Компания Intel раскрыла (https://www.intel.com/content/www/us/en/architecture-and-tec...) сведения о группе из трёх новых уязвимостях в механизме спекулятивного выполнения CPU, представленных под кодовым именем Foreshadow (https://foreshadowattack.eu/) или L1 Terminal Fault (https://software.intel.com/security-software-guidance/softwa...) (L1TF).Уязвимости манипулируют (https://www.redhat.com/en/blog/understanding-l1-terminal-fau...) тем, что при доступе к памяти по виртуальному адресу, приводящему к исключению (page fault) из-за отсутствия флага Present в таблице страниц памяти, процессоры Intel спекулятивно рассчитывают физический адрес и загружают данные, если они имеются в L1-кэше, независимо от состояния записи в таблице страниц памяти. Далее данные можно извлечь при помощи методов определения содержимого кэша по сторонним каналам (через анализ изменения времени доступа к прокэшированным и не прокэшированным данным).
L1TF присвоен высокий уровень опасности, так как уязвимость позволяет определить данные по любому физическому адресу в системе, независимо от применяемых механизмов изоляции и виртуализации (например, можно атаковать систему из виртуальной машины). Всего предложено три варианта уязвимости:
- CVE-2018-3615 (https://foreshadowattack.eu/foreshadow.pdf) - извлечение данных из памяти Intel Software Guard Extensions (Intel SGX);
- CVE-2018-3620 (https://foreshadowattack.eu/foreshadow-NG.pdf) - извлечение данных из SMM (System Management Mode) и областей ядра ОС;
- CVE-2018-3646 (https://foreshadowattack.eu/foreshadow-NG.pdf) - утечка данных из виртуальных машин в системах виртуализации.
Проблемам подвержены только процессоры Intel. Отмечается, что уязвимости уже устранены в прошлом обновлении микрокода. Для исправления первой проблемы достаточно обновления микрокода. Исправление второй и третьей проблемы выпущено в виде патча (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) для ядра Linux и исправления (https://xenbits.xen.org/xsa/advisory-273.html) для гипервизора Xen. Обновления также формируются для дистрибутивов Ubuntu (https://blog.ubuntu.com/2018/08/14/ubuntu-updates-for-l1-ter...), Oracle (https://blogs.oracle.com/oraclesecurity/intel-l1tf), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-3620), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-3620) и Debian (https://security-tracker.debian.org/tracker/CVE-2018-3620). По данным (https://www.intel.com/content/www/us/en/architecture-and-tec...) Intel негативное влияние исправления на производительность составляет от 0% (клиентские применения) до 7% (при симуляции нагрузки на web-сервер).URL: юhttps://www.redhat.com/en/blog/understanding-l1-terminal-fau...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49134
Вот так они и получали +5% в поколение, лол.
Оптимизация - это и есть срезание углов, прикинь. Просто в то время о подобных атаках не думали.
это как для того чтобы ускорить автомобильный поток убрать все пешеходные переходы и светофоры, а потом гадать что же будет с пешеходами
Блин, все такие умные. Что ж вы строем-то не ходите.Тут аналогия скорее такая, что вместо пешеходных переходов построили надземные мосты, но ушлый хакер научился по вибрации моста обнаруживать пешеходов. Но виновата, конечно, Intel, не иначе.
> Но виновата, конечно, Intel, не иначе.ну а кто же еще, рас она построила такие надземные пешеходы что они легко шатаются от проезжающих под ними автомобилей и роняют пешеходов
> Тут аналогия скорее такая, что вместо пешеходных переходов построили надземные мосты, но
> ушлый хакер научился по вибрации моста обнаруживать пешеходов. Но виновата, конечно,
> Intel, не иначе.Давайте Вы себе замки в двери будете с такими вот "аналогиями" ставить.
А замки в дверях, вот сюрприз-то, с "такими аналогиями" и ставятся.
В белых районах east coast - вполне может быть стеклянная дверь с ерундовым замочком. (правда, там стреляют в забредших на территорию нигг раньше, чем они до этой двери дойдут)А в поселке Мосрентген бронедвери и суперзамки, которые МЧС ковыряет по сорок минут, а воры почему-то все равно открывают за пять.
Никто их там не стреляет. Поменьше желтизны...
> А в поселке Мосрентген бронедвери и суперзамки, которые МЧС ковыряет по сорок
> минут, а воры почему-то все равно открывают за пять.Потому что воры работают на результат, а МЧС - для отчетности.
