AMDの脆弱性対応パッチの影響で最近の新しいKernelだとCPU性能が下がってしまう問題。

脆弱性対応パッチを無効にすると、CPU性能が2倍くらいあがります。

https://www.alibabacloud.com/help/ja/ecs/user-guide/performance-may-degrade-after-the-guest-operating-system-kernel-of-an-amd-instance-is-updated

SRSOをついた攻撃は、サーバ上で直接実行する必要がある。だから、サーバにログインするのが管理者だけの、クラウドVMとかは、SRSOリスクが低い。

Speculative Return Stack Overflowの軽減オプションとパブリッククラウドユーザーの考慮事項
https://www.amd.com/content/dam/amd/en/documents/epyc-technical-docs/white-papers/amd-epyc-9004-wp-srso.pdf

下記がSafe RETとなっていると、脆弱性対応されてる状態

$ sudo cat /sys/devices/system/cpu/vulnerabilities/spec_rstack_overflow
Vulnerable: Safe RET, no microcode

spec_rstack_overflow=offを追加

GRUB_CMDLINE_LINUX="spec_rstack_overflow=off"

sudo update-grub

sudo reboot

spec_rstack_overflow=offを追加

GRUB_CMDLINE_LINUX_DEFAULT="console=ttyS0,115200n8 no_timer_check crashkernel=1G-4G:192M,4G-64G:256M,64G-:512M net.ifnames=0"
GRUB_ENABLE_BLSCFG=true
↓
GRUB_CMDLINE_LINUX_DEFAULT="console=ttyS0,115200n8 no_timer_check crashkernel=1G-4G:192M,4G-64G:256M,64G-:512M spec_rstack_overflow=off net.ifnames=0"
#GRUB_ENABLE_BLSCFG=true

grub2-mkconfig -o /boot/grub2/grub.cfg

reboot