Новая уязвимость процессоров Intel доставит проблемы дата-центрам

[LostBoy]

Если кто-то патчил уже VMки с MSSQL - дайте знать. Патч на всус прилетел, но апрувить стремно. И не апрувить - тоже стремно.
Если по реляционным СУБД действительно будет падение в 25%, то для моего прода это катастрофа. Я о том скрине с PostgreSQL с падением tps в синтетике, если что.

[Caesar]

Топ-новостью последних дней, без сомнения, стала проблема с процессорами Intel, AMD и ARM-чипами. И вот разработчики из Google Project Zero опубликовали детали двух уязвимостей, которые получили кодовые имена Meltdown и Spectre.

Как сообщается, первая и вторая актуальна для Intel и ARM64, для AMD – только Spectre. Разработчики подготовили работающие прототипы эксплоитов, в том числе реализация на JavaScript для использования в браузере.

Суть в том, что Meltdown (CVE-2017-5754) позволяет приложению прочитать содержимое любой области память компьютера, включая память ядра и других пользователей. Проблема также позволяет получить доступ к чужой памяти в системах паравиртуализации (режим полной виртуализации (HVM) проблеме не подвержен) и контейнерной изоляции (в том числе Docker, LXC, OpenVZ), например, пользователь одной виртуальной машины может получить содержимое памяти хост-системы и других виртуальных машин. Уязвимости подвержены процессоры Intel, выпускаемые с 1995 года, за исключением Intel Itanium и Intel Atom, выпущенных до 2013 года, и ARM64 (Cortex-A15/A57/A72/A75). Подготовленный прототип эксплоита позволяет читать память ядра со скоростью 2000 байт в секунду на процессоре Intel Xeon архитектуры Haswell.

Уязвимость Spectre (CVE-2017-5753, CVE-2017-5715) позволяет создать брешь в механизме изоляции памяти приложений и позволяет атакующему обманным способом получить данные чужого приложения (только приложения, но не памяти ядра). Этой атаке подвержены процессоры Intel, AMD (только при включенном eBPF в ядре) и ARM64 (Cortex-R7/R8, Cortex-A8/A9/A15/A17/A57/A72/A73/A75). Как отмечается, в сравнении с Meltdown уязвимость существенно труднее эксплуатировать, но значительно труднее исправить.

Эти атаки используют три уязвимости (обход проверки границ, сбой проверки прав доступа при обработке исключений и оседание данных в кэше после отмены операции), каждую из которых надо исправлять отдельно.

Для пользователей рекомендуется установить обновление ядра сразу после его публикации. Как отмечается, обновление ядра Linux выпущено в виде набора патчей KPTI, оно исправляет только Meltdown для дистрибутивов RHEL и Fedora. Также выпущено обновление для Windows 7, 8/8,1 и 10, Android и Chrome OS 63.

Отправлено спустя 2 минуты 15 секунд:

Intel: Также в компании не опровергли данные о возможном снижении производительности после установки патча безопасности. Однако заявили, что это будет «зависеть от нагрузки» и для обычного пользователя ПК снижение скорости не должно быть существенным и смягчится со временем».

Отправлено спустя 2 минуты 31 секунду:

Сегодня, 4 января произойдёт автоматическое обновление Windows 10. Более старые версии – 7 и 8.1, нужно будет обновлять вручную. Этот патч принесёт исправления из-за уязвимости в процессорах Intel.

При этом отмечается, что разработчикам антивирусов также предстоит обновить свои системы на уровне ядра. Также важно понимать, что обновление может замедлить некоторые системы, хотя, как утверждается, владельцы процессоров Intel Skylake и новее не заметят существенных изменений в работе.

При этом в Microsoft подтвердили наличие проблемы на процессорах от AMD и на ARM-чипах, хотя «красные» и заявляли публично, что это невозможно даже теоретически.

Мы знаем об этой проблеме и тесно работаем с производителями процессоров для разработки и тестирования мер для защиты наших клиентов. Сейчас мы развёртываем обновления для облачных сервисов и уже выпустили обновление безопасности для защиты клиентов Windows от уязвимостей, затрагивающих все поддерживаемые аппаратные чипы от Intel, ARM и AMD.