>Просто в то время о подобных атаках не думали.А думали только о наживе и планах догнать и перегнать AMD, так что так себе отмазка.
Ога, можно построить дом из соломы, но потом придет волк, дунет-плюнет и окажется что из кирпича дом строить все-таки лучше.
Нет, это не оптимизация. Это называется technical debt.
Сейчас патчи прилетят и будет производительность уровня AMD FX. Интел схитрил, получил лучшую производительность чем AMD, а после патчей ещё получит лучшие продажи новых процессоров. Хорошая многоходовочка.
Я как раз FX купил - доволен! Загрузка 1-3 % в простое.
> 1-3 %Надеюсь это сарказм.
>> 1-3 %
> Надеюсь это сарказм.Нет, куча запущенных приложений, FF с кучей вкладок - на феноме было 10-20% в простое. Здесь - в районе 0, что радует. Думаю причина в инструкциях, которых нет было в феноме.
простое в непростое
может в количестве ядер?
> может в количестве ядер?Нет, я же смотрю загрузку и по ядрам. Общая ещё меньше.
тю, у меня на интеле загрузка 2-3% под нагрузкой.
Когда нормальных процессоров ждать, без всей этой фигни?
Ice Lake обещают без спекулятивных дыр
AMD EPYC/Threadripper/Ryzen и так почти без дыр
> AMD EPYC/Threadripper/Ryzen и так почти без дырпишите правильно
"почти без дыр" правильно пишется "с дырами"
какая разница сколько дыр если поиметь могут через любую?
Эти нюансы давно пропатчены в микрокоде или в ОС.
А Zen2 обещают сделать изначально неуязвимым к подобным атакам.
Так что возможно Apple выпустит когда-нибудь маки на AMD ))
Ну а фигле, "security" процессор в epyc встроен. Так что теперь можно и на маки.
Зачем аплу выпускать безглючные решения, когда можно просто засунуть i9 в планшет?
Apple же использует Thunderbolt, так, что пока AMD не придумают что-то быстрее, не перейдут.
Не смешите, а как же PSP?!
> Не смешите, а как же PSP?!Фанбоям интела пора менять методички:
https://www.phoronix.com/scan.php?page=news_item&px=AMD-PSP-...
>> Не смешите, а как же PSP?!
> Фанбоям интела пора менять методички:
> https://www.phoronix.com/scan.php?page=news_item&px=AMD-PSP-...Никогда фанбоем этого не был, у меня AMD. Только новость - баян: там дальше ссылка на Reddit, а на нём обсуждение, что отключается только поддержка PSP в биосе, а не сам PSP :) И что там отключается не до конца людям понятно - документации и разъяснений от компании нет от слова совсем! Кроме того никто не может проверить, что оно действительно отключается и что там отключается.
Там в обсуждениях море сомнений, но конкретика только одна:BIOS PSP Support
Enable/Disable BIOS PSP driver execution (including all C2P/P2C mailbox, Secure S3, fTPM Support)Сам физический модуль, который должен исполнять эту хрень, конечно же, остается на своем месте.
> Там в обсуждениях море сомнений, но конкретика только одна:
> BIOS PSP Support
> Enable/Disable BIOS PSP driver execution (including all C2P/P2C mailbox, Secure S3, fTPM
> Support)
> Сам физический модуль, который должен исполнять эту хрень, конечно же, остается на
> своем месте.Да, т.е. оно отключается только для биоса - сама железяка продолжает работать и что она делает неизвестно.
> Да, т.е. оно отключается только для биоса - сама железяка продолжает работать
> и что она делает неизвестно.В этом то и проблема. Очередная декоративная фича делающая вид что гадость можно убрать, хотя гадость осталась на месте и работает. Фирмварь PSP вроде как довольно много чего делает, поэтому если совсем вырубить PSP - система чего доброго работать перестанет.
А он дырявый?
Это такая же керь как ME.
Ну как бы потенциальная официальная дыра.
А не уязвимость архитектуры проца.
врут поди.
чтобы лучше продавалось.
> Ice Lake обещают без спекулятивных дыр«Обещать – не значит жениться!»
«Обещали бычка, а дали под зад тычка!»
То что в новых покалениях ещё не нашли закладки от Intel и АНБ не значит что их там нет. Так что никогда, просто смиритесь.
