Oggi ero curioso di sapere come il mio ambiente VMware si accumulasse contro Spectre e Meltdown. Così ho eseguito spettrometro-disgregatore-controllo . È tornato pulito con
7 of 8 variants OK (the failed one is apparently not possible to exploit under VMware)
Poi ero curioso del mio materiale cloud, quindi ho controllato le macchine virtuali EC2 e RackSpace. Con mia sorpresa sono tornati solo con
2 of 8 variants OK
Questo è male. Guardando il bollettino AWS, loro imprecano che non ci sono problemi. Perché allora lo script rileva un problema? Non ho cercato i bollettini sulla sicurezza di RackSpace, ma presumo che dicano qualcosa di simile a AWS. Lo script è sbagliato o AWS è sbagliato? Come posso davvero dire altro oltre a prendere la parola di AWS per questo? Inoltre, non ho istanze di Windows, ma se l'ho fatto e ho eseguito Inspectre vedrei la stessa discrepanza?
Se lo script è sbagliato, c'è uno script migliore? Forse perché uno "script migliore" dovrebbe effettivamente provare l'exploit, non basarsi solo su qualche tipo di euristica? Dove posso trovare uno script simile?
PS: potresti chiederti quali CVE erano ok e quali no. Quello a cui mi riferisco quando dico "2 su 8 OK" è il riepilogo prodotto dallo strumento. Sono troppo paranoico per mostrarti quali, ma scommetto che se riesegui lo stesso strumento, otterrai lo stesso risultato. Il riassunto è simile a questo (rosso / verde per KO o OK)
SUMMARY: CVE-2017-5753 CVE-2017-5715 CVE-2017-5754 CVE-2018-3640 CVE-2018-3639 CVE-2018-3615 CVE-2018-3620 CVE-2018-3646