LINUX.ORG.RU

Разработчики Linux и Windows работают над закрытием аппаратной уязвимости процессоров Intel

 , , ,


10

8

Ошибка проектирования всех процессоров Intel, выпущенных за последние 10 лет, заставила разработчиков Linux и Windows в срочном порядке перерабатывать схему разделения адресных пространств ядра и пользователя, брешь в которой вызвана этой ошибкой. По известным сейчас данным, переработка требует модификации критических частей ядра и приводит к падению производительности приложений от 5 до 30% (чипы Intel 2010 года и новее имеют в своём арсенале возможности, чтобы сократить это падение).

Суть уязвимости, скорее всего, заключается в том, что спекулятивное исполнение кода косвенно нарушает контроль доступа, и это позволяет приложению «видеть» содержимое защищенного адресного пространства ядра (раннее описание). Детали уязвимости находятся под эмбарго до выпуска исправлений, который намечается на середину января 2018, когда выйдет новое ядро Linux и ежемесячное обновление безопасности для Windows.

Для решения проблемы разработчикам ядер пришлось полностью разделить память ядра и память пользовательских процессов, однако такое решение приводит к серьёзному падению производительности из-за необходимости сброса части кэша транслированных виртуальных адресов (TLB) при входе в ядро.

Разработчики ядра Линукса в шутку предлагали следующие аббревиатуры для новой модели разделения памяти ядра и пользовательских процессов: User Address Separation (*_uass) и Forcefully Unmap Complete Kernel With Interrupt Trampolines (fuckwit_*), однако остановились на Kernel Page Table Isolation (kpti_*).

Компания AMD утверждает, что её процессоры уязвимости не подвержены.

Обсуждение патча на LWN, с результатами тестов.

Общие подробности от издания The Register

>>> Технические подробности, демонстрационный код PoC

★★★★★

Проверено: tailgunner ()
Последнее исправление: anonymous_incognito (всего исправлений: 6)
Ответ на: комментарий от Ushenin

А твой знакомый никаких чисел не приводил насколько замедлилось? Или хотя бы смотрел в логи, какие обновления пришли и установились?

imul ★★★★★
()
Ответ на: комментарий от imul

А твой знакомый никаких чисел не приводил насколько замедлилось?

Замеров не было ни до не после, просто работники стали чаще звонить и жаловаться. Но возможно это связанно с другими причинами...

Но на «ковер» его могут вызвать, надо будет что-то говорить.

Ushenin
()
Ответ на: комментарий от superuser

Ну да. Если кто-то хочет повредить ядерную программу Ирана — надо создать цепь подставных фирм, наладить договоры подряда на разработку софта, на котором и так вроде бы эмбарго, разработать софт и талантливо внедрить тудой стухнет :) Касперский лично схлестнулся с практикующим летчиком на тему «А вот щас в самолеты внедрят вирус, и ага!» Летчик «Дядя Женя, ну что вы, простите, несете лютый бред из плохого кино, а?» Чтобы заставить ставить антивирусы на смартфоны, надо организовать ОПГ, которая будет «похищать личные данные» :) Чтобы запустить ядерную ракету как в кине, надо окончить условный Вестпойнт (есть тут сынок одного вроде сенатора РФ — в газетах говорят «что-то плохое»... А может палят спецоперацию внедрения :)), завербоваться в ВВС США, устроиться в ядерные силы %) Длина этих технологических цепочек заставляет сокращать издержки — нанимать готовых дурачков с готовыми скиллами «где-то внутри». Где-то снаружи это проделать в большинстве случаев слишком не экономично ни по Оккаму, ни по Хэнлону.

slackwarrior ★★★★★
()
Ответ на: комментарий от Ushenin

А зачем что-то говорить, если нет объективных показателей?
Хотя бы тогда надо пробежаться по компьютерам и посмотреть, какие обновления были установлены и почитать про них.

imul ★★★★★
()
Ответ на: комментарий от superuser

ну, насколько мне известно, раньше точно был. потому что где-то году так в 2007-м это было популярным направлением и патчи для icc были сделаны командой энтузиастов. но как там дальше с этой идеей пошло - я не отслеживала.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Ushenin

На сколько эти обновления могли повлиять на производительность сети и работу 1С вообще?