Что-то глаз цепляет...
А! Если придерживаться эстетики "покалениях", то нужно писать "смуритесь" :)
Как не нашли? Просто встроили security processor официально и теперь вас будут менеджить даже и не скрывая этот факт, по аналогии с ME. Ну а теперь интел и амд с бэкдорами, вий тоже спалился. И чего вы покупать будете? :)
Мораль сей басни такова: НИКОГДА не подключайте, дети, рабочие компы к сети. Для почты и прогулок по интернету юзайте отдельные компы предпочтительно с открытыми ОС.
Как-то не вяжется "Дети" и "Рабочие компы". А что до прогулок в инете - особой разницы нет.
> Когда нормальных процессоров ждать, без всей этой фигни?дык, полный ebay. Хошь атом до-4ядерного разлива, ht в нем тоже нет, хошь вообще z80. Надежно. Как стонхендж. 4000 лет без капремонта. И примерно так же полезно в хозяйстве.
На днях проскакивала новость про бекдор в VIA C3. Так что может и в Атоме и Зилоге дыр достаточно, просто никто достаточно дотошно не искал.
Это не бекдор, об этом прямо сказано в документации.
Ах, бекдор о котором сказано в документации перестаёт быть бекдором?
А real mode в x86 это тоже бекдор?
> А real mode в x86 это тоже бекдор?если из протектмода ринг3 с инструкциями реалмода можню юзать ринг0 - это бэкдор
> А real mode в x86 это тоже бекдор?SMM mode - бэкдор. Since i386. Учитесь, нубы! В любой момент вашу операционку вышибает SMM handler - и операционка даже предотвратить это не может. Что он там в проприетарном биосе делает - одному AWARD_SW известно, и AMI_SW ему в качель.
>SMM mode - бэкдор.Вот, к стати, да! V86 в long mode (64bit) выпилили, а SMM?
> Since i386.
IMHO попозже его втулили. Вот не помню с 486 или с пентиума.
в 386 SL
> Вот, к стати, да! V86 в long mode (64bit) выпилили, а SMM?Все на месте. Он для thermal events используется и тому подобного. Это если формально. А что реально умеет конкретный smm handler, по каким поводам вызывается, и нет ли там пары случайно забытых багов, "отладочных фич" или какой еще фигни - кто ж его знает?
> IMHO попозже его втулили. Вот не помню с 486 или с пентиума.
В документации SMM вроде бы с самого начала был. Интел с самого начала сделал себе правильное кольцо, получше ваших. Management Engine/бутгад/секурбут и ко - лишь доразвитие политики производителя. А замашки показали еще на заре становления архитектуры.
почему сразу бекдор? :)
в те времена smm использовался по делу. например для эмуляции разного железа для совместимости с dos. можно было использовать usb клаву и мыщь не загружая никаких драйверов, и многое другое.
это сейчас стало модно шпионить и собирать инфу.
> это сейчас стало модно шпионить и собирать инфу.И ещё, например, реальную латентность памяти подкручивать, оставляя на виду "рекордные" ци-фе-р-ки. Ловили такое на интеловых 5000-ных.
Доо, это "технологическое отверстие"
Это один из режимов работы процессора, который включается из 0 кольца. Бекдор сделали те авторы BIOS которые включили этот режим по умолчанию.
> Это один из режимов работы процессора, который включается из 0 кольца. Бекдор
> сделали те авторы BIOS которые включили этот режим по умолчанию.Это один из режимов процессора. Неподконтрольный пользователю и системе, так что все мутно перевели стрелки друг на друга и фигурно отмазываются что бэкдор всучили не они. Интель отмазывается что это всего лишь режим процессора. Биосописаки отмазываются что они всего лишь пользуются режимом процессора. Здорово.
>Хошь атом до-4ядерного разлива, ht в нем тоже нетесть, по этому его придется отключить чтобы не было.
да, кто-то тормоз. И l1 кэш в нем есть, так что, возможно, к этой засаде уязвимы и старые атомы тоже.
