全部产品
Search

搜索本产品

    Alibaba Cloud Linux:Nonaktifkan mitigasi untuk kerentanan CPU di Alibaba Cloud Linux

    文档中心

    Alibaba Cloud Linux:Nonaktifkan mitigasi untuk kerentanan CPU di Alibaba Cloud Linux

    更新时间:Jun 28, 2025

    Secara default, mitigasi untuk kerentanan diaktifkan di Alibaba Cloud Linux. Namun, mitigasi ini dapat memengaruhi kinerja sistem. Anda dapat menonaktifkannya sesuai kebutuhan. Topik ini menjelaskan kerentanan CPU yang ada di Alibaba Cloud Linux, file yang menunjukkan status mitigasi kerentanan CPU, serta cara menonaktifkan mitigasi tersebut.

    Informasi latar belakang

    Pada Januari 2018, Google Project Zero mengungkapkan kelas baru kerentanan, dikenal sebagai Spectre dan Meltdown, yang memengaruhi prosesor modern. Penyerang dapat mengeksploitasi kerentanan ini untuk mencuri data istimewa, yang secara serius merusak keamanan sistem. Kerentanan Spectre dan Meltdown hadir di sebagian besar prosesor utama, termasuk prosesor Intel, AMD, dan ARM, dan telah menarik banyak perhatian sejak pengungkapan awal. Produk-produk Alibaba Cloud tidak terhindar dari kerentanan ini. Sistem operasi utama, termasuk sistem operasi Linux, menyediakan mitigasi perangkat lunak untuk kerentanan tersebut. Kerentanan Spectre dan Meltdown terus berkembang menjadi lebih banyak varian dan jenis sejak pengungkapan pertama pada Januari 2018, dan diperkirakan akan tetap ada untuk waktu yang lama.

    Penting

    • Kerentanan Spectre dan Meltdown mengeksploitasi fitur eksekusi spekulatif dan eksekusi di luar urutan pada perangkat keras prosesor yang diperlukan untuk peningkatan kinerja prosesor. Mitigasi untuk kerentanan Spectre dan Meltdown menurunkan kinerja CPU.

    • Dalam kebanyakan kasus, mitigasi perangkat lunak hanya dapat mengurangi kerentanan tetapi tidak dapat menghilangkannya.

    Kerentanan

    Tabel berikut menjelaskan kerentanan CPU di Alibaba Cloud Linux 2 dan Alibaba Cloud Linux 3 serta cara menonaktifkan mitigasi untuk kerentanan tersebut di kernel boot cmdline.

    Alibaba Cloud Linux 3

    x86

    CVE

    Jalur ke file status mitigasi

    Metode penanganan default

    Metode untuk menonaktifkan mitigasi

    Spectre Variant 1 (Bounds Check Bypass)

    /sys/devices/system/cpu/vulnerabilities/spectre_v1

    Secara default, mitigasi diaktifkan.

    Mitigasi dipaksa aktif dan tidak dapat dinonaktifkan.

    Spectre Variant 1 (swapgs)

    /sys/devices/system/cpu/vulnerabilities/spectre_v1

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter nospectre_v1.

    Spectre Variant 2

    /sys/devices/system/cpu/vulnerabilities/spectre_v2

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter nospectre_v2.

    Spectre Variant 4 (Speculative Store Bypass)

    /sys/devices/system/cpu/vulnerabilities/spec_store_bypass

    Mitigasi diaktifkan oleh kernel berdasarkan fitur perangkat keras.

    Tambahkan salah satu parameter berikut:

    • nospec_store_bypass_disable

    • spec_store_bypass_disable=off

    Meltdown

    /sys/devices/system/cpu/vulnerabilities/meltdown

    Secara default, mitigasi diaktifkan.

    Tambahkan salah satu parameter berikut:

    • pti=off

    • nopti

    L1TF

    /sys/devices/system/cpu/vulnerabilities/l1tf

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter l1tf=off.

    MDS

    /sys/devices/system/cpu/vulnerabilities/mds

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter berikut:

    • mds=off

    • tsx_async_abort=off

    SRBDS

    /sys/devices/system/cpu/vulnerabilities/srbds

    Secara default, mitigasi mikrokode disediakan.

    Tambahkan parameter srbds=off.

    MMIO Stale Data

    /sys/devices/system/cpu/vulnerabilities/mmio_stale_data

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter berikut:

    • mmio_stale_data=off

      Catatan

      Hanya versi kernel 5.10.134-12 dan yang lebih baru yang mendukung parameter ini.

    • mds=off

    • tsx_async_abort=off

    TAA

    /sys/devices/system/cpu/vulnerabilities/tsx_async_abort

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter berikut:

    • tsx_async_abort=off

    • mds=off

    RETBleed

    /sys/devices/system/cpu/vulnerabilities/retbleed

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter retbleed=off.

    Catatan

    Hanya versi kernel 5.10.134-12 dan yang lebih baru yang mendukung parameter ini.

    N/A

    N/A

    N/A

    Tambahkan parameter mitigations=off untuk menonaktifkan semua mitigasi kerentanan CPU.

    ARM64

    CVE

    Jalur ke file status mitigasi

    Metode penanganan default

    Metode untuk menonaktifkan mitigasi

    Spectre Variant 1 (Bounds Check Bypass)

    /sys/devices/system/cpu/vulnerabilities/spectre_v1

    Secara default, mitigasi diaktifkan.

    Mitigasi dipaksa aktif dan tidak dapat dinonaktifkan.

