UPD 20260101 6.19 Mitigation

documentation/linux_configuration_03_processor_type_and_features.tex

@@ -59,7 +59,7 @@ Support in the CPU can be checked by executing \texttt{grep x2apic /proc/cpuinfo
 If this configuration option is disabled, the kernel will boot with very reduced functionality and performance on some platforms that have x2APIC enabled.
 On the other hand, on hardware that does not support x2APIC, a kernel with this option enabled will just fallback to older APIC implementations.\\
 If in doubt, say Y.}
-\note{Sollte unterstützt werden, kann innerhalb von menuconfig gar nicht deaktiviert werden.}
+\note{Sollte unterstützt werden, kann innerhalb von menuconfig/nconfig etc. gar nicht deaktiviert werden.}
 
 %3.3 Enable MSI and MSI-X delivery by posted interrupts
 \subsection{Enable MSI and MSI-x delivery by posted interrupts {\tiny seit 6.10}}
@@ -370,6 +370,12 @@ Without this support, the guest kernel can not boot or run under TDX.
 TDX includes memory encryption and integrity capabilities which protect the confidentiality and integrity of guest memory contents and CPU state.
 TDX guests are protected from some attacks from the VMM.}
 
+\subsubsection{Bhyve (BSD Hypervisor) Guest support \tiny{seit 6.18}}
+CONFIG\_BHYVE\_GUEST [=n] \textbf{[N]}\\
+Mit dieser Option kann Linux erkennen, wenn es als Gast im Bhyve-Hypervisor ausgeführt wird, und dabei mehr als 255 vCPUs unterstützen. Weitere Informationen zu Bhyve finden Sie unter \url{https://bhyve.org} und \url{https://wiki.freebsd.org/bhyve/}.
+\english{This option allows to run Linux to recognise when it is running as a guest in the Bhyve hypervisor, and to support more than 255 vCPUs when when doing so.
+More details about Bhyve can be found at \url{https://bhyve.org} and \url{https://wiki.freebsd.org/bhyve/}.}
+
 %former 3.13
 {\color{gray}
 \subsection*{Processor family (Core 2/newer Xeon) \texorpdfstring{$\rightarrow$}{->}}
@@ -628,8 +634,9 @@ Mit Cluster sind in der Regel mehrere CPUs gemeint, die eng beieinander liegen u
 Cluster usually means a couple of CPUs which are placed closely by sharing mid-level caches, last-level cache tags or internal busses.}
 \note{Da wir normalerweise keinen Cluster haben, hier N.}
 
-%3.25 Multi-core scheduler support
-\subsection{Multi-core scheduler support}
+%former 3.25 Multi-core scheduler support
+{\color{gray}
+\subsection*{Multi-core scheduler support}
 CONFIG\_SCHED\_MC [=y] \textbf{[Y]}\\
 Die Unterstützung des Multi-Core-Schedulers verbessert die Entscheidungsfindung des CPU-Schedulers beim Umgang mit Multi-Core-CPU-Chips auf Kosten eines leicht erhöhten Overheads an einigen Stellen.\\
 Wenn Sie unsicher sind, geben Sie hier N an.
@@ -637,8 +644,10 @@ Wenn Sie unsicher sind, geben Sie hier N an.
 at a cost of slightly increased overhead in some places.
 If unsure say N here.}
 \note{Y, alle modernen CPUs sind multicore.}
+}
 
