kernel with support for the retbleed=ibpb and spec\_rstack\_overflow={ibpb,ibpb-vmexit} mitigations.} Kompiliere den Kernel mit Unterstützung für die beiden Abwehrmaßnamen: \texttt{retbleed=idpb} und\\\texttt{spec\_rstack\_overflow=\{ibpb,ibpb-vmexit\}}.
\english{Compile the kernel with support for the retbleed=ibpb and spec\_rstack\_overflow=\{ibpb,ibpb-vmexit\} mitigations.}
\note{Wird nur angezeigt, wenn ein AMD-Prozessor unterstützt wird.}
%4.5 %4.5
\subsection{Enable IBRS on kernel entry} \subsection{Enable IBRS on kernel entry}
CONFIG\_CPU\_IBRS\_ENTRY [=y] \textbf{[Y]}\\ %CONFIG\_CPU\_IBRS\_ENTRY [=y] \textbf{[Y]}\\
Kompiliere den Kernel mit Unterstützung für die \texttt{spectre\_v2=ibrs}-Abschwächung. CONFIG\_MITIGATION\_IBRS\_ENTRY [=y] \textbf{[Y]}\\
Dadurch werden sowohl spectre\_v2 als auch retbleed auf Kosten der Leistung abgeschwächt. Kompiliere den Kernel mit Unterstützung für die \texttt{spectre\_v2=ibrs}"=Abwehrmaßnahme.
Dadurch werden sowohl \texttt{spectre\_v2} als auch \texttt{retbleed} mit erheblichen Leistungseinbußen abgewehrt.
\english{Compile the kernel with support for the spectre\_v2=ibrs mitigation. \english{Compile the kernel with support for the spectre\_v2=ibrs mitigation.
This mitigates both spectre\_v2 and retbleed at great cost to performance.} This mitigates both spectre\_v2 and retbleed at great cost to performance.}
@@ -98,38 +101,42 @@ This mitigates both spectre\_v2 and retbleed at great cost to performance.}
CONFIG\_MITIGATION\_SRSO [=y] \textbf{[N]}\\ CONFIG\_MITIGATION\_SRSO [=y] \textbf{[N]}\\
Aktiviert die SRSO-Abschwächung, die auf AMD Zen1-4-Maschinen benötigt wird. Aktiviert die SRSO-Abschwächung, die auf AMD Zen1-4-Maschinen benötigt wird.
\english{Enable the SRSO mitigation needed on AMD Zen1-4 machines.} \english{Enable the SRSO mitigation needed on AMD Zen1-4 machines.}
\note{Wird nur angezeigt, wenn ein AMD-Prozessor unterstützt wird.}
%4.7 %4.7
\subsection{Mitigate Straight-Line-Speculation} \subsection{Mitigate Straight-Line-Speculation}
CONFIG\_MITIGATION\_SLS [=y] \textbf{[Y]}\\ CONFIG\_MITIGATION\_SLS [=y] \textbf{[Y]}\\
Kompiliere den Kernel mit Straight-Line-Speculation-Optionen, um ihn vor Straight-Line-Speculation zu Kompiliere den Kernel mit Straight-Line-Speculation-Optionen, um ihn vor Straight-Line-Speculation zu schützen.
schützen. Das Kernel-Image könnte etwas größer sein. Das Kernel-Image könnte etwas größer sein.
\english{Compile the kernel with straight-line-speculation options to guard against straight line speculation. \english{Compile the kernel with straight-line-speculation options to guard against straight line speculation.
The kernel image might be slightly larger.} The kernel image might be slightly larger.}
{\color{gray}{ {\color{gray}{
\subsection*{Force GDS Mitigation} \subsection*{Force GDS Mitigation \tiny{bis 6.8}}
CONFIG\_GDS\_FORCE\_MITIGATION [=n] \textbf{[N]}\\ CONFIG\_GDS\_FORCE\_MITIGATION [=n] \textbf{[N]}\\
Gather Data Sampling (GDS) ist eine Hardware-Schwachstelle, die unberechtigten spekulativen Zugriff auf Gather Data Sampling (GDS) ist eine Hardware-Schwachstelle, die unberechtigten spekulativen Zugriff auf Daten ermöglicht, die zuvor in Vektorregistern gespeichert wurden.