Ты можешь посчитать. Можно предположить, что количество ненайденных дыр по времени живёт по распределению Пуассона. Если взять и посмотреть хронологию найденных дыр, можно прикинуть параметры того распределения Пуассона, и экстраполировать зависимость частоты нахождения дыр от времени в будущее. Дальше тебе надо будет выбрать какую-то точку на графике, после которой частота нахождения дыр будет достаточно низкой, например, 1 дыра в год, добавить к той дате год-два на разработку процессора, который не подвержен дырам, которые к тому моменту будут найдены, и будет тебе предсказание о том, когда ждать процессора без всей этой фигни.Правда тут есть один нюанс: предположение о том, что здесь применимо распределение Пуассона, на самом деле, неверное предположение. Оно было бы верным, если бы все дыры уже присутствовали в процессорах (туда не привносили бы новых), и если бы все дыры могут быть найдены с равной вероятностью (что не так: возможно, например, существование целого нового класса дыр, до которого не доковыряются, пока кто-нибудь не словит новую идею). Насколько эти допущения уместны -- судить тебе. Если ты считаешь, что они неуместны, то придётся более сложную модель изобретать. А на более сложную модель может не хватить данных. Впрочем, есть Think Bayes[1], который показывает как можно выкручиваться в ситуациях, когда не хватает данных, и как при этом получать осмысленные ответы на поставленные вопросы.
https://www.amd.com/ru/ryzen
амд продают в любом магазине оргтехники.
тоже не идеал, но из 2 зол...
> амд продают в любом магазине оргтехники.
> тоже не идеал, но из 2 зол...какая разница поимеют тебя через одну дыру из 10 или через одну дыру из 100??? вы вообще мозгом пользуетесь??
Для Вас есть разница, имеют Вас сразу в 100 дыр или в 10?
берите амд до бульдозера включительно - там секьюр процессор отсутствовал, поэтому векторов атак почти нет. Только что надо будет потратиться на охлаждение - емнип они почти все значительно горячее штеудов
С другой стороны, отключение HyperThreading позволяет сразу закрыть целую пачку уязвимостей, в том числе ещё не анонсированных и не найденных (да, я постулирую, что ещё не все найдены), так что, может, проще сразу от него отказаться... Тем паче что в некоторых случаях HT наоборот, снижает производительность.
Когда-то пришло словечко "гипербрединг", теперь пора менять на "гиперврединг".
>Когда-то пришло словечко "гипербрединг", теперь пора менять на "гиперврединг".Чем-то Ваша мысль напомнила: https://vgif.ru/gifs/146/vgif-ru-19596.gif
фигеншутинг
Чем сложнее изделие, тем больше у него заходов.
"Там" как-то плохо понимают...
Вот "ТАМ" это понимают очень, хорошо ;) и этим пользуются.
Падение возникает только тогда, когда "забиты" мультимедийные блоки ЦПУ(ММХ, SSE и т.д) - так как гипертрейдинг и задействует именно эти блоки. Почитайте на досуге что из себя представляет технология HT.
> Падение возникает только тогда, когда "забиты" мультимедийные блоки ЦПУ(ММХ, SSE и т.д)
> - так как гипертрейдинг и задействует именно эти блоки. Почитайте на
> досуге что из себя представляет технология HT.Спасибо, я как бы в курсе, «что из себя представляет технология HT». :)
> мультимедийные блоки ЦПУ(ММХ, SSE и т.д)SIMD блоки назвать "мультимедийными"... мда.
Вполне корректно.
Может, и от спекулятивного исполнения отказаться? А заодно от кешей, а то на тайминги влияют. И от многоядерности с турбобустом, чтобы по энергопотреблению и частоте не было атак. С таким подходом надо сидеть на железе уровня Z80. Ибо всё, что сложнее лома, можно сломать. И тот сломают.
> Может, и от спекулятивного исполнения отказаться? А заодно от кешей, а то
> на тайминги влияют. И от многоядерности с турбобустом, чтобы по энергопотреблению
> и частоте не было атак. С таким подходом надо сидеть на
> железе уровня Z80. Ибо всё, что сложнее лома, можно сломать. И
> тот сломают.А ещё лучше вообще всегда додумывать за собеседника то, что он не думал и не говорил, а потом ловить лулзы от чужого раздражения. Правда?
Я просто продолжил вашу мысль, только и всего. HT - точно такая же технология, позволяющая поднять производительность, как и любая из мною перечисленных.