-\subsubsection{CPU core priorities scheduler support}
+%3.25 CPU core priorities scheduler support
+\subsection{CPU core priorities scheduler support}
 CONFIG\_SCHED\_MC\_PRIO [=y] \textbf{[Y]}\\
 Bei CPUs mit Intel Turbo-Boost-Max-Technik 3.0 wird die Reihenfolge der Kerne bei der Herstellung festgelegt, so dass bestimmte Kerne höhere Turbofrequenzen erreichen können (bei Single-Thread-Arbeitslasten) als andere.
 Durch die Aktivierung dieser Kernel"=Funktion wird der Scheduler über die TBM3- (auch ITMT-) Prioritätsreihenfolge der CPU-Kerne informiert und passt die CPU-Auswahllogik des Schedulers entsprechend an, so dass eine höhere Gesamtsystemleistung erzielt werden kann.
@@ -767,7 +776,8 @@ Diese Option wird von Programmen wie Wine benötigt, um 16-Bit-Legacy-Code im ge
 Die Deaktivierung dieser Option spart etwa 300 Bytes auf i386, oder etwa 6K Text plus 16K Laufzeitspeicher auf x86-64.
 \english{This option is required by programs like Wine to run 16-bit protected mode legacy code on x86 processors.
 Disabling this option saves about 300 bytes on i386, or around 6K text plus 16K runtime memory on x86-64,}
-\note{Selbst benötige ich keine 16-bit Windows-Programme (Spiele) mehr, deshalb N für Nein.}
+\note{Diese Einstellung wird mit vorangegangnen Konfigurationen nicht mehr einstellen.
+Selbst benötige ich keine 16-bit Windows-Programme (Spiele) mehr, deshalb N für Nein.}
 
 %3.31 Enable vsyscall emulation
 \subsection{Enable vsyscall emulation}
@@ -810,6 +820,14 @@ Late loading taints the kernel unless the microcode header indicates that it is
 This minimal revision check can be enforced on the kernel command line with ``microcode.minrev=Y''.}
 
 %3.34
+\subsection{Enable microcode loader debugging \tiny{seit 6.18}}
+CONFIG\_MICROCODE\_DBG [=n] \textbf{[N]}\\
+Aktivierung des Codes, der das Debuggen des Microcode-Loaders in einem Gast ermöglicht. Das bedeutet, dass das Laden des Patches simuliert wird, aber alles andere, was mit dem Parsen und der Verarbeitung des Patches zu tun hat, wie auf Baremetal durchgeführt wird, mit dem Ziel, ausschließlich die Softwareseite zu debuggen.\\
+Sie möchten hier mit ziemlicher Sicherheit N sagen.
+\english{Enable code which allows for debugging the microcode loader in a guest. Meaning the patch loading is simulated but everything else related to patch parsing and handling is done as on baremetal with the purpose of debugging solely the software side of things.\\
+You almost certainly want to say n here.}
+
+%3.35
 \subsection{/dev/cpu/*/msr -- Model-specific register support}
 CONFIG\_X86\_MSR [=y] \textbf{[Y]}\\
 Dieses Gerät ermöglicht privilegierten Prozessen Zugriff auf die modellspezifischen x86-Register (MSRs).\\
@@ -819,7 +837,7 @@ MSR-Zugriffe sind bei Multiprozessorsystemen an eine bestimmte CPU gerichtet.
 It is a character device with major 202 and minors 0 to 31 for /dev/cpu/0/msr to /dev/cpu/31/msr.
 MSR accesses are directed to a specific CPU on multi-processor systems.}
 
-%3.35
+%3.36
 \subsection{/dev/cpu/*/cpuid - CPU information support}
 CONFIG\_X86\_CPUID [=y] \textbf{[Y]}\\
 Dieses Gerät ermöglicht Prozessen den Zugriff auf den x86 CPUID-Befehl, der auf einem bestimmten Prozessor ausgeführt werden soll.
@@ -844,7 +862,7 @@ Say N if unsure.}
 \note{Wir verwenden keine so großen Maschinen, also N. 4-Level mit \qty{256}{\tebi\byte} ist momentan ausreichend. Der Linux-Kernel 6.16 führt die bedingungslose Aktivierung von fünfstufigen Seitentabellen ein.}
 }
 
