ubuntuusers.de

Heute habe ich zufällig unter Gerätesicherheit den Hinweis Intel GDS Mitigation vom 15.07.2025 gesehen.

Laut https://github.com/fwupd/fwupd/discussions/8883 taucht diese Meldung des Öfteren auf.

Ist dies ein Bug und Canonical hat bewusst GDS deaktiviert?

Oder sollte ich hier hier tätig werden und wenn ja, wie?

Schau doch einfach mal in die Kernel config rein, ob da "CONFIG_MITIGATION_GDS=y" zu finden ist. Falls nein, im Xanmod Kernel ist es aktiviert.

Webmark schrieb:

[…] Intel GDS Mitigation

GDS = "Gather Data Sampling" (Spionage durch Analyse des elektronischen Dünnschisses der CPU) ist ein bei einigen, nicht allen CPUs von Intel mögliches Datenleck der Hardware. Ein Angreifer kann theoretisch durch Ausnutzen dieses Verhaltens unbefugt an Daten anderer Prozesse gelangen, jedoch kann er nicht steuern, welche Daten er erhält und es wurde zwar im Labor nachgewiesen, jedoch ist wohl bisher kein konkreter Angriff bekannt. Als eher geringes Risiko.

Dennoch wurden Gegenmaßnahmen ergriffen, sowohl im Linux Kernel (dies bremst alle CPUs, auch die gar nicht betroffenen) und über Microcode von Intel, die der Kernel in die CPU lädt (dies bremst selektiv nur die wirklich betroffenen). Offenbar wurde kürzlich der Microcode verbessert und wirklich alle betroffenen CPUs erfasst; somit ist die generelle Maßnahme im Kernel nicht mehr erforderlich. Ubuntu schaltet sie daher wohl nun in modernen Ubuntu Kerneln ab und vertraut dem Microcode von Intel. Wem das nicht gefällt, muss einen anderen Kernel verwenden oder den Ubuntu-Kernel nach Änderung der Konfiguration selbst übersetzen.

Details siehe

• auf den einschlägigen Seiten zum Thema bei Intel

• und in der Kernel Dokumentation:
  https://docs.kernel.org/admin-guide/hw-vuln/gather_data_sampling.html

• Siehe auch:
  https://www.phoronix.com/news/Intel-Downfall-All-Skylake

@kB Besten Dank für deine ausführliche und hilfreiche Antwort!

kB schrieb:

Wem das nicht gefällt, muss einen anderen Kernel verwenden oder den Ubuntu-Kernel nach Änderung der Konfiguration selbst übersetzen.

Nicht wirklich nötig. Denn GDS kann auch über die GRUB Konfiguration ein- oder ausgeschaltet werden. Auschalten:

gather_data_sampling=off

Einschalten:

gather_data_sampling=force

Das bedeutet dann Mikrocode-Abwehrmaßnahmen einschalten, sofern verfügbar. Oder Deaktivierung von AVX auf betroffenen Systemen, auf denen der Mikrocode nicht aktualisiert wurde. Das macht das selbe, wie die Kernel config "CONFIG_MITIGATION_GDS=y".

trollsportverein schrieb:

kB schrieb:

Wem das nicht gefällt, muss einen anderen Kernel verwenden oder den Ubuntu-Kernel nach Änderung der Konfiguration selbst übersetzen.

Nicht wirklich nötig.

Da liegst Du schon aus logischer Sicht falsch, denn:

• Wer die im Kernel implementierten Maßnahmen nutzten möchte, muss einen Kernel verwenden, der über diese Maßnahmen verfügt.

Denn GDS kann auch über die GRUB Konfiguration ein- oder ausgeschaltet werden. Auschalten:

gather_data_sampling=off

Einschalten:

gather_data_sampling=force

Das bedeutet dann Mikrocode-Abwehrmaßnahmen einschalten, sofern verfügbar.

Richtig. Also bewirkt das nichts auf Ebene des Kernels. Insbesondere schaltet es auch nicht vorhandene Fähigkeiten nicht ein, sondern der Kernel beachtet diese Boot-Optionen schlicht nicht.

kB schrieb:

Richtig. Also bewirkt das nichts auf Ebene des Kernels. Insbesondere schaltet es auch nicht vorhandene Fähigkeiten nicht ein, sondern der Kernel beachtet diese Boot-Optionen schlicht nicht.

Schaltet es nicht die AFX Befehlssatzerweiterung aus? Ich kann es nicht ausprobieren, meine uralte CPU hat die AFX Befehlssatzerweiterung überhaupt gar nicht:

cat /proc/cpuinfo | grep flags | sort -u

flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good nopl cpuid aperfmperf pni dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr pdcm sse4_1 xsave lahf_lm tpr_shadow flexpriority vpid dtherm vnmi
vmx flags       : vnmi flexpriority tsc_offset vtpr vapic

... und gilt daher als:

cat /sys/devices/system/cpu/vulnerabilities/gather_data_sampling

Not affected

trollsportverein schrieb:

[…] Schaltet es nicht die AFX Befehlssatzerweiterung aus?

Vielleicht. Aber sicher nicht im Kernel, wenn der Kernel nicht über den Code verfügt. Ausschalten kann man nur etwas, was da ist.

kB schrieb:

trollsportverein schrieb:

[…] Schaltet es nicht die AFX Befehlssatzerweiterung aus?

Vielleicht. Aber sicher nicht im Kernel, wenn der Kernel nicht über den Code verfügt. Ausschalten kann man nur etwas, was da ist.

So ganz eindeutig sieht mir das aber nicht aus, dass es sich nicht auch über die GRUB Konfiguration beschalten ließe.

• https://www.kernelconfig.io/config_gds_force_mitigation

Ausprobieren kann ich es aber nicht, weil dafür meine CPU viel zu alt ist, so dass die AFX Befehlssatzerweiterung bei mir sowieso nicht vorhanden ist.

trollsportverein schrieb:

[…] dass es sich nicht auch über die GRUB Konfiguration beschalten ließe.

Natürlich kann man über die Konfiguration von GRUB diesen anweisen, bestimmte Optionen auf die Kernel-Kommandozeile zu setzen um damit dem Kernel (generell ja, aber nicht in diesem Fall) und jedem Programm (auch dem Lader für Microcode), welches diese Kommandozeile auswertet, Informationen mitzugeben und sein Verhalten zu ändern.

kB schrieb:

trollsportverein schrieb:

[…] dass es sich nicht auch über die GRUB Konfiguration beschalten ließe.

Natürlich kann man über die Konfiguration von GRUB diesen anweisen, bestimmte Optionen auf die Kernel-Kommandozeile zu setzen um damit dem Kernel (generell ja, aber nicht in diesem Fall) und jedem Programm (auch dem Lader für Microcode), welches diese Kommandozeile auswertet, Informationen mitzugeben und sein Verhalten zu ändern.

Ich hätte es nur zu gerne selbst mal experimentell getestet, wenn meine CPU die AVX Befehlssatzerweiterung gehabt hätte. Aber der Ubuntu Kernel, wie alle Linuxkernel ab dem 6.13er Kernelzweig, bootet ja ohnehin nicht mehr auf meiner alten Hardware.