> Я просто продолжил вашу мысль, только и всего. HT - точно такая
> же технология, позволяющая поднять производительность, как и любая из мною перечисленных.Не совсем такая же. Прежде всего, уязвимости в HT находили давным-давно:
https://www.cvedetails.com/cve/CVE-2005-0109/
https://securelist.ru/tehnologiya-hyperthreading-vredit-krip.../(этот «студент из Оксфорда», кстати, тот самый, кто месяц-два назад вынудил Intel досрочно опубликовать подробности об уязвимости в сопроцессоре)
Тем не менее Intel продолжала упорно продвигать своё видение, так как прирост производительности в ряде ситуаций был слишком заманчивый, а техдолг по доработке... да когда это он волновал (эффективных) менеджеров? :)
Во-вторых, скажем, многоядерность мало чем отличается от многопроцессорности, и... напомнить, сколько проблем приносит параллельное выполнение? Я не про явные ошибки программирования типа неправильного порядка взятия блокировок, а нюансы вроде «процессор 1 поменял значение переменной, а процессор 2 этого ещё не видит» (замените «процессор» на «ядро», если вам так удобнее).
А спекулятивное выполнение вообще невозможно отключить, кроме как программно обманывать (что и делают механизмы защиты от Spectre, к слову).
Пожалуй, единственное из вами перечисленного, что как-то похоже на HT в ситуативном плане, это кеширование. Но пока что, тьфу-тьфу-тьфу, хоть анонсируемые в этом году уязвимости и связаны с доставанием данных из кеша, сам кеш в них винить нельзя. Так что о его отключении речи не идёт.
О том, что проблемы и уязвимости есть, никто не спорит. Просто решение этих проблем не в отказе от технологий, приносящих львиную долю производительности, а в исправлении ошибок в них и защите sensitive софта. И песни про эффективных менеджеров тут совершенно не к месту.К слову о кешах, последние уязвимости связаны с их непосредственным эффектом - ускорением доступа к закешированным данным, пусть и неактуальным. Пока будут кеши, всегда будет возможность отслеживания времени доступа к данным, что является одним из векторов атак.
>Просто решение этих проблем не в отказе от технологий, приносящих львиную долю производительности,Вопрос в том, приносит ли HT прирост производительности, или наоборот вредит (RISC оставим за кадром - там да полностью нагрузить ядро конвеер принципиально не может, поэтому и делают по 4 конвеера на ядро).
За редким исключением, свои 5-30% HT приносит.
> С другой стороны, отключение HyperThreading...не влияет на спекулятивное выполнение. А если все спекулятивное выполнение вырубить - что от интеля останется? Разогнанный 80486?
Будут еще находить уязвимости, раз в квартал где-то. Вот увидите.
> раз в квартал где-то.Очень оптимистично. Скорее будут находить раз в месяц-полтора.
Находить может и раз в месяц, а вот информировать о них не чаще чем раз в квартал!
таки перед выходом нового камня - так маркетологи говорят
Ну и на сколько упадет производительность, если все дыры закрыть?
50-60% ?
на 100. Выключенный процессор гарантировано спасет вас от дыр.
В 486-м никакого предсказания ветвлений не было, а производительность !=0.
> В 486-м никакого предсказания ветвлений не было, а производительность !=0.Это прекрасно. А где можно увидеть подсчет дыр и технологических отверстий в 486? То что в эпоху 486 о таком никто не задумывался, потому что половина использовала DOS или ранние винды где всем можно все - другое дело.
> на 100. Выключенный процессор гарантировано спасет вас от дыр.а про OpenRISC что скажите?
OpenRISC и RISC-V хорошо. Но есть нюанс в виде периферии. Вы или лицензируете мутное нечто у синопсисов и каденсов, надеясь что там не очень нагажено, или у вас получается довольно голое процессорное ядро. С которым делать... например, что?
давно уже пора ввести особый класс уязимостей - Тяп-ляп и в продакшн.
Интел это называла "тик-так".
>> CVE-2018-3615 - извлечение данных из памяти анклавов Intel Software Guard >> Extensions (Intel SGX);Это то гавно, без которого честно купленый блюрей диск хер посмотришь?
> Это то гавно, без которого честно купленый блюрей диск хер посмотришь?В блюрэе диск может официально закирпичить привод, если ему покажется фирмвара привода какая-то неправильная. Что ты хотел, покупая эту троянскую хрь?
интересно, скоро превысится лимит командной строки ядра или буфера строк в grub из-за миллиона параметров, отключающих стопиццот бесполезных и неэффективных "защщит" ?(причем механизм отключения - где-то в самом-самом частовызываемом месте ядра проверяются стопиццот глобальных переменных, еще и непременно обвешанных локами, ну конечно же, это "бесплатно".)