-%3.36 Enable statistic for Change Page Attribute
+%3.37 Enable statistic for Change Page Attribute
 \subsection{Enable statistic for Change Page Attribute}
 CONFIG\_X86\_CPA\_STATISTICS \colorbox{yellow!80}{[=y] \textbf{[N]}}\\
 Statistiken zum Mechanismus \glqq Ändern von Seitenattributen\grqq{} anzeigen, mit dessen Hilfe die Wirksamkeit der Beibehaltung großer und umfangreicher Seitenzuordnungen bei Änderung der Zuordnungsschutzfunktionen ermittelt werden kann.
@@ -920,7 +938,7 @@ Erhöht den reservierten Speicherplatz für verschiedene Tabellen.
 Increases memory reserved to accommodate various tables.}
 \note{Wenn MAXSMP definiert ist, dann wird default=10, bei X86\_64 default=6, sonst =3.}
 
-%3.39 Enable sysfs memory/probe interface
+%3.40 Enable sysfs memory/probe interface
 \subsection{Enable sysfs memory/probe interface}
 CONFIG\_ARCH\_MEMORY\_PROBE [=n] \textbf{[N]}\\
 Diese Option aktiviert eine sysfs-Speicher/Probe-Schnittstelle für Tests.\\
@@ -930,6 +948,7 @@ Wenn Sie unsicher sind, wie Sie diese Frage beantworten sollen, antworten Sie mi
 See Documentation/admin-guide/mm/memory-hotplug.rst for more information.
 If you are unsure how to answer this question, answer N.}
 
+%3.41 Support non-standard NVDIMMs and ADR protected memory
 \subsection{Support non-standard NVDIMMs and ADR protected memory}
 CONFIG\_X86\_PMEM\_LEGACY \colorbox{yellow!80}{[=m] \textbf{[N]}}\\
 Behandeln Sie Speicher, der mit dem nicht standardmäßigen e820-Typ von 12 markiert ist, wie er vom Intel Sandy Bridge-EP Referenz-BIOS verwendet wird, als geschützten Speicher.
@@ -940,6 +959,7 @@ The kernel will offer these regions to the `pmem' driver so they can be used for
 Say Y if unsure.}
 \note{Verwenden wir nicht, deshalb ein N für Nein.}
 
+%3.42 Check for low memory corruption
 \subsection{Check for low memory corruption}
 CONFIG\_X86\_CHECK\_BIOS\_CORRUPTION \colorbox{yellow!80}{[=y] \textbf{[N]}}\\
 Regelmäßige Überprüfung auf Speicherbeschädigung im niedrigen Speicher, die vermutlich durch das BIOS verursacht wird.
@@ -966,7 +986,8 @@ CONFIG\_X86\_BOOTPARAM\_MEMORY\_CORRUPTION\_CHECK [=y] \textbf{[Y]}\\
 Legt fest, ob der Standardstatus von \texttt{memory\_corruption\_check} ein- oder ausgeschaltet ist.
 \english{Set whether the default state of memory\_corruption\_check is on or off.}
 
-\subsubsection{MTRR (Memory Type Range Register) support}
+%3.43 MTRR (Memory Type Range Register) support
+\subsection{MTRR (Memory Type Range Register) support}
 CONFIG\_MTRR [=y] \textbf{[Y]}\\
 Bei Prozessoren der Intel P6-Familie (Pentium Pro, Pentium II und später) können die Memory Type Range Register (MTRRs) verwendet werden, um den Zugriff des Prozessors auf Speicherbereiche zu steuern.
 Dies ist besonders nützlich, wenn Sie eine Videokarte (VGA) an einem PCI- oder AGP-Bus haben.
@@ -1022,7 +1043,7 @@ CONFIG\_MTRR\_SANITIZER\_SPARE\_REG\_NR\_DEFAULT [=0] \textbf{[0]}\\
 MTRR cleanup spare entries Defaulteintrag, dies kann über \texttt{mtrr\_spare\_reg\_nr=N} auf der Kernel"=Befehlszeile geändert werden.
 \english{mtrr cleanup spare entries default, it can be changed via mtrr\_spare\_reg\_nr=N on the kernel command line.}
 
