====== 2025.01.17 AMD Speculative Return Stack Overflow (SRSO) ======

AMDの脆弱性対応パッチの影響で最近の新しいKernelだとCPU性能が下がってしまう問題。
対象の脆弱性: CVE-2023-20569

脆弱性対応パッチを無効にすると、CPU性能が2倍くらいあがります。

===== Alibaba Cloudでも情報が出てる =====

https://www.alibabacloud.com/help/ja/ecs/user-guide/performance-may-degrade-after-the-guest-operating-system-kernel-of-an-amd-instance-is-updated


===== AMDが出している資料 =====

<color #ed1c24>SRSOをついた攻撃は、サーバ上で直接実行する必要がある。</color>だから、サーバにログインするのが管理者だけの、クラウドVMとかは、SRSOリスクが低い。

Speculative Return Stack Overflowの軽減オプションとパブリッククラウドユーザーの考慮事項
https://www.amd.com/content/dam/amd/en/documents/epyc-technical-docs/white-papers/amd-epyc-9004-wp-srso.pdf

===== 確認方法 =====

下記がSafe RETとなっていると、脆弱性対応されてる状態
<code>
$ sudo cat /sys/devices/system/cpu/vulnerabilities/spec_rstack_overflow
Vulnerable: Safe RET, no microcode
</code>

===== 無効にする方法 =====


==== Ubuntu ====

spec_rstack_overflow=offを追加
<code|/etc/default/grub>
GRUB_CMDLINE_LINUX="spec_rstack_overflow=off"
</code>

<code>
sudo update-grub

sudo reboot
</code>

==== Almalinux/Rocky ====

spec_rstack_overflow=offを追加
<code|/etc/default/grub>
GRUB_CMDLINE_LINUX_DEFAULT="console=ttyS0,115200n8 no_timer_check crashkernel=1G-4G:192M,4G-64G:256M,64G-:512M net.ifnames=0"
GRUB_ENABLE_BLSCFG=true
↓
GRUB_CMDLINE_LINUX_DEFAULT="console=ttyS0,115200n8 no_timer_check crashkernel=1G-4G:192M,4G-64G:256M,64G-:512M spec_rstack_overflow=off net.ifnames=0"
#GRUB_ENABLE_BLSCFG=true
</code>

GRUB_ENABLE_BLSCFGについて: [[50_dialy:2025:01:16]]


<code>
grub2-mkconfig -o /boot/grub2/grub.cfg

reboot
</code>


{{tag>日記 AMD}}