#ifdef обезьяны опять ниасилили - видимо, модный-современный C22 (или сколько уже у них там - 55?) не предполагает препроцессора.
Нахрена ты винду загружаешь grub-ом? И вообще это всё виндопроблемы. Пользователи линкуса просто соберут ядро без "ненужных" защит и будут пользоваться им.
> Пользователи линкуса просто соберут ядро без "ненужных" защитпользователи линyпса будут до посинения "ждать ебилдов" (кстати, rhel прислал мне апдейты еще прошлым вечером - я даже поудивлялся, что за фигня, может старое чего). А потом пересоберут ровно то и так, что им разрешил пересобирать великий и непогрешимый Линус. Потому что выпилить теперь весь этот мусор - задача непосильная не только для "пользователя", безмозглого фанатика опенотсосия, неспособного ни строчки поменять в коде, но и для нормальных людей, не одаренных, к сожалению, грантами интела, редхата и, кстати, microsoft, или хотя бы 48 часами в сутках, и вынужденных на работе еще и работать.
Впрочем, и этих "ждателей ебилдов" 1%, об остальных пользователях заботится unattended-upgrades. Пользуйтесь, заслужили. Зачем вам, действительно, знать, что оно там поапгрейдит.
Главное верить в непогрешимость опенотсосия и в "виндопроблемы".
>> Пользователи линкуса просто соберут ядро без "ненужных" защит
> пользователи линyпса будут до посинения "ждать ебилдов"Знаете, меня АЕН заметно уж лет назад -- примерно когда воевал тут с фряшниками под впечатлением от ушибленности не только never@, на педивикии с тамошними фигурантами ВП:ИСК256, ну и далее по списку -- наставлял: "Миша, обобщайте осторожно".
За науку ему признателен; вот, делюсь.
Михаил, просто покажите ваш код.Удаляющий хотя бы вот из предпоследнего или из "штабильного", пофиг, линуксного ведра все понахреначенные в него вредные и ненужные проверки - kpti/ibrs/чтотамещененужного и вот эту новую радость заодно.
И, до кучи, хоть один неиспорченный ими же виртуализатор - любой, хоть xen, хоть qemu, хоть vbox.А пока, извините, это бла-бла, опять же подкрепленное только истинной верой, что где-то существуют волшебные пользователи линуксов, действительно способные на подобный подвиг (а так же имеющие на него время и вдохновение, а не прикованные к тасклисту, где менеджмент понаставил совсем других задач). Да я скорее поверю что индус в microsoft или узкоглазый в vmware, оставшись без присмотра, такое нахреначит чисто от безделья (а рюйске хакер может даже и сопрет).
P.S. я, если что, попробовал - правда, для freebsd. У меня была пара свободных недель. Хватило ровно до инцидента с debug register. Да, наверное, _еще_ за недельку-другую я бы сумел разобраться, как втянуть эту правку в старый код, но их уже не было, а сходу не получилось.
> Михаил, просто покажите ваш код.Мой всё там же: http://git.altlinux.org/people/mike/packages/?o=age -- а для ядерных задач я пойду к ядерщикам, благо их есть у нас (и в параллельсе, если наших не хватит).
Нет, я понимаю, о чём Вы, но и Вы понимаете, надеюсь, о чём я (пару комментариев с начавшимся феканием кидалиями пришлось удалить).
Вам случаем не говорили, что вас крайне тяжело читать? Неужели нельзя быть проще и без этого позерства..?
> Вам случаем не говорили, что вас крайне тяжело читать?
> Неужели нельзя быть проще и без этого позерства..?Говорили; в данном случае писал скорее конкретному человеку (хотя да, на публике и это стоит учитывать). Спасибо за лишнее напоминание.
Вы всегда можете положиться на старого-доброго Анонимуса!
Давно наблюдаю, что ты ненавидишь опенсорс, но пользуешься им. Это такой вид мазохизма? Казалось бы, что-то ненавидишь, пользуешься альтернативным.
А если альтернативное он тоже ненавидит?
> А если альтернативное он тоже ненавидит?на альтернативное я не потратил пол-жизни, поэтому ненавижу меньше.