-%3.41.4
+%3.43.2
 \subsubsection{x86 PAT support}
 CONFIG\_X86\_PAT [=y] \textbf{[Y]}\\
 Verwenden Sie PAT-Attribute zur Einrichtung der Cache-Steuerung auf Seitenebene.\\
@@ -1037,10 +1058,10 @@ or a non-working video driver.\\
 If unsure, say Y.}
 \note{Überprüfe mit \texttt{cat /proc/cpuinfo | grep pat}, ob das System PAT unterstützt.}
 
-%3.42
+%3.44
 \subsection{User Mode Instruction Prevention}
 CONFIG\_X86\_UMIP [=y] \textbf{[Y]}\\
-User Mode Instruction Prevention (UMIP) ist eine Sicherheits\-funktion in einigen x86-Prozessoren.
+User Mode Instruction Prevention (UMIP) ist eine Sicherheitsfunktion in einigen x86-Prozessoren.
 Wenn sie aktiviert ist, wird ein allgemeiner Schutzfehler ausgegeben, wenn die Anweisungen SGDT, SLDT, SIDT, SMSW oder STR im Benutzermodus ausgeführt werden.
 Diese Befehle geben unnötigerweise Informationen über den Hardwarezustand preis.\\
 Die große Mehrheit der Anwendungen verwendet diese Befehle nicht.
@@ -1052,7 +1073,7 @@ These instructions unnecessarily expose information about the hardware state.\\
 The vast majority of applications do not use these instructions.
 For the very few that do, software emulation is provided in specific cases in protected and virtual-8086 modes. Emulated results are dummy.}
 
-%3.43
+%3.45
 \subsection{Indirect Branch Tracking}
 CONFIG\_X86\_KERNEL\_IBT \colorbox{yellow!80}{[=y] \textbf{[N]}}\\
 Erstellen Sie den Kernel mit Unterstützung für Indirect Branch Tracking, einem hardwaregestützten Schutz für den Kontrollflussintegrität mit grober Granularität.
@@ -1068,7 +1089,7 @@ This requires LTO like objtool runs and will slow down the build.
 It does significantly reduce the number of ENDBR instructions in the kernel image.}
 \note{Wir können hier N wählen, hat natürlich Sicherheitsmerkmale. Compilieren geht schneller!}
 
-%3.44
+%3.46
 \subsection{Memory Protection Keys}
 CONFIG\_X86\_INTEL\_MEMORY\_PROTECTION\_KEYS [=y] \textbf{[Y]}\\
 Memory Protection Keys bietet einen Mechanismus zur Erzwingung seitenbasierter Schutzmaßnahmen, ohne dass die Seitentabellen geändert werden müssen, wenn eine Anwendung ihre Schutzdomänen ändert.
@@ -1078,7 +1099,7 @@ Wenn Sie unsicher sind, sagen Sie Y.
 For details, see Documentation/core-api/protection-keys.rst\\
 If unsure, say y.}
 
-%3.45 TSX enable mode (auto)
+%3.47 TSX enable mode (auto)
 \subsection{TSX enable mode () \texorpdfstring{$\rightarrow$}{->}}
 CONFIG\_X86\_INTEL\_MEMORY\_PROTECTION\_KEYS [=y] \textbf{[Y]}\\
 Intels TSX-Funktion (Transactional Synchronization Extensions) ermöglicht die Optimierung von Sperrprotokollen durch Lock Elision, was zu einer spürbaren Leistungssteigerung führen kann.
@@ -1116,7 +1137,7 @@ CONFIG\_X86\_INTEL\_TSX\_MODE\_AUTO [=y] \textbf{[Y]}\\
 TSX wird auf TSX-fähiger Hardware aktiviert, die als sicher gegen Seitenkanalangriffe gilt -- gleichbedeutend mit dem Befehlszeilenparameter \texttt{tsx=auto}.
 \english{TSX is enabled on TSX capable HW that is believed to be safe against side channel attacks- equals the tsx=auto command line parameter.}
 