1С и сам неплохо тормозит. не надо на него влиять даже :) но так-то да, пишут, что маздаям уже прилетело обновление. а так как там оно без вариантов, то nopti не включишь.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от imul

А зачем что-то говорить, если нет объективных показателей?

Количество жалоб, показатель вполне объективный :)

Но нужно разобраться, чем вызвано это явление, повышенной раздражительностью из-за работы в новогодние каникулы или реальным замедлением работы.

Чисто теоретически работа с сетью и с диком должны замедлится, но на счет того как это работает в виндос я не уверен.

Ushenin
()
Ответ на: комментарий от superuser

По теории заговора наводнение в Тайланде было спецоперацией торгашей винтами :) По бритве Хэнлона — это было следствием вывода производств в страны с дешевой рабочей силой и похериванием учета других местных условий — например, возможности наводнений :) Хайп был просто подарком для торгашей винтами. А вот управление рисками — как всегда :) А винты сигейт были говном уже тогда без наводнений :)

slackwarrior ★★★★★
()
Ответ на: комментарий от Ushenin

повышенной раздражительностью из-за работы в новогодние каникулы

Чисто теоретически работа с сетью и с диком

Чисто теоретически, «работа с сетью и с диком» — это «Фрейд был прав!»

slackwarrior ★★★★★
()
Ответ на: комментарий от Iron_Bug

а ssd от сборок софта и постоянной перезаписи будут дохнуть. они для этого плохо приспособлены.

Со временем становится всё лучше и лучше. Плюс Интел новую технологию двигает: https://ru.wikipedia.org/wiki/3D_XPoint

AS ★★★★★
()
Ответ на: комментарий от Legioner

7z

А на оффтопике проседание на 4.3%

https://habrahabr.ru/post/346114/

В первом тесте получаем 8946 MIPS и 3:53 мин, во-втором 8558 MIPS и 4:06 мин. Разница составляет 4,3%. Теряем в производительности ради безопасности (по вине «прекрасных» инженеров Intel) если капнуть глубже, становится ясно, что не только в производительности.

До установки патча температура процессора в пике составляла 72 градуса, после установки уже 86 градусов. Время между замерами 35 минут. В итоге мы получаем не только менее производительный но еще и более горячий CPU (в среднем 10-15%).
greenman ★★★★★
()
Последнее исправление: greenman (всего исправлений: 1)
Ответ на: комментарий от Ushenin

Количество жалоб, показатель вполне объективный :)

Когда жалобы несут какую-то реальную информацию.

imul ★★★★★
()
Ответ на: комментарий от superuser

Ну и чо-то это все напоминает:
https://threatpost.com/intel-patches-nine-year-old-critical-cpu-vulnerability...
http://forums.hardwarezone.com.sg/hardware-clinic-2/old-intel-chips-face-majo...
каменты жгут — в части «как овер-хайпанут с людей, которые не разбираются» и «лол, мой братан уже выставил на продажу проц и мамку» :)

slackwarrior ★★★★★
()
Последнее исправление: slackwarrior (всего исправлений: 3)
Ответ на: 7z от greenman

Разница составляет 4,3%

На глаз не заметно.

если кАпнуть глубже

шалунишки

imul ★★★★★
()
Ответ на: комментарий от imul

А если не патчить офтопик, и не дрочить на компе на бенчи, а просто пользоваться — и вообще нет разницы (особенно если «кретинский апдейт» не нужен :))

slackwarrior ★★★★★
()
Ответ на: комментарий от slackwarrior

он имел в виду pr0nhub - очеивдно жеж! Ваш К.О.

mumpster ★★★★★
()
Ответ на: комментарий от aegi

могу достверно сказать что 20 лет назад хитом было разрешение 1280x1024, но некоторые особо мажористые даже имели 1600x1200 и с «почти плоским экраном», естесно всё 4:3, а массы жили на выпуклых 14" 800x600x65536, в лучшем случае 1024x768xTrueColor 30 лет назад хитом был цветной ДВК-3, а «за бугром» - VGA :-) а массы жили на ega, super-ega, cga и геркулес (не путать с кашей!)

mumpster ★★★★★
()
Ответ на: комментарий от anonymous

таки в маздае появились настройки ядра? или я чего-то не понимаю.