Daten ermöglicht, die zuvor in Vektorregistern gespeichert wurden. Diese Option ist gleichbedeutend mit Diese Option ist gleichbedeutend mit der Einstellung \texttt{gather\_data\_sampling=force} in der Befehlszeile.
der Einstellung \texttt{gather\_data\_sampling=force} in der Befehlszeile. Die Mikrocode-Abschwächung Die Mikrocode-Abwehrmaßnahme wird verwendet, falls vorhanden, andernfalls wird AVX als Abwehrmaßnahme deaktiviert.
wird verwendet, falls vorhanden, andernfalls wird AVX als Abschwächung deaktiviert. Auf betroffenen Auf betroffenen Systemen, denen der Microcode fehlt, wird jeder Userspace-Code, der AVX bedingungslos verwendet, bei gesetzter Option abbrechen.
Systemen, denen der Microcode fehlt, wird jeder Userspace-Code, der AVX bedingungslos verwendet, bei Das Setzen dieser Option auf Systemen, die nicht für GDS anfällig sind, hat keine Auswirkungen.\\
gesetzter Option abbrechen. Das Setzen dieser Option auf Systemen, die nicht für GDS anfällig sind, hat Im Zweifelsfall sagen Sie N.}
keine Auswirkungen.\\ \english{Gather Data Sampling (GDS) is a hardware vulnerability which allows unprivileged speculative access to data which was previously stored in vector registers.
Im Zweifelsfall sagen Sie N.}} This option is equivalent to setting gather\_data\_sampling=force on the command line.
The microcode mitigation is used if present, otherwise AVX is disabled as a mitigation.
On affected systems that are missing the microcode any userspace code that unconditionally uses AVX will break with this option set.
Setting this option on systems not vulnerable to GDS has no effect.
If in doubt, say N.}
}
%4.8 %4.8
\subsection{Mitigate Gather Data Sampling} \subsection{Mitigate Gather Data Sampling}
CONFIG\_MITIGATION\_GDS [=y] \textbf{[Y]}\\ CONFIG\_MITIGATION\_GDS [=y] \textbf{[Y]}\\
Entschärfung für Gather Data Sampling (GDS) aktivieren. Aktivierung der Risikominderung für die Datenerfassung, Gather Data Sampling (GDS).
GDS ist eine Hardware-Schwachstelle, die unprivilegierten spekulativen Zugriff auf Daten GDS ist eine Hardware-Schwachstelle, die unprivilegierten spekulativen Zugriff auf Daten ermöglicht, die zuvor in Vektorregistern gespeichert wurden.
ermöglicht, die zuvor in Vektorregistern gespeichert wurden.
Der Angreifer verwendet Gather-Anweisungen, um die veralteten Vektorregisterdaten zu ermitteln. Der Angreifer verwendet Gather-Anweisungen, um die veralteten Vektorregisterdaten zu ermitteln.
\english{Enable mitigation for Gather Data Sampling (GDS). \english{Enable mitigation for Gather Data Sampling (GDS).
GDS is a hardware vulnerability which allows unprivileged speculative access to data GDS is a hardware vulnerability which allows unprivileged speculative access to data which was previously stored in vector registers.
which was previously stored in vector registers.
The attacker uses gather instructions to infer the stale vector register data.} The attacker uses gather instructions to infer the stale vector register data.}
%4.9 %4.9
@@ -141,52 +148,45 @@ Sie ermöglicht unprivilegierten spekulativen Zugriff auf veraltete Daten, die z
Siehe auch $<$file:Documentation/admin-guide/hw-vuln/reg-file-data-sampling.rst$>$ Siehe auch $<$file:Documentation/admin-guide/hw-vuln/reg-file-data-sampling.rst$>$
\english{Enable mitigation for Register File Data Sampling (RFDS) by default. \english{Enable mitigation for Register File Data Sampling (RFDS) by default.
