<div dir="ltr">There are different levels of Long-term<div><a href="https://www.kernel.org/category/releases.html">https://www.kernel.org/category/releases.html</a><br></div><div><br></div><div>4.4 is supported till 2022, 4.14. EOLs in 2020.</div><div><br></div><div>Dave.</div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Mar 7, 2018 at 7:46 AM Robin P. Blanchard &lt;<a href="mailto:robin.blanchard@gmail.com">robin.blanchard@gmail.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Mar 6, 2018 at 4:48 PM, Phil Perry &lt;<a href="mailto:phil@elrepo.org" target="_blank">phil@elrepo.org</a>&gt; wrote:<br>
&gt; On 18/01/18 20:57, Phil Perry wrote:<br>
&gt;&gt;<br>
&gt;&gt; On 10/01/18 20:36, Phil Perry wrote:<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; On 10/01/18 20:06, Phil Perry wrote:<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; A vulnerability checker script:<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;&gt;&gt; <a href="https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh" rel="noreferrer" target="_blank">https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh</a><br>
&gt;&gt;&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; &lt;snip&gt;<br>
&gt;&gt;<br>
&gt;&gt;&gt;<br>
&gt;&gt;&gt; CVE-2017-5715 [branch target injection] aka &#39;Spectre Variant 2&#39;<br>
&gt;&gt;&gt; * Mitigation 1<br>
&gt;&gt;&gt; *   Hardware (CPU microcode) support for mitigation:  YES<br>
&gt;&gt;&gt; *   Kernel support for IBRS:  YES<br>
&gt;&gt;&gt; *   IBRS enabled for Kernel space:  YES<br>
&gt;&gt;&gt; *   IBRS enabled for User space:  NO<br>
&gt;&gt;&gt; * Mitigation 2<br>
&gt;&gt;&gt; *   Kernel compiled with retpoline option:  NO<br>
&gt;&gt;&gt; *   Kernel compiled with a retpoline-aware compiler:  NO<br>
&gt;&gt;&gt;  &gt; STATUS:  NOT VULNERABLE  (IBRS mitigates the vulnerability)<br>
&gt;&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; Putting it here so we don&#39;t need to keep repeating ourselves:<br>
&gt;&gt;<br>
&gt;&gt; The latest elrepo kernels are now compiled with retpoline options enabled.<br>
&gt;&gt;<br>
&gt;&gt; At present, RHEL does NOT contain a retpoline-aware compiler so mitigation<br>
&gt;&gt; 2 above is not an option at present.<br>
&gt;&gt;<br>
&gt;&gt; As I understand, the retpoline patches have made it into the gcc-8<br>
&gt;&gt; development branch earlier this week, and were backported to the gcc-7<br>
&gt;&gt; branch a couple days ago. RHEL7 currently ships with gcc-4.8.5 and RHEL6<br>
&gt;&gt; ships gcc-4.4.7. AFAIK, these are unsupported upstream so it will be up to<br>
&gt;&gt; Red Hat to backport these patches to gcc, if that is even feasible. Given<br>
&gt;&gt; that RH have patched their distro kernels for IBRS, I don&#39;t even know if<br>
&gt;&gt; they are, or intend to work on retpoline.<br>
&gt;&gt;<br>
&gt;&gt; At this point in time, if mitigation of Spectre variant 2 is important to<br>
&gt;&gt; you, running the distro kernel with a Spectre-enabled firmware update is the<br>
&gt;&gt; best option.<br>
&gt;&gt;<br>
&gt;<br>
&gt; Red Hat have just released updated kernel and gcc packages for RHEL7.4 which<br>
&gt; are retpoline enabled.<br>
&gt;<br>
&gt; Now we have a retpoline-enabled compiler, we can look at using it to build<br>
&gt; the latest elrepo kernels for el7.<br>
&gt;<br>
&gt; I don&#39;t have any information regarding retpoline on el6 at present.<br>
<br>
<br>
Would this, then, be an opportune time to revisit bumping the LTS<br>
kernel from 4.4 to 4.14 ?<br>
_______________________________________________<br>
elrepo mailing list<br>
<a href="mailto:elrepo@lists.elrepo.org" target="_blank">elrepo@lists.elrepo.org</a><br>
<a href="http://lists.elrepo.org/mailman/listinfo/elrepo" rel="noreferrer" target="_blank">http://lists.elrepo.org/mailman/listinfo/elrepo</a><br>
</blockquote></div>