Iron_Bug ★★★★★
()
Ответ на: комментарий от mumpster

а зачем, если у меня есть старые процы и они работают? потратить бабло зря и получить в подарок какую-нибудь уязвимость? не надо, спасибо.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)

Ладно, принёс вам медку на израненные души 8-)

Вчера на винду слишком жирное обновление упало, прям 15 минут ставилось, с перезагрузками.

Так вот, наглухо отвалился ASUS AI Suite3 для материнок на Z97, теперь это изделие надрывно жужжыыыт под ухом, тудыть его в качель.
Не, ЭТО ЕЩЕ НЕ ВСЁ. Асус БИВИС то обновил, почти 2 года назад, но наглухо покалечил управление вентиляторами. Оно там через раз работает и определяет параметры старт/стоп %.

А мы тут про ЦПУ, да отвалившеюся Невидию из-за переменной с инфой о лицензии в файлике ядра.

Deleted
()
Последнее исправление: RTP (всего исправлений: 1)
Ответ на: комментарий от mumpster

Вообщем скорее всего мажоры были из SGI, смотрел на дефолтные поставки SUN - 1024/768

Deleted
()
Ответ на: комментарий от Deleted

юзеры вой поднимут и пофиксят. вроде управление вентиляторами не должно никак зависеть от этой уязвимости. это они в пылу борьбы за безопасность по пути там покалечили какие-то совместимости, скорее всего.

Iron_Bug ★★★★★
()
Ответ на: комментарий от mumpster

о, да. я даже помню, что я в начале 90-х писала программы с использованием возможностей SVGA на Cirrus Logic. у нас был тогда 16-цветовой(!) монитор 640x480, это был ваще писк моды.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

Про уязвимость в описании апдейта ничего не было.
Но много перетряхнули там, может и накатили что-то на эти дырки.

Вой уже подняли счастливые владельцы ROG продуктов. Только они воют уже прилично по времени, там что-то не клеится с Шин10 у асуса.

Deleted
()
Ответ на: комментарий от Iron_Bug

Замечательная идея, сам такую думаю. Однако очень мешает изредка возникающее желание погонять игорей.

mir-inoy ★★
()
Ответ на: 7z от greenman

А на оффтопике проседание на 4.3%

При чём тут оффтопик или онтопик? Там какие-то другие методы митигации?

Проседание на 4.3% конкретно на этой задаче. Причём скорей всего автор жмёт кучу мелких файлов (не то, чтобы это плохо, но просто стоит отметить). Ну и 4.3% это на грани погрешности, имхо.

До установки патча температура процессора в пике составляла 72 градуса, после установки уже 86 градусов. Время между замерами 35 минут. В итоге мы получаем не только менее производительный но еще и более горячий CPU (в среднем 10-15%).

Тут явные проблемы с охлаждением.

Legioner ★★★★★
()

Из всего написанного и прочитанного я не понял главного: - какие ЦП позволяют предсказуемо натренировать BTB, кроме интелей? - каким из них нужен фикс в виде ретполина?

anonymous
()
Ответ на: комментарий от Deleted

Правда с мобильниками некрасиво вышло, столько китайского добра теперь уже в контейнерах на пути к покупателям превратилось в бесполезные тыквы %-)

Да им глубоко пофиг, шо тебе впаривать, большинство быдлосмартфонов и так превращаются в тыкву после покупки и по сути изначально не предназначены для хранения конфиденциальных данных, ибо решето, не говоря уже про слежку гугла, оператора, спецслужб.

FiXer ★★☆☆☆
()
Ответ на: комментарий от x3al

На десктопе - пофиг, а вот на серверах пишут реально ощутимо и баттхерт уже есть.

