この脆弱性を完全に軽減するには、L1Dの無条件リフレッシュを有効にする必要があります（CVE-2018-3646）。

もう少し詳しく調べた結果、この文書に含まれるこの脆弱性の名前は次のとおりです。

L1TF = L1端子エラー

実は私が見つけた直接カーネル文書、引用する:

l1tf=   [X86] Control mitigation of the L1TF vulnerability on
        affected CPUs

        The kernel PTE inversion protection is unconditionally
        enabled and cannot be disabled.

        full
            Provides all available mitigations for the
            L1TF vulnerability. Disables SMT and
            enables all mitigations in the
            hypervisors, i.e. unconditional L1D flush.

            SMT control and L1D flush control via the
            sysfs interface is still possible after
            boot.  Hypervisors will issue a warning
            when the first VM is started in a
            potentially insecure configuration,
            i.e. SMT enabled or L1D flush disabled.

        full,force
            Same as 'full', but disables SMT and L1D
            flush runtime control. Implies the
            'nosmt=force' command line option.
            (i.e. sysfs control of SMT is disabled.)

        flush
            Leaves SMT enabled and enables the default
            hypervisor mitigation, i.e. conditional
            L1D flush.

            SMT control and L1D flush control via the
            sysfs interface is still possible after
            boot.  Hypervisors will issue a warning
            when the first VM is started in a
            potentially insecure configuration,
            i.e. SMT enabled or L1D flush disabled.

        flush,nosmt

            Disables SMT and enables the default
            hypervisor mitigation.

            SMT control and L1D flush control via the
            sysfs interface is still possible after
            boot.  Hypervisors will issue a warning
            when the first VM is started in a
            potentially insecure configuration,
            i.e. SMT enabled or L1D flush disabled.

        flush,nowarn
            Same as 'flush', but hypervisors will not
            warn when a VM is started in a potentially
            insecure configuration.

        off
            Disables hypervisor mitigations and doesn't
            emit any warnings.
            It also drops the swap size and available
            RAM limit restriction on both hypervisor and
            bare metal.

        Default is 'flush'.

        For details see: Documentation/admin-guide/hw-vuln/l1tf.rst

私はこれらのオプションのいくつかを試して最終的に得ましたfull,force。しかし、それは私の個人的な選択です。

使い方

使用方法（何を編集する必要があるか）を尋ねると、答えは次のようになります。

1. お気に入りのテキストエディタを使用して、次のファイルを編集します。

   /etc/default/grub
   

2. オプションの1つ（例：let me use）をl1tf=full,force次の行に追加します。

   GRUB_CMDLINE_LINUX_DEFAULT="... l1tf=full,force"
   

3. 次のコマンドを使用してブートローダ設定を更新します。

   sudo update-grub
   

4. 再起動後に変更が適用されます。

   reboot --reboot
   

結果

このソリューションをテストし続けると、次のような結果が出ます。

CVE-2018-3646 aka 'Foreshadow-NG (VMM), L1 terminal fault'
* Information from the /sys interface: Mitigation: PTE Inversion; VMX: cache flushes, SMT disabled
* This system is a host running a hypervisor:  YES  (paranoid mode)
* Mitigation 1 (KVM)
  * EPT is disabled:  NO 
* Mitigation 2
  * L1D flush is supported by kernel:  YES  (found flush_l1d in /proc/cpuinfo)
  * L1D flush enabled:  YES  (unconditional flushes)
  * Hardware-backed L1D flush supported:  YES  (performance impact of the mitigation will be greatly reduced)
  * Hyper-Threading (SMT) is enabled:  NO 
> STATUS:  NOT VULNERABLE  (L1D unconditional flushing and Hyper-Threading disabled are mitigating the vulnerability)

Ultra HD画像を拡大できます。

スティーブンジッタノート

L1TF固有のコンテンツも読む価値がありますカーネル文書- 脆弱性と緩和方法を詳しく説明し、緩和機能を有効または無効にする方法（SMT無効を含む）について説明します。ランタイム時、再起動したりシステム構成を変更したりする必要はありません。