RFDS is a hardware vulnerability which affects Intel Atom CPUs. RFDS is a hardware vulnerability which affects Intel Atom CPUs.
It allows unprivileged speculative access to stale data previously stored in floating point, It allows unprivileged speculative access to stale data previously stored in floating point, vector and integer registers.
vector and integer registers.
See also $<$file:Documentation/admin-guide/hw-vuln/reg-file-data-sampling.rst$>$} See also $<$file:Documentation/admin-guide/hw-vuln/reg-file-data-sampling.rst$>$}
%4.10 %4.10
\subsection{Mitigate Spectre-BHB (Branch History Injection)} \subsection{Mitigate Spectre-BHB (Branch History Injection)}
CONFIG\_MITIGATION\_SPECTRE\_BHI [=y] \textbf{[Y]}\\ CONFIG\_MITIGATION\_SPECTRE\_BHI [=y] \textbf{[Y]}\\
Aktivieren Sie BHI-Abschwächungen. Aktivieren Sie BHI-Abschwächungen.
BHI-Angriffe sind eine Form von Spectre-V2-Angriffen, bei denen der Branch-History-Puffer BHI-Angriffe sind eine Form von Spectre-V2-Angriffen, bei denen der Branch-History-Puffer vergiftet wird, um indirekte Verzweigungen spekulativ zu steuern.
vergiftet wird, um indirekte Verzweigungen spekulativ zu steuern.
Siehe $<$file:Documentation/admin-guide/hw-vuln/spectre.rst$>$ Siehe $<$file:Documentation/admin-guide/hw-vuln/spectre.rst$>$
\english{Enable BHI mitigations. BHI attacks are a form of Spectre V2 attacks \english{Enable BHI mitigations.
where the branch history buffer is poisoned to speculatively steer indirect branches. BHI attacks are a form of Spectre V2 attacks where the branch history buffer is poisoned to speculatively steer indirect branches.
See $<$file:Documentation/admin-guide/hw-vuln/spectre.rst$>$} See $<$file:Documentation/admin-guide/hw-vuln/spectre.rst$>$}
%4.11 %4.11
\subsection{Mitigate Microarchitectural Data Sampling (MDS) hardware bug} \subsection{Mitigate Microarchitectural Data Sampling (MDS) hardware bug}
CONFIG\_MITIGATION\_MDS [=y] \textbf{[Y]}\\* CONFIG\_MITIGATION\_MDS [=y] \textbf{[Y]}\\*
Aktiviert die Abschwächung für Microarchitectural Data Sampling (MDS). Aktivierung der Abhilfemaßnahmen für Microarchitectural Data Sampling (MDS).
MDS ist eine Hardware-Schwachstelle, die unprivilegierten spekulativen Zugriff MDS ist eine Hardware-Schwachstelle, die unprivilegierten spekulativen Zugriff auf Daten ermöglicht, die in verschiedenen CPU-internen Puffern verfügbar sind.\\
auf Daten ermöglicht, die in verschiedenen CPU-internen Puffern verfügbar sind.\\
Siehe auch $<$file:Documentation/admin-guide/hw-vuln/mds.rst$>$ Siehe auch $<$file:Documentation/admin-guide/hw-vuln/mds.rst$>$
\english{Enable mitigation for Microarchitectural Data Sampling (MDS). \english{Enable mitigation for Microarchitectural Data Sampling (MDS).
