Новая уязвимость процессоров Intel доставит проблемы дата-центрам

NiTr0 · Повідомлення 03.01.2018 19:05

Sanьka:В любом случае надо подождать офиц инфы.

на линукс-ресурсах оф.инфа есть. как и фикс, и его тестирование.

и да, похожая проблема есть, суд по всему, и в arm64.

коротко по х86: проблема таки в суперскалярности. т.е. при возврате из syscall-а, в процессе переключения контекста, может начать выполняться следующая инструкция, и она будет выполняться с привилегиями ядра, хотя выполняться она должна с приоритетом нового контекста. ну забыли 10 лет назад отключить суперскалярность/сбрасывать конвейер при смене ring-а выполняемого кода...

т.е. - любой софт может получить доступ к защищенным данным ядра. в т.ч. - записать туда что угодно.

т.е. - возможно как минимум локальное повышение привилегий. + (вполне вероятно) "выбраться" из VM, получив доступ к памяти хост системы.

Отправлено спустя 4 минуты :

Dr_Zorge:Из плохих новостей, процы АМД теряют в производительности в спец.задачах точно так же как и Интел: https://www.phoronix.com/scan.php?page= ... -4.15-Test

было бы удивительно если бы те же софтовые костыли (которые включены зачем-то независимо от камня) давали бы просадку только на интеле.

и да, тут вопрос скорее в том зачем для амд эта фича включается по умолчанию - дыры-то нет...

Sanьka · Повідомлення 03.01.2018 19:07

В итоге хотел купить Кофейник, даже 3ГГц память сегодня заказал. Теперь лучше подождать с месяцок-второй.
Либо все окажется раздутой пустышкой и таки возьму Кофейник, либо уже Райзен 2ххх или черт знает что ждать еще. Но ждать не хочу.

NiTr0:и да, тут вопрос скорее в том зачем для амд эта фича включается по умолчанию

Что бы Интелу обидно не было

NiTr0 · Повідомлення 03.01.2018 19:39

Sanьka:Либо все окажется раздутой пустышкой

эксплойт уже в сети (хоть и под *никсы), запасаемся поп-корном: https://twitter.com/brainsmoke/status/9 ... 9875502080
коротко - демонстрация как из юзерспейса непривелегированным пользователем читается память ядра, по-нормальному недоступная.

Sanьka:Что бы Интелу обидно не было

к слову в свежих патчах линукса таки фикс чисто для интела включается, амд - не трогается. мож и мелкомягкие так же поступят.

adm0r · Повідомлення 03.01.2018 19:41

Sanьka
Дружище, но совсем не обязательно ломать твой ПК. Представь, что сломают сайты которыми ты пользуешься -- может быть от потери личных данных или паролей до финансовых данных. А именно сайты/сервисы и находятся в зоне риска.

Sanьka · Повідомлення 03.01.2018 19:44

adm0r:Представь, что сломают сайты которыми ты пользуешься -

Это как дорогой замок в двери. Опытный вор открывает за секунд 20.
Так же и ПК. Если понадобится, тебя ломанут как 2 пальца. А если не надо, то живешь и не паришься.

Отправлено спустя 1 минуту 13 секунд:

adm0r:редставь, что сломают сайты которыми ты пользуешься

У них свои сервера. Пусть и теряют 5-30%. Я за свою машинку беспокоюсь

DaKaR · Повідомлення 03.01.2018 19:48

Лень читать весь этот

Кто-нибудь ответьте, обычным пользователям это чем-то угрожает?

Rex · Повідомлення 03.01.2018 19:53

Да, вот это новость! Очень интересно посмотреть, во что это выльется!

Представляю себе выражения, которые будут лететь в Интел от энтузиастов/оверклокеров, которые вложили овер дохера бабла в комп и которые борются за каждый лишний % в бенчмарках. Если после установки патча потеряется даже 15% (не то, что <30) производительности - это будет

ИМХО, никакими патчами это не исправить нормально. Нужна новая архитектура процессора, с новым микрокодом. Только так.
Ждем новое поколение ЦП от Интел!
Однако, вся эта история выглядит очень странно. Как можно было не обнаружить этот баг на протяжении <10 лет?