-%3.46
+%3.48
 \subsection{Software Guard eXtensions (SGX)}
 CONFIG\_X86\_SGX \colorbox{yellow!80}{[=y] \textbf{[N]}}\\
 Intel(R) Software Guard eXtensions (SGX) ist eine Reihe von CPU-Befehlen, die von Anwendungen verwendet werden können, um private Code- und Datenbereiche, die so genannten Enklaven, zu reservieren.
@@ -1130,7 +1151,7 @@ If unsure, say N.}
 \note{N,\\
 Y, wenn Sie eine echte Verwendung dafür haben, denn die tatsächliche Sicherheit dieser Funktion ist umstritten.}
 
-%3.47
+%3.49
 \subsection{X86 userspace shadow stack}
 CONFIG\_X86\_USER\_SHADOW\_STACK [=y] \textbf{[Y]}\\
 Der Schattenstapelschutz ist eine Hardwarefunktion, die eine Beschädigung der Rücksprungadresse einer Funktion erkennt.
@@ -1147,7 +1168,17 @@ See Documentation/arch/x86/shstk.rst for more information.\\
 If unsure, say N.}
 \note{Y, ein Ja aus Sicherheitsgründen}
 
-%3.48
+%3.50
+\subsection{Intel Trust Domain Extensions (TDX) host support \tiny{seit 6.7}}
+CONFIG\_INTEL\_TDX\_HOST \colorbox{yellow!80}{[=y] \textbf{[N]}}\\
+Intel Trust Domain Extensions (TDX) schützt Gast-VMs vor böswilligen Hosts und bestimmten physischen Angriffen.
+Diese Option aktiviert die erforderliche TDX-Unterstützung im Host-Kernel, um vertrauliche VMs auszuführen.\\
+Wenn Sie sich nicht sicher sind, geben Sie N ein.
+\english{Intel Trust Domain Extensions (TDX) protects guest VMs from malicious host and certain physical attacks.
+This option enables necessary TDX support in the host kernel to run confidential VMs.\\
+If unsure, say N.}
+
+%3.51
 \subsection{EFI runtime service support}
 CONFIG\_EFI [=y] \textbf{[Y]}\\
 Dies ermöglicht es dem Kernel, verfügbare EFI-Laufzeitdienste (wie die EFI-Variablendienste) zu nutzen.\\
@@ -1214,7 +1245,7 @@ That memory map is required by the 2nd kernel to set up EFI virtual mappings aft
 See also \texttt{Documentation/ABI/testing/sysfs-firmware-efi-runtime-map}.}
 \note{Kann nicht deaktiviert werden, wenn kexec und EFI runtime service eingeschaltet ist.}
 
-%3.49 Timer frequency ()
+%3.52 Timer frequency ()
 \subsection{Timer frequency () \texorpdfstring{$\rightarrow$}{->}}
 Ermöglicht die Konfiguration der Timer-Frequenz.
 Es ist üblich, den Timer-Interrupt mit \qty{1000}{\hertz} laufen zu lassen, aber \qty{100}{\hertz} kann für Server und NUMA-Systeme vorteilhafter sein, die keine schnelle Reaktion für die Benutzerinteraktion benötigen und bei denen es zu Buskonflikten und Cacheline-Bounches als Folge von Timer-Interrupts kommen kann.
@@ -1246,7 +1277,7 @@ CONFIG\_HZ\_1000 \colorbox{yellow!80}{[=y] \textbf{[N]}}\\
 \qty{1000}{\hertz} ist die bevorzugte Wahl für Desktop-Systeme und andere Systeme, die schnelle interaktive Reaktionen auf Ereignisse erfordern.
 \english{1000~Hz is the preferred choice for desktop systems and other systems requiring fast interactive responses to events.}
 