MDS is a hardware vulnerability which allows unprivileged speculative access MDS is a hardware vulnerability which allows unprivileged speculative access to data which is available in various CPU internal buffers.\\
to data which is available in various CPU internal buffers.\\
See also $<$file:Documentation/admin-guide/hw-vuln/mds.rst$>$} See also $<$file:Documentation/admin-guide/hw-vuln/mds.rst$>$}
%4.12 %4.12
\subsection{Mitigate TSX Asynchronous Abort (TAA) hardware bug} \subsection{Mitigate TSX Asynchronous Abort (TAA) hardware bug}
CONFIG\_MITIGATION\_TAA [=y] \textbf{[Y]}\\* CONFIG\_MITIGATION\_TAA [=y] \textbf{[Y]}\\*
Aktivieren Sie die Schadensbegrenzung für TSX Asynchronous Abort (TAA). Aktivieren Sie die Schadensbegrenzung für TSX Asynchronous Abort (TAA).
TAA ist eine Hardware-Schwachstelle, die unprivilegierten spekulativen Zugriff TAA ist eine Hardware-Schwachstelle, die unprivilegierten spekulativen Zugriff auf Daten ermöglicht, die in verschiedenen CPU-internen Puffern verfügbar sind, indem asynchrone Abbrüche innerhalb einer Intel TSX-Transaktionsregion verwendet werden.
auf Daten ermöglicht, die in verschiedenen CPU-internen Puffern verfügbar sind,
indem asynchrone Abbrüche innerhalb einer Intel TSX-Transaktionsregion verwendet werden.
Siehe auch $<$file:Documentation/admin-guide/hw-vuln/tsx\_async\_abort.rst$>$ Siehe auch $<$file:Documentation/admin-guide/hw-vuln/tsx\_async\_abort.rst$>$
\english{Enable mitigation for TSX Asynchronous Abort (TAA). \english{Enable mitigation for TSX Asynchronous Abort (TAA).
TAA is a hardware vulnerability that allows unprivileged speculative access to data which is available in various TAA is a hardware vulnerability that allows unprivileged speculative access to data which is available in various CPU internal buffers by using asynchronous aborts within an Intel TSX transactional region.
CPU internal buffers by using asynchronous aborts within an Intel TSX transactional region.
See also $<$file:Documentation/admin-guide/hw-vuln/tsx\_async\_abort.rst$>$} See also $<$file:Documentation/admin-guide/hw-vuln/tsx\_async\_abort.rst$>$}
%4.13 %4.13
\subsection{Mitigate MMIO Stale Data hardware bug} \subsection{Mitigate MMIO Stale Data hardware bug}
CONFIG\_MITIGATION\_MMIO\_STALE\_DATA [=y] \textbf{[Y]}\\* CONFIG\_MITIGATION\_MMIO\_STALE\_DATA [=y] \textbf{[Y]}\\*
Entschärfung von MMIO Stale Data-Hardwarefehlern aktivieren. Aktivierung der Fehlerbehebung für MMIO-Hardwarefehler aufgrund veralteter Daten.
MMIO Stale Data-Schwachstellen in Prozessoren sind eine Klasse von Memory-Mapped I/O (MMIO)-Schwachstellen, die Daten preisgeben können. Prozessor-MMIO-Sicherheitslücken aufgrund veralteter Daten sind eine Klasse von MMIO-Sicherheitslücken (Memory-Mapped I/O), durch die Daten offengelegt werden können.
Die Schwachstellen erfordern, dass der Angreifer Zugriff auf MMIO.\\ Die Sicherheitslücken setzen voraus, dass der Angreifer Zugriff auf MMIO hat.\\
Siehe auch \texttt{file:Documentation/admin-guide/hw-vuln/processor\_mmio\_stale\_data.rst} Siehe auch \texttt{file:Documentation/admin-guide/hw-vuln/processor\_mmio\_stale\_data.rst}
\english{Enable mitigation for MMIO Stale Data hardware bugs. \english{Enable mitigation for MMIO Stale Data hardware bugs.
Processor MMIO Stale Data Vulnerabilities are a class of memory-mapped I/O (MMIO) vulnerabilities that can expose data. Processor MMIO Stale Data Vulnerabilities are a class of memory-mapped I/O (MMIO) vulnerabilities that can expose data.