А ведь если этот баг успешно передавался по наследству от поколения к поколению, то наверняка он заложен уже и в грядущий Cannon Lake, как минимум...
И что делать Интел будет? Переналаживать техпроцессы, отзывать новое поколение, разрабатывать новую архитектуру?

adm0r · Повідомлення 03.01.2018 20:06

Sanьka: У них свои сервера. Пусть и теряют 5-30%. Я за свою машинку беспокоюсь

На кого они переложат свои убытки?

MaxD · Повідомлення 03.01.2018 20:10

adm0r:На кого они переложат свои убытки?

Кстати об убытках, курлык:

спойлер

tcpdump · Повідомлення 03.01.2018 20:12

DaKaR
тем что админы сайтов, которые вы используете - не захотят покупать на 30% больше серверных мощностей и вырубят в загрузчиках опцию секьюрности - ваши данные потенциально могут утекти. какие-то из них неважные, но какие-то достаточно чувствительные.
Rex
непосредственно оверклокерам ничего не угрожает. безопасный режим сейчас опция загрузчика, думаю и далее так будет. а у всех оверов для бенчмарк-сессий есть отдельные образы ОС, где терять какбы нечего и "замедление" будет отключено. вообще считаю что при грамотном подходе к хранению данных на домашних десктопах можно патч не накатывать никогда.

maxvas · Повідомлення 03.01.2018 20:12

Как бы это все не было заложено по просьбе спец служб. Как некоторые уязвимости в гсм связи.

Надеюсь, что хостинг не подорожает после таких патчей.

Интересно, что скажет Интел. Могут и в суд подать, потому что все их суперзащищаюшие технологии с коробок в действительности не защищали лет 10

Sanьka · Повідомлення 03.01.2018 20:15

tcpdump:на домашних десктопах можно патч не накатывать никогда.

Считаю что данный патч должен при желании легко отключатся. Тогда будет респект.
Кому надо - пользуйтесь, нет - вырубил и все.

Scoffer · Повідомлення 03.01.2018 20:17

adm0r
А що ти так переживаєш за чужі сервери?)
Я от прикинув по віртуалкам під моїм наглядом, котрих не те щоб сильно багато, але штук 400 назбирається.
Так от, у мене вже зараз інфраструктура по хостам так розкидана, що їй або не страшний патч (числодробилки, мінімум IO), або проникнення з однієї віртуалки в іншу ніякими фатальностями не загрожує бо там і без того в одному системному контексті під однаковими правами все проходить згідно прийнятої технології роботи.
А кому треба - знайде вихід з ситуації.

DaKaR
Нічим, встановиш патч - і жодних провалів не помітиш.

Chernobyl · Повідомлення 03.01.2018 20:27

https://www.phoronix.com/scan.php?page= ... 6pti&num=2 Компиляция/игры - пофиг, постгрэс тронут, но для обычного юзера не критично, а вот I/O кошмарный просед в 2 раза у NVME, с САТА то похоже почти пофиг.

Отправлено спустя 5 минут 2 секунды:
Похоже для обычного юзера не так уж и мрачно все, еще бы деактивировать патч, то и вообще хорошо будет. Все же буду собирать комп на 8700, тут не знаю чего ждать, не факт, что следующее поколение будет пофикшено аппаратно (да и аналога кофи судя по roadmap не будет весь 2018).

Sanьka · Повідомлення 03.01.2018 20:28

Scoffer: і жодних провалів не помітиш.

Кто читал на англицком вумные сайты.
Падение произ-ти возможно при каком сценарии использования?

Scoffer · Повідомлення 03.01.2018 20:30

Sanьka
Часті операції вводу-виводу. Не по домашньому часті

Іграшки, компіляції, рендерінги, майнінги, офіси і т.п. не помітять.

Sanьka · Повідомлення 03.01.2018 20:32

Scoffer:Часті операції вводу-виводу. Не по домашньому часті

А что там за

В более новых версиях чипов содержатся функции, такие как PCID, которые позволят уменьшить негативный эффект снижения производительности.

В Кофейниках я так понял имеется.

Scoffer · Повідомлення 03.01.2018 20:37

Sanьka
Це для пришвидшення перемикання контекстів. З цими контекстами біда давно є, через них мікроядерні ОС туплять на IO.

Sanьka · Повідомлення 03.01.2018 20:40

Scoffer
Я так понимаю что для домашних ПК патч можно ставить не боясь падения произ-ти?

Martix · Повідомлення 03.01.2018 20:43

Новый повод купить обновленный процессор от интел в следующем году, +3-5% роста производительности теперь гарантированы!