-%3.50 Physical address where the kernel is loaded
+%3.53 Physical address where the kernel is loaded
 \subsection{Physical address where the kernel is loaded}
 CONFIG\_PHYSICAL\_START [=0x1000000] \textbf{[0x1000000]}\\
 Dies gibt die physikalische Adresse an, unter der der Kernel geladen wird.
@@ -1283,7 +1314,7 @@ But it is present because there are users out there who continue to use vmlinux
 This option should go away down the line.\\
 Don't change this unless you know what you are doing.}
 
-%3.51 Build a relocatable kernel
+%3.54 Build a relocatable kernel
 \subsection{Build a relocatable kernel}
 CONFIG\_RELOCATABLE [=y] \textbf{[Y]}\\
 Dadurch wird ein Kernel-Image erstellt, das die Informationen über den Standortwechsel beibehält, so dass es an einem anderen Ort als den standardmäßigen \qty{1}{\mega\byte} geladen werden kann.
@@ -1324,7 +1355,7 @@ The usable entropy is limited by the kernel being built using 2GB addressing, an
 As a result, only 10 bits of entropy are theoretically possible, but the implementations are further limited due to memory layouts.\\
 If unsure, say Y.}
 
-%3.52 Alignment value to which kernel should be aligned
+%3.55 Alignment value to which kernel should be aligned
 \subsection{Alignment value to which kernel should be aligned}
 CONFIG\_PHYSICAL\_ALIGN [=0x200000] \textbf{[0x200000]}\\
 Dieser Wert legt die Ausrichtungsbeschränkungen für die physikalische Adresse fest, von der der Kernel geladen und ausgeführt wird.
@@ -1345,7 +1376,7 @@ Hence the end result is that kernel runs from a physical address meeting above a
 On 32-bit this value must be a multiple of 0x2000. On 64-bit this value must be a multiple of 0x200000.\\
 Don't change this unless you know what you are doing.}
 
-%3.53 Randomize the kernel memory sections
+%3.56 Randomize the kernel memory sections
 \subsection{Randomize the kernel memory sections}
 CONFIG\_RANDOMIZE\_MEMORY [=y] \textbf{[Y]}\\
 Randomisiert die virtuelle Basisadresse von Kernel-Speicherabschnitten (physische Speicherzuordnung, vmalloc \& vmemmap).
@@ -1360,7 +1391,7 @@ The order of allocations remains unchanged. Entropy is generated in the same way
 Current implementation in the optimal configuration have in average 30,000 different possible virtual addresses for each memory section.\\
 If unsure, say Y.}
 
-%3.54 Physical memory mapping padding
+%3.57 Physical memory mapping padding
 \subsection{Physical memory mapping padding}
 CONFIG\_RANDOMIZE\_MEMORY\_PHYSICAL\_PADDING [=0xa] \textbf{[0xA]}\\
 Definieren Sie die Auffüllung in Terabytes, die während der Kernel-Speicherrandomisierung zur vorhandenen physischen Speichergröße hinzugefügt wird.
@@ -1370,7 +1401,7 @@ Wenn Sie unsicher sind, belassen Sie es beim Standardwert.
 It is useful for memory hotplug support but reduces the entropy available for address randomization.\\
 If unsure, leave at the default value.}
 
-%3.55
+%3.58
 \subsection{Linear Address Masking support}
 CONFIG\_ADDRESS\_MASKING [=y] \textbf{[Y]}\\
 Linear Address Masking (LAM) ändert die Prüfung, die auf lineare 64-Bit-Adressen angewandt wird, und ermöglicht der Software
@@ -1380,7 +1411,7 @@ Diese Fähigkeit kann für die effiziente Implementierung von Adress-Sanitizern
 The capability can be used for efficient address sanitizers (ASAN) implementation and for optimizations in JITs.}
 \note{Diese Option wird nur bei X86\_64 und bei den Optionen (COMPILE\_TEST [=n] $||$ !CPU\_MITIGATIONS [=y]) angezeigt.}
 