Пресс-служба Microsoft

При этом в софтверной компании отметили, что не получали информации ни об одном случае успешной эксплуатации уязвимости.

Отмечается, что обновления, которые закрывают уязвимости, могут снизить производительность компьютеров на 5-30% в зависимости от модели и конкретных задач. Компания Apple частично закрыла уязвимость в обновлении macOS от 6 декабря. Обновление ядра Linux также вышло в декабре.

[Alexsandr]

Нет конечно. Но Интел это только Meltdown, который патчится и не чувствителен для домашних систем в плане просадок.

Что-то не то. Тесты на интеле показывают падение скорости, но он не чувствителен на просадки.
А что будет если дома в фоне работает торрент? Сетевые вызовы, дисковые будут тормозить проц в целом? Если да, то все выгрузить для игры придется.

[RoboticsIII]

Tool Started 04.01.2018 21:38:25
Name: DESKTOP-((((фиг там плавал))))
Manufacturer: System manufacturer
Model: System Product Name
Processor Name: Intel(R) Core(TM) i7-6700K CPU @ 4.00GHz
OS Version: Майкрософт Windows 10 Pro
Status: This system is vulnerable.
Tool Stopped

[Fargo]

Что-то не то. Тесты на интеле показывают падение скорости, но он не чувствителен на просадки.

А десктопам однаково нічого не загрожує щодо продуктивності, немає вдома завдань на високі IO ні в віндах, ні в ніксах.

Патч выходит может повлиять только в корпоративном сегменте. И то учитывая что это первый кривой патч собранный на коленке.
Следующие даже там будут куда грамотнее работать. А потом эта вся шумиха и вовсе стихнет.

[dukatto]

Ну и как нам быть с этой всей белебердой ? Обновился.

[Fargo]

Ну и как нам быть с этой всей белебердой ? Обновился.

Так же как и 2 дня назад, когда журналюги не подняли липовый хай.

Может на фоне этого Интелы, да и АМД подешевеют, тогда выиграем мы. А так все как было так и есть.

[Alexsandr]

Патч выходит может повлиять только в корпоративном сегменте. И то учитывая что это первый кривой патч собранный на коленке.
Следующие даже там будут куда грамотнее работать. А потом эта вся шумиха и вовсе стихнет.

Т.к. про уязвимость известно давно, то и патч не совсем на коленке. Да и дома как я писал бывают сетевые операции, совместно с дисковыми просто в фоне. В жизни не тестовые системы, где все остановлено кроме тестового приложения.Я все еще волнуюсь за производительность дома и жду тестов подробных с фоновой загрузкой системы.

[kolia]

Кржанич хитрый поц, знал когда акции интоля скидывать надо.
Интел https://gyazo.com/62884d335622c18845a8ca2232e8f3bf
Амд https://gyazo.com/3162627f6527b45c4bfcb5f550e8b85b

[Scoffer]

kolia
Зараз назад піде.
Розсилка з сусі:

Add microcode_amd_fam17h.bin (bsc#1068032 CVE-2017-5715)
This new firmware disables branch prediction on AMD family 17h processor
to mitigate a attack on the branch predictor that could lead to
information disclosure from e.g. kernel memory (bsc#1068032 CVE-2017-5715).

AMD family 17 = Zen

Заспокойтеся вже зі своїми AMD. Це не баг, а новий метод аналізу даних в процесорі. AMD, як і всі інші теж під роздачею. Без спекулятивного виконання команд і без кешів неможливо створити високопродуктивний процесор. А якщо вони є, то все, вразливість теж є.

Як захищатись вже теж зрозуміло - будуть скидувати кеші на сісколах, що знизить швидкість їх виконання. В випадку лінуксу рішення від гуглу обіцяє лише мінус півтора відсотки, але ефективність захисту поки що не зрозуміла. В випадку вінди взагалі нічого не зрозуміло, що МС мовчки собі наколядує те і буде.