@@ -208,12 +208,10 @@ See $<$file:Documentation/admin-guide/hw-vuln/l1tf.rst}
CONFIG\_MITIGATION\_RETBLEED [=y] \textbf{[Y]}\\* CONFIG\_MITIGATION\_RETBLEED [=y] \textbf{[Y]}\\*
Aktivieren Sie Entschärfung für die RETBleed-Schwachstelle (Arbitrary Speculative Code Execution with Return Instructions). Aktivieren Sie Entschärfung für die RETBleed-Schwachstelle (Arbitrary Speculative Code Execution with Return Instructions).
RETBleed ist ein spekulativer Ausführungsangriff, der das mikroarchitektonische Verhalten in vielen modernen Mikroprozessoren ausnutzt, ähnlich wie bei Spectre v2. RETBleed ist ein spekulativer Ausführungsangriff, der das mikroarchitektonische Verhalten in vielen modernen Mikroprozessoren ausnutzt, ähnlich wie bei Spectre v2.
Ein unprivilegierter Angreifer kann diese Schwachstellen nutzen, um herkömmliche Speichersicherheitsbeschränkungen zu umgehen und Lesezugriff auf Ein unprivilegierter Angreifer kann diese Schwachstellen nutzen, um herkömmliche Speichersicherheitsbeschränkungen zu umgehen und Lesezugriff auf privilegierten Speicher zu erlangen, der ansonsten unzugänglich wäre.
privilegierten Speicher zu erlangen, der ansonsten unzugänglich wäre.
\english{Enable mitigation for RETBleed (Arbitrary Speculative Code Execution with Return Instructions) vulnerability. \english{Enable mitigation for RETBleed (Arbitrary Speculative Code Execution with Return Instructions) vulnerability.
RETBleed is a speculative execution attack which takes advantage of microarchitectural behavior in many modern microprocessors, similar to Spectre v2. RETBleed is a speculative execution attack which takes advantage of microarchitectural behavior in many modern microprocessors, similar to Spectre v2.
An unprivileged attacker can use these flaws to bypass conventional memory security restrictions to gain read access to privileged memory An unprivileged attacker can use these flaws to bypass conventional memory security restrictions to gain read access to privileged memory that would otherwise be inaccessible.}
that would otherwise be inaccessible.}
%4.16 %4.16
\subsection{Mitigate SPECTRE V1 hardware bug} \subsection{Mitigate SPECTRE V1 hardware bug}
@@ -222,8 +220,7 @@ Aktiviert die Schadensbegrenzung für Spectre V1 (Bounds Check Bypass).
Spectre V1 ist eine Klasse von Seitenkanalangriffen, die sich die spekulative Ausführung zunutze macht, indem sie bedingte Verzweigungsanweisungen umgeht, die für die Überprüfung der Speicherzugriffsgrenzen verwendet werden. Spectre V1 ist eine Klasse von Seitenkanalangriffen, die sich die spekulative Ausführung zunutze macht, indem sie bedingte Verzweigungsanweisungen umgeht, die für die Überprüfung der Speicherzugriffsgrenzen verwendet werden.
Siehe auch \texttt{file:Documentation/admin-guide/hw-vuln/spectre.rst} Siehe auch \texttt{file:Documentation/admin-guide/hw-vuln/spectre.rst}
\english{Enable mitigation for Spectre V1 (Bounds Check Bypass). \english{Enable mitigation for Spectre V1 (Bounds Check Bypass).