    Spectre Variant 2

    /sys/devices/system/cpu/vulnerabilities/spectre_v2

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter nospectre_v2. Untuk informasi lebih lanjut, lihat bagian Nonaktifkan mitigasi untuk kerentanan CPU dari topik ini.

    Spectre Variant 2 (BHB)

    /sys/devices/system/cpu/vulnerabilities/spectre_v2

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter nospectre_bhb.

    Catatan

    Hanya versi kernel 5.10.134-12 dan yang lebih baru yang mendukung parameter ini.

    Spectre Variant 4 (Speculative Store Bypass)

    /sys/devices/system/cpu/vulnerabilities/spec_store_bypass

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter ssbd=force-off.

    Meltdown

    /sys/devices/system/cpu/vulnerabilities/meltdown

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter kpti=0.

    N/A

    N/A

    N/A

    Tambahkan parameter mitigations=off untuk menonaktifkan semua mitigasi untuk kerentanan CPU.

    Alibaba Cloud Linux 2

    CVE

    Jalur ke file status mitigasi

    Metode penanganan default

    Metode untuk menonaktifkan mitigasi

    Spectre Variant 1 (Bounds Check Bypass)

    /sys/devices/system/cpu/vulnerabilities/spectre_v1

    Secara default, mitigasi diaktifkan.

    Mitigasi dipaksa aktif dan tidak dapat dinonaktifkan.

    Spectre Variant 1 (swapgs)

    /sys/devices/system/cpu/vulnerabilities/spectre_v1

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter nospectre_v1=off.

    Catatan

    Hanya versi kernel 4.19.57-15.al7 dan yang lebih baru yang mendukung parameter ini.

    Spectre Variant 2

    /sys/devices/system/cpu/vulnerabilities/spectre_v2

    Secara default, mitigasi diaktifkan. (spectre_v2=auto)

    Tambahkan salah satu parameter berikut:

    • nospectre_v2

    • spectre_v2=off

    Catatan

    Hanya versi kernel 4.19.43-13.al7 dan yang lebih baru yang mendukung parameter ini.

    Spectre Variant 4 (Speculative Store Bypass)

    /sys/devices/system/cpu/vulnerabilities/spec_store_bypass

    Jika prosesor mendukung fitur Speculative Store Bypass Disable, mitigasi diaktifkan secara default. Jika tidak, semua mitigasi dinonaktifkan secara default.

    (spec_store_bypass_disable=auto)

    Tambahkan salah satu parameter berikut:

    • spec_store_bypass_disable=off

    • nospec_store_bypass_disable

    Catatan

    Hanya versi kernel 4.19.43-13.al7 dan yang lebih baru yang mendukung parameter ini.

    Meltdown

    /sys/devices/system/cpu/vulnerabilities/meltdown

    Secara default, mitigasi diaktifkan.

    Tambahkan salah satu parameter berikut:

    • pti=off

    • nopti

    Catatan

    Hanya versi kernel 4.19.43-13.al7 dan yang lebih baru yang mendukung parameter ini.

    L1TF

    /sys/devices/system/cpu/vulnerabilities/l1tf

    Secara default, hanya mitigasi untuk PTE Inversion yang diaktifkan di kernel guest.

    Tambahkan parameter l1tf=off.

    Catatan

    Hanya versi kernel 4.19.43-13.al7 dan yang lebih baru yang mendukung parameter ini.

    MDS

    /sys/devices/system/cpu/vulnerabilities/mds

    Secara default, mitigasi diaktifkan.

    Tambahkan parameter mds=off.

    Catatan

    Hanya versi kernel 4.19.43-13.al7 dan yang lebih baru yang mendukung parameter ini.

    N/A

    N/A

    N/A

    Tambahkan parameter mitigations=off untuk menonaktifkan semua mitigasi kerentanan CPU.

    Catatan

    File status mitigasi menunjukkan apakah CPU pada instance Alibaba Cloud Linux rentan dan mitigasi mana yang aktif. Nilai valid dalam file:

    • Not affected: CPU tidak rentan.

    • Vulnerable: CPU rentan, dan mitigasi dinonaktifkan.

    • Mitigation: CPU rentan, dan mitigasi diaktifkan.

    Nonaktifkan mitigasi untuk kerentanan CPU

    Berikut ini menjelaskan cara menonaktifkan mitigasi untuk kerentanan Spectre Variant 2 di Alibaba Cloud Linux 3.

    1. Jalankan perintah berikut untuk menambahkan parameter nospectre_v2 ke default kernel boot cmdline guna menonaktifkan mitigasi untuk kerentanan Spectre Variant 2:

      sudo grubby --update-kernel=`sudo grubby --default-kernel` --args='nospectre_v2'

    2. Jalankan perintah berikut untuk me-restart instance agar konfigurasi diterapkan.

      Peringatan

      Me-restart instance sementara akan menghentikan instance, yang dapat menyebabkan gangguan layanan dan kehilangan data. Kami sarankan Anda mencadangkan data penting sebelum me-restart instance dan melakukannya di jam-jam sepi.

      sudo reboot

    3. Jalankan perintah berikut untuk melihat file status mitigasi untuk Spectre Variant 2 dan memeriksa apakah mitigasi untuk kerentanan tersebut dinonaktifkan:

      cd /sys/devices/system/cpu/vulnerabilities/
for i in `ls`;do echo -n $i": ";cat $i;done

      Perintah serupa dengan yang berikut ini akan ditampilkan. spectre_v2: Vulnerable menunjukkan bahwa mitigasi untuk kerentanan Spectre Variant 2 dinonaktifkan.

      image.png