[Martix]

Windows Vulnerability CPU Meltdown Patch Benchmarked - Introduction

Отправлено спустя 3 минуты 10 секунд:
Большинство бенчмарков не отображают реалньой ситуации, т.к. нет множественного обращения к ядру, но разница есть, и это на топ железе.

[catdoom]

Windows Vulnerability CPU Meltdown Patch Benchmarked - Introduction

Отправлено спустя 3 минуты 10 секунд:
Большинство бенчмарков не отображают реалньой ситуации, т.к. нет множественного обращения к ядру, но разница есть, и это на топ железе.

i76960 8-ядерный процессор,да ещё и разогнанном до 4.2ггц,зачем? там у него избыток производительности для игр,корректней было бы тестить этот патч на i7-7700к,или каком-то Пентиум-4600. Кароч чистая показуха,для успокоения.

[_nic]

рузень рефреш будет уже аппаратно пофикшен?

[NiTr0]

Но Интел это только Meltdown, который патчится и не чувствителен для домашних систем в плане просадок.

а откуда вывод-то? хоть один тест винды есть?
гарантированно будет серьезная просадка производительности для memory-mapped файлов и своппинга.

Реальных взломов нет но вони до небес.

есть реальные эксплойты. те самые тесты, да.которые реально читают память ядра.

Отправлено спустя 1 минуту 58 секунд:

А десктопам однаково нічого не загрожує щодо продуктивності, немає вдома завдань на високі IO ні в віндах, ні в ніксах.

проблема не в IO, а в обмене юзерспейс->ядро.

и да, для винды потенциально это очень может сказаться на передаче данных в GPU...

Отправлено спустя 7 минут 51 секунду:
хм, таки да, выше привели тесты. просадка конечно не катастрофическая, пару %, но она есть. и не факт что не подрастет в будущем при выходе новых патчей (вполне вероятно что пофикшен только один из вариантов атаки).

[Scoffer]

NiTr0
Проблема не в IO, а в тому скільки сісколів ці ІО генерять.
В вінді, починаючи з вісти, відеодрайвер працює в юзерспейсі, до ядра за промальовуваннями не ходять. Хоча ХР в цьому плані постраждає, так, якщо на неї в принципі патч випустять.

Отправлено спустя 23 минуты 8 секунд:
Майнери, на жаль, теж не постраждають

Отправлено спустя 9 минут 54 секунды:

Если кто-то патчил уже VMки с MSSQL - дайте знать. Патч на всус прилетел, но апрувить стремно. И не апрувить - тоже стремно.
Если по реляционным СУБД действительно будет падение в 25%, то для моего прода это катастрофа. Я о том скрине с PostgreSQL с падением tps в синтетике, если что.

Я завтра, якщо встигну, розгорну пару ідентичних стендів под тестовим OLTP навантаженням. По результатам відпишусь.
З ОСями просто - затестую, більше цікаво що робити з гіпервізором. У мене немає запасної копії інфраструктури щоб випробувати для нього патч

[Victor Kotyara]

Так что, я не зря на Atom N270 сижу? Думал продать свой нетбук, да рука не поднялась

[DEVES]

Уязвимость в процессорах Intel (и AMD, и ARM). Meltdown и Spectre

[ZloyDokh]

Уязвимость в процессорах Intel (и AMD, и ARM). Meltdown и Spectre

Это видео получше- уже с тестами:

[Kib]

Те що телеметрія win 10 збирає набагато більше інфи чим можна прочитати за допомогою нової вразливості цп, нікого не переймало досі. І мова йде про телеметрію яка вшита в ядро ОС, і вимикається тільки дуже радикальними методами. То ж майкрософт, у них "безпечні" канали передачі даних і витоків інформації не може бути в принципі.

[Scoffer]

Kib
Що там вінда, он хромик індексує файлову систему, до якої може дотягнутись, і теж чомусь це мало кого хвилює.

Отправлено спустя 3 минуты 10 секунд:
Інфа для маководів:
https://twitter.com/aionescu/status/948609809540046849
Meltdown пофіксили ще в 10.13.2 (9 грудня мунулого року)