Linux内核即将推出一个新补丁，用于检测并报告过时的CPU微码版本。由于英特尔等厂商会定期发布微码更新以修复安全漏洞和功能问题，运行旧微码可能带来安全风险。该补丁将通过/sys/devices/system/cpu/vulnerabilities/old_microcode进行报告，与现有的CPU安全漏洞报告方式一致，方便用户及时了解CPU微码状态。此外，该补丁还会通过“TAINT_CPU_OUT_OF_SPEC”标志污染正在运行的Linux内核。该补丁已排队至tip/tip.git x86分支，预计将很快被合并到Linux 6.16内核中。

🛡️ 补丁的核心功能在于检测并报告过时的CPU微码版本。由于CPU微码更新通常包含安全修复和功能改进，因此运行旧版本可能存在安全隐患。

📍 补丁的报告方式是通过/sys/devices/system/cpu/vulnerabilities/old_microcode进行，该目录与现有的CPU安全漏洞报告目录位于同一sysfs目录下，方便用户收集和管理。

🚩 除了通过sysfs报告旧微码问题，该补丁还会通过“TAINT_CPU_OUT_OF_SPEC”标志污染正在运行的Linux内核，提醒用户关注。

⚙️ 识别过时的Intel CPU微码版本需要依赖于每个CPU系列/型号/步进的不同CPU微码版本的静态列表。该列表需要由Intel工程师持续更新和维护，以确保准确性。

📅 该补丁已排入tip/tip.git x86分支，预计将在一个月内提交至Linux 6.16内核合并窗口，这意味着它很快就会被应用到Linux内核中。

去年，Linux 内核提出了一个补丁，该补丁会将过时的 CPU 微码版本报告为安全漏洞。由于英特尔会定期发布新的 CPU 微码更新以修复安全漏洞并解决其他功能问题，因此，当 Linux 内核识别到某个处理器部署了过时的 CPU 微码时，它会开始警告用户。该补丁现在已排入 tip/tip.git 分支，因此看起来它将提交给即将到来的 Linux 6.16 内核周期。

自去年提出最初的补丁提案以来，已经有了具体的例子，11 月份有新的 CPU 微码发布了两个安全警告，2 月份有CPU 微码更新解决了五个新的安全问题。这只是过去几个月的情况，如果您是该补丁的长期关注者，那么会很清楚近年来所有供应商都出现了 CPU 安全问题，并且通常会看到通过微码更新应用缓解措施。

今天下午，用于向用户报告过时的 Intel CPU 微码版本的补丁 已排入tip/tip.git 的 x86/microcode 分支。由于更新的微码很可能包含安全修复程序和/或已解决的功能问题，因此当检测到 CPU 运行过时的微码时，将通过/sys/devices/system/cpu/vulnerabilities/old_microcode进行报告。该目录与其他 CPU 安全漏洞的报告目录位于同一 sysfs 目录中，因此易于收集。在调试 Linux 内核问题时，确保使用最新的 CPU 微码也非常重要。

除了通过 sysfs 报告旧的微码问题外，识别过时的 CPU 微码还会通过“TAINT_CPU_OUT_OF_SPEC”标志污染正在运行的 Linux 内核。

识别过时的 Intel CPU 微码版本并非易事，它依赖于每个 CPU 系列/型号/步进的不同 CPU 微码版本的静态列表。因此，随着时间的推移，该列表需要由 Intel 工程师更新和维护，以正确反映最新发布的微码版本。

现在，此补丁已通过 tip/tip.git x86 分支排队，除非有人在最后一刻对此报告提出异议，否则很可能会在一个月内提交至 Linux 6.16 合并窗口。