Spectre V1 is a class of side channel attacks that takes advantage of speculative execution that bypasses conditional Spectre V1 is a class of side channel attacks that takes advantage of speculative execution that bypasses conditional branch instructions used for memory access bounds check.\\
branch instructions used for memory access bounds check.\\
See also $<$file:Documentation/admin-guide/hw-vuln/spectre.rst$>$} See also $<$file:Documentation/admin-guide/hw-vuln/spectre.rst$>$}
%4.17 %4.17
@@ -231,23 +228,19 @@ See also $<$file:Documentation/admin-guide/hw-vuln/spectre.rst$>$}
CONFIG\_MITIGATION\_SPECTRE\_V2 [=y] \textbf{[Y]}\\* CONFIG\_MITIGATION\_SPECTRE\_V2 [=y] \textbf{[Y]}\\*
Aktivierung der Schadensbegrenzung für Spectre V2 (Branch Target Injection). Aktivierung der Schadensbegrenzung für Spectre V2 (Branch Target Injection).
Spectre V2 ist eine Klasse von Seitenkanalangriffen, die indirekte Verzweigungsvorhersagen innerhalb des Prozessors ausnutzen. Spectre V2 ist eine Klasse von Seitenkanalangriffen, die indirekte Verzweigungsvorhersagen innerhalb des Prozessors ausnutzen.
Bei Angriffen der Spectre-Variante 2 kann der Angreifer spekulative indirekte Verzweigungen im Opfer zu Gadget-Code lenken, indem er Bei Angriffen der Spectre-Variante 2 kann der Angreifer spekulative indirekte Verzweigungen im Opfer zu Gadget-Code lenken, indem er den Verzweigungszielpuffer einer CPU vergiftet, der für die Vorhersage indirekter Verzweigungsadressen verwendet wird.\\
den Verzweigungszielpuffer einer CPU vergiftet, der für die Vorhersage indirekter Verzweigungsadressen verwendet wird.\\
Siehe auch $<$file:Documentation/admin-guide/hw-vuln/spectre.rst$>$ Siehe auch $<$file:Documentation/admin-guide/hw-vuln/spectre.rst$>$
\english{Enable mitigation for Spectre V2 (Branch Target Injection). \english{Enable mitigation for Spectre V2 (Branch Target Injection).
Spectre V2 is a class of side channel attacks that takes advantage of indirect branch predictors inside the processor. Spectre V2 is a class of side channel attacks that takes advantage of indirect branch predictors inside the processor.
In Spectre variant 2 attacks, the attacker can steer speculative indirect branches in the victim to gadget code by poisoning In Spectre variant 2 attacks, the attacker can steer speculative indirect branches in the victim to gadget code by poisoning the branch target buffer of a CPU used for predicting indirect branch addresses.\\
the branch target buffer of a CPU used for predicting indirect branch addresses.\\
See also $<$file:Documentation/admin-guide/hw-vuln/spectre.rst$>$} See also $<$file:Documentation/admin-guide/hw-vuln/spectre.rst$>$}
%4.18 %4.18
\subsection{Mitigate Special Register Buffer Data Sampling (SRBDS) hardware bug} \subsection{Mitigate Special Register Buffer Data Sampling (SRBDS) hardware bug}
CONFIG\_MITIGATION\_SRBDS [=y] \textbf{[Y]}\\* CONFIG\_MITIGATION\_SRBDS [=y] \textbf{[Y]}\\*
Aktivierung der Schadensbegrenzung für Special Register Buffer Data Sampling (SRBDS). Aktivierung der Schadensbegrenzung für Special Register Buffer Data Sampling (SRBDS).
SRBDS ist eine Hardware-Schwachstelle, die es MDS-Techniken (Microarchitectural Data Sampling) ermöglicht, SRBDS ist eine Hardware-Schwachstelle, die es MDS-Techniken (Microarchitectural Data Sampling) ermöglicht, von Spezialregisterzugriffen zurückgegebene Werte abzuleiten.