-%3.56 former: Disable the 32-bit vDSO (needed for glibc 2.3.3)
+%3.59 former: Disable the 32-bit vDSO (needed for glibc 2.3.3)
 \subsection{Workaround for glibc 2.3.2 / 2.3.3 (released in year 2003/2004)}
 CONFIG\_COMPAT\_VDSO [=n] \textbf{[N]}\\
 Bestimmte fehlerhafte Versionen der glibc stürzen ab, wenn sie mit einem 32-Bit vDSO konfrontiert werden, das nicht auf die in der Segmenttabelle angegebene Adresse abgebildet ist.
@@ -1403,6 +1434,7 @@ Saying Y here changes the default value of the vdso32 boot option from 1 to 0, w
 This works around the glibc bug but hurts performance.\\
 If unsure, say N: if you are compiling your own kernel, you are unlikely to be using a buggy version of glibc.}
 
+%3.60 vsyscall
 \subsection{vsyscall table for legacy applications () \texorpdfstring{$\rightarrow$}{->}}
 Legacy-Benutzercode, der nicht weiß, wie er den vDSO finden kann, erwartet, dass er drei Syscalls ausgeben kann, indem er feste Adressen im Kernel-Bereich aufruft.
 Da dieser Ort nicht mit ASLR randomisiert wird, kann er dazu verwendet werden, die Ausnutzung von Sicherheitslücken zu unterstützen.
@@ -1434,7 +1466,7 @@ Versuche, die vsyscalls zu verwenden, werden an dmesg gemeldet, so dass entweder
 This will eliminate any risk of ASLR bypass due to the vsyscall fixed address mapping.
 Attempts to use the vsyscalls will be reported to dmesg, so that either old or malicious userspace programs can be identified.}
 
-%3.58 Built-in kernel command line
+%3.61 Built-in kernel command line
 \subsection{Built-in kernel command line}
 CONFIG\_CMDLINE\_BOOL [=n] \textbf{[N]}\\
 Ermöglicht die Angabe von Boot-Argumenten für den Kernel zur Erstellungszeit.
@@ -1446,7 +1478,7 @@ On some systems (e.g. embedded ones), it is necessary or convenient to provide s
 To compile command line arguments into the kernel, set this option to 'Y', then fill in the boot arguments in CONFIG\_CMDLINE.\\
 Systems with fully functional boot loaders (i.e. non-embedded) should leave this option set to 'N'.}
 
-%3.59
+%3.62
 \subsection{Enable the LDT (local descriptor table)}
 CONFIG\_MODIFY\_LDT\_SYSCALL \colorbox{yellow!80}{[=y] \textbf{[N]}}\\
 Linux kann es Benutzerprogrammen erlauben, mit dem Systemaufruf modify\_ldt(2) eine prozessspezifische x86 Local Descriptor Table (LDT) zu installieren.
@@ -1464,7 +1496,7 @@ Saying 'N' here may make sense for embedded or server kernels.}
 \note{Sie können diese Option getrost ausschließen, wenn Sie ein einfacher WINE-Benutzer sind und die meisten Ihrer Anwendungen funktionieren, ohne dass Sie etwas am Kernel ändern müssen.
 Aktivieren Sie diese Option nur, wenn Sie über ein WINE-Programm gestolpert sind, das sie benötigt.}
 
-%3.60 Enforce strict size checking for sigaltstack
+%3.63 Enforce strict size checking for sigaltstack
 \subsection{Enforce strict size checking for sigaltstack}
 CONFIG\_STRICT\_SIGALTSTACK\_SIZE [=n] \textbf{[N]}\\
 Aus historischen Gründen ist MINSIGSTKSZ eine Konstante, die mit der AVX512-Unterstützung bereits zu klein wurde.
@@ -1480,7 +1512,7 @@ It can also be controlled via the kernel command line option \texttt{strict\_sas
 Enabling it might break existing applications which allocate a too small sigaltstack but \texttt{work} because they never get a signal delivered.\\
 Say 'N' unless you want to really enforce this check.}
 
