Так как число поддерживаемых в ядре Linux режимов для противостояния уязвимостям в CPU достигло 15 и перечисление всех уязвимостей в командной строке ядра стало довольно сложной задачей, разработчик ядра из компании AMD предложил перейти от настройки блокировки конкретных уязвимостей к выбору блокировки векторов атаки.
Методы блокировки предлагается активировать в зависимости от вида нарушения изоляции: между пользователем и ядром (mitigate_user_kernel), между пользователем и другим пользователем (mitigate_user_user), между гостевой системой и хост-окружением (mitigate_guest_host), между разными гостевыми системами (mitigate_guest_guest) и между разными потоками (mitigate_cross_thread).
Предложенный подход даст возможность активировать только защиту от тех классов уязвимостей, которые реально волнуют пользователя. Например, владельцы облачных окружений могут включить режимы mitigate_guest_host и mitigate_guest_guest, после чего будут активированы методы защиты от уязвимостей BHI, GD, L1TF, MDS, MMIO, Retbleed, RFDS, Spectre_v2, SRBDS, SRSO и TAA.
=============== ============== ============ ============= ============== ============
Vulnerability User-to-Kernel User-to-User Guest-to-Host Guest-to-Guest Cross-Thread
=============== ============== ============ ============= ============== ============
BHI X X
GDS X X X X
L1TF X X
MDS X X X X X
MMIO X X X X X
Meltdown X
Retbleed X X X
RFDS X X X X
Spectre_v1 X
Spectre_v2 X X
Spectre_v2_user X X
SRBDS X X X X
SRSO X X
SSB
TAA X X X X X
Источник: https://www.opennet.ru/opennews/art.shtml?num=61876