von Spezialregisterzugriffen zurückgegebene Werte abzuleiten. Ein nicht privilegierter Benutzer kann mithilfe von MDS-Techniken Werte extrahieren, die von RDRAND und RDSEED zurückgegeben werden, die auf einem anderen Kern oder Geschwister-Thread ausgeführt werden.\\
Ein nicht privilegierter Benutzer kann mithilfe von MDS-Techniken Werte extrahieren, die von RDRAND und RDSEED zurückgegeben werden,
die auf einem anderen Kern oder Geschwister-Thread ausgeführt werden.\\
Siehe \texttt{file:Documentation/admin-guide/hw-vuln/special-register-buffer-data-sampling.rst} Siehe \texttt{file:Documentation/admin-guide/hw-vuln/special-register-buffer-data-sampling.rst}
\english{Enable mitigation for Special Register Buffer Data Sampling (SRBDS). \english{Enable mitigation for Special Register Buffer Data Sampling (SRBDS).
SRBDS is a hardware vulnerability that allows Microarchitectural Data Sampling (MDS) techniques to infer values returned from special register accesses. SRBDS is a hardware vulnerability that allows Microarchitectural Data Sampling (MDS) techniques to infer values returned from special register accesses.
@@ -260,5 +253,22 @@ CONFIG\_MITITGATION\_SSB [=y] \textbf{[Y]}\\*
Aktivierung der Schadensbegrenzung für Speculative Store Bypass (SSB). Aktivierung der Schadensbegrenzung für Speculative Store Bypass (SSB).
SSB ist eine Hardware-Sicherheitslücke, deren Ausnutzung die spekulative Ausführung ähnlich wie bei den Sicherheitslücken Meltdown und Spectre ausnutzt. SSB ist eine Hardware-Sicherheitslücke, deren Ausnutzung die spekulative Ausführung ähnlich wie bei den Sicherheitslücken Meltdown und Spectre ausnutzt.
\english{Enable mitigation for Speculative Store Bypass (SSB). \english{Enable mitigation for Speculative Store Bypass (SSB).
SSB is a hardware security vulnerability and its exploitation takes advantage SSB is a hardware security vulnerability and its exploitation takes advantage of speculative execution in a similar way to the Meltdown and Spectre security vulnerabilities.}
of speculative execution in a similar way to the Meltdown and Spectre security vulnerabilities.}
%4.20
\subsection{Enable Indirect Target Selection mitigation \tiny{seit 6.15}}
CONFIG\_MITIGATION\_ITS [=y] \textbf{[Y]}\\*
Aktivierung der ITS-Abwehrmaßnahme (Indirect Target Selection).
ITS ist ein Fehler in der BPU einiger Intel-CPUs, der Angriffe vom Typ Spectre V2 ermöglichen kann.
Wenn diese Funktion deaktiviert ist, kann die Abwehrmaßnahme nicht über die Befehlszeile aktiviert werden.\\
Siehe $<$file:Documentation/admin-guide/hw-vuln/indirect-target-selection.rst$>$
\english{Enable Indirect Target Selection (ITS) mitigation. ITS is a bug in BPU on some Intel CPUs that may allow Spectre V2 style attacks. If disabled, mitigation cannot be enabled via cmdline.\\
See $<$file:Documentation/admin-guide/hw-vuln/indirect-target-selection.rst$>$}
%4.21 Mitigate Transient Scheduler Attacks
\subsection{Mitigate Transient Scheduler Attacks \tiny{seit 6.16}}
CONFIG\_MITIGATION\_TSA [=y] \textbf{[Y]}\\*
Abwehrmaßnahmen für Transient Scheduler Attacks aktivieren.
TSA ist eine Hardware-Sicherheitslücke in AMD-CPUs, die dazu führen kann, dass ungültige Informationen an nachfolgende Befehle weitergeleitet werden, wodurch deren Timing beeinträchtigt wird und somit eine Datenleckage verursacht werden kann.
\english{Enable mitigation for Transient Scheduler Attacks.
TSA is a hardware security vulnerability on AMD CPUs which can lead to forwarding of invalid info to subsequent instructions and thus can affect their timing and thereby cause a leakage.}

783
documentation/linux_configuration_05_power_management_and_acpi_options.tex
View File

File diff suppressed because it is too large Load Diff