FiXer ★★☆☆☆
()

Почему память была изначально не раздельная? Променяли 10% прирост на безопасность, но когда это обнаружилось, сделали как надо?

anonymous
()
Ответ на: комментарий от anonymous

Почему память была изначально не раздельная?

Никто не знал, что процессоры Intel проектировали слабоумные дети.

Променяли 10% прирост на безопасность

50% на I/O.

anonymous
()

Патч для AMD приняли в 4.14.12. Вот выдержка из чейнджлога. atsym, хотел тебе ответить в соседней теме, но там скор нужен, а я бесскорный анонимус.

commit 151d7039757b71ebd9d170af0944562f51149372
Author: Tom Lendacky <thomas.lendacky@amd.com>
Date:   Tue Dec 26 23:43:54 2017 -0600

    x86/cpu, x86/pti: Do not enable PTI on AMD processors
    
    commit 694d99d40972f12e59a3696effee8a376b79d7c8 upstream.
    
    AMD processors are not subject to the types of attacks that the kernel
    page table isolation feature protects against.  The AMD microarchitecture
    does not allow memory references, including speculative references, that
    access higher privileged data when running in a lesser privileged mode
    when that access would result in a page fault.
    
    Disable page table isolation by default on AMD processors by not setting
    the X86_BUG_CPU_INSECURE feature, which controls whether X86_FEATURE_PTI
    is set.
    
    Signed-off-by: Tom Lendacky <thomas.lendacky@amd.com>
    Signed-off-by: Thomas Gleixner <tglx@linutronix.de>
    Reviewed-by: Borislav Petkov <bp@suse.de>
    Cc: Dave Hansen <dave.hansen@linux.intel.com>
    Cc: Andy Lutomirski <luto@kernel.org>
    Link: https://lkml.kernel.org/r/20171227054354.20369.94587.stgit@tlendack-t1.amdoffice.net
    Signed-off-by: Greg Kroah-Hartman <gregkh@linuxfoundation.org>

anonymous
()
Ответ на: комментарий от anonymous

Зочешь сказать редхат заплатку не портирует? )

Речь идёт не о портировании, а в избегании. Следовательно нужно чтобы ядро менялось редко, либо тогда замораживать его и все связанные с ним компоненты.

NextGenenration ★★
()
Ответ на: комментарий от slackwarrior

винты сигейт были говном уже тогда без наводнений

Зато после наводнения и остальные подтянулись - WD сгнивают за год эксплуатации, Hitachi продались Toshiba и сильно потеряли в качестве. Так что теперь всё гровно, выбирать не из чего...

anonymous
()
Ответ на: комментарий от mumpster

30 лет назад хитом был цветной ДВК-3, а «за бугром» - VGA :-) а массы жили на ega, super-ega, cga и геркулес (не путать с кашей!)

Вот не можете удержаться как не пнуть что было 30 лет назад? В надежде, что никто уже ничего не помнит? Так у нас уже (и уже почти 30 лет назад, да-да!) был Интернет, там можно уже узнать было, что VGA только 30 лет назад появился, в PS/2 и стоил как каменный мост. А поболее чем 30 лет назад я уже сидел за https://ru.wikipedia.org/wiki/Электроника_85, пусть и без X-ов, но таки с приличным цветным дисплеем за нашим unix-ом (Демос).

vodz ★★★★★
()
Ответ на: комментарий от anonymous

сгнивают за год эксплуатации,

выбирать не из чего...

consume @ vote reptilians :)

slackwarrior ★★★★★
()

https://www.epicgames.com/fortnite/forums/news/announcements/132642-epic-serv...

Игровые серверы сильно почувствовали.

Предлагают сделать флаг, позволяющий отключать page isolation для отдельных приложений.

https://www.spinics.net/lists/kernel/msg2691093.html

greenman ★★★★★
()
Последнее исправление: greenman (всего исправлений: 1)
Ответ на: комментарий от anonymous

Никто не знал, что процессоры Intel проектировали слабоумные дети.

линакс, как оказалось, тоже.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.