-%3.61
+%3.64
 \subsection{Kernel Live Patching}
 CONFIG\_LIVEPATCH [=n] \textbf{[N]}\\
 Geben Sie hier Y an, wenn Sie Kernel-Live-Patching unterstützen wollen. Diese Option hat keine Auswirkungen auf die
@@ -1491,8 +1523,7 @@ im Patch-Modul umgeleitet werden.
 This option has no runtime impact until a kernel ``patch'' module uses the interface provided by this option to register a patch, causing calls to patched functions to be redirected to new function code contained in the patch module.}
 \note{Diese Option ist nur sichtbar, wenn folgendes gesetzt ist:\\(DYNAMIC\_FTRACE\_WITH\_REGS [=y] $||$ DYNAMIC\_FTRACE\_WITH\_ARGS [=y]) $\&\&$ MODULES [=y] $\&\&$ SYSFS [=y] $\&\&$ KALLSYMS\_ALL [=n] $\&\&$ HAVE\_LIVEPATCH [=y] $\&\&$ !TRIM\_UNUSED\_KSYMS [=n]}
 
-
-%3.62 Split Lock Detect and Bus Lock Detect support
+%3.65 Split Lock Detect and Bus Lock Detect support
 \subsection{Split Lock Detect and Bus Lock Detect support {\tiny seit 6.13}}
 CONFIG\_X86\_BUS\_LOCK\_DETECT \colorbox{yellow!80}{[=y] \textbf{[N]}}\\
 Aktivieren der Funktionen Split Lock Detect und Bus Lock Detect.\\
@@ -1500,5 +1531,3 @@ Siehe $<$file:Documentation/arch/x86/buslock.rst$>$ für weitere Informationen.
 \english{Enable Split Lock Detect and Bus Lock Detect functionalities.\\
 See $<$file:Documentation/arch/x86/buslock.rst$>$ for more information.}
 \note{Testweise schalten wir das vorerst ab.}
-
-

documentation/linux_configuration_04_mitigations_for_cpu_vulnerabilities.tex

@@ -1,5 +1,6 @@
 % linux_configuration_04_mitigations_for_cpu_vulnerabilities.tex
 % since Linux 6.16
+% Linux 6.19
 % former: \section{Mitigations for speculative execution vulnerabilities \texorpdfstring{$\rightarrow$}{->}}
 \section{Mitigations for CPU vulnerabilities {\tiny{seit 6.9}} \texorpdfstring{$\rightarrow$}{->}}
 % CONFIG\_SPECULATION\_MITIGATIONS [=y] \textbf{[Y]}\\
@@ -272,3 +273,11 @@ Abwehrmaßnahmen für Transient Scheduler Attacks aktivieren.
 TSA ist eine Hardware-Sicherheitslücke in AMD-CPUs, die dazu führen kann, dass ungültige Informationen an nachfolgende Befehle weitergeleitet werden, wodurch deren Timing beeinträchtigt wird und somit eine Datenleckage verursacht werden kann.
 \english{Enable mitigation for Transient Scheduler Attacks.
 TSA is a hardware security vulnerability on AMD CPUs which can lead to forwarding of invalid info to subsequent instructions and thus can affect their timing and thereby cause a leakage.}
+
+%4.22 Mitigate VMSCAPE
+\subsection{Mitigate VMSCAPE \tiny{seit 6.17}}
+CONFIG\_MITIGATION\_VMSCAPE [=y] \textbf{[Y]}\\*
+Aktivierung der Abwehr von VMSCAPE-Angriffen.
+VMSCAPE ist eine Hardware-Sicherheitslücke in Intel- und AMD-CPUs, die es einem Gast ermöglichen kann, Spectre-v2-ähnliche Angriffe auf den Userspace-Hypervisor durchzuführen.
+\english{Enable mitigation for VMSCAPE attacks.
+VMSCAPE is a hardware security vulnerability on Intel and AMD CPUs that may allow a guest to do Spectre v2 style attacks on userspace hypervisor.}