ну и я в нем не настоящий сварщик, так, маску на стройке нашел, поэтому, возможно, спокойнее отношусь к мелким недостаткам.В том числе и к тому что выпилить аналогичные сажающие производительность улучшизмы из винды или, скажем, вмвари невозможно в принципе. С другой стороны - ну кому лучше от того, что из линукса/фри "в принципе" - возможно, только никогда и никто не сделает (а сделает так патч не примут по тыще и одной причине) ?
> В том числе и к тому что выпилить аналогичные сажающие производительность улучшизмы
> из винды или, скажем, вмвари невозможно в принципе. С другой стороны
> - ну кому лучше от того, что из линукса/фри "в
> принципе" - возможно, только никогда и никто не сделает (а сделает
> так патч не примут по тыще и одной причине) ?Мнээ... сходу не нашёл упоминание того человека из AMD, который прислал
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... -- но зато перечитал:---
Please talk to management. Because I really see exactly two possibibilities:- Intel never intends to fix anything
OR
- these workarounds should have a way to disable them.
Which of the two is it?
Linus
--- https://lkml.org/lkml/2018/1/3/797Понимаю, что письма != код, но в сеянии паники тоже бы как-то меру знать.
так прикол-то в том что "way to disable them" существует, но, как минимум для kpti в линуксе оказался _тоже_ далеко не бесплатным. Слишком много оказалось затронуто различных тонких механизмов в ядре.Ну и и в принципе чем больше у тебя в коде ненужно-проверок вида "не установлен ли глобальный флажок" (скорее всего еще и обвешанных локами, а не просто обращение к адресу в памяти) - тем хуже оно работает - даже если все флажки возвращают ноль и даже если в этом случае используется банальный jz.
Почему этот вредный мусор оформлен как sysctl (у них процессоры меняются на ходу на новые версии?) а не как нормальная Kconfig фича - спросите у Линуса.
> Главное верить в непогрешимость опенотсосия и в "виндопроблемы".В опенсорсе все на виду. А в винде даже ченжлогов нормальных нет, не говоря о том что изменения соответствуют тому что задекларировано и вовсе невозможно.
И таки если ты не заметил, проблемы лезут от проприетарных вонючек. Проприетарная прошивка ME или security processor. Проприетарный bios/uefi живущий своей жизнью. Проприетарная фирмвара. Проприетарный проц. Проприетарный софт. А вот чтобы опенсорс так махрово на бошку ср@л - даже и не припоминается. Даже блин в андроиде какие-нибудь гугл-тулсы с спайварью все же проприетара, как и мутный RIL. Так что разделение вполне просматривается.
> разрешил пересобирать великий и непогрешимый Линус.А разрешил он столько, что осмысленно сконфигурять ядро - та еще задачка. И кудахтать на эту тему может только тот кто в теме совершенно не разбирается, соответственно.
> Потому что выпилить теперь весь этот мусор - задача непосильная не только для
> "пользователя", безмозглого фанатика опенотсосия, неспособного ни строчки поменять в коде,Меньше ботнетов и спама на наши головы. Хорошо.
> но и для нормальных людей, не одаренных, к сожалению, грантами интела, редхата и, кстати,
> microsoft, или хотя бы 48 часами в сутках, и вынужденных на работе еще и работать.Майкрософт своих хомяков вообще не спрашивает, даже ребут закатывает когда им удобно.
> Главное верить в непогрешимость опенотсосия и в "виндопроблемы".
А таки при наличии рук и мозгов свое взять можно. Это работает, я проверял.
о-ля-ля..и сколько-же домохозяек на убунте, серфящих просторы тырнета соберут себе ядро без защит? ахахаха
Домохозяйки должны шиндовс пользовать и не жаловаться.
На домашней машине - нет никакого смысл их отключать. Да и линукс никогда себя не позиционировал как ОС для домохозяеек. Вся мощь и суть линукса за консолью!
> На домашней машине - нет никакого смысл их отключать. Да и линукс
> никогда себя не позиционировал как ОС для домохозяеек. Вся мощь и
> суть линукса за консолью!Что, Землина оправдываем?
>Проблемам подвержены только процессоры Intel.Слава АМД!
Как-то признала у себя сразу аж 13 уязвимостей.
Это те уязвимости, где нужен рут доступ? Да вообще дыра!
Такое впечатление что на эти уязвимости понабежали чуваки как в свое время звездочеты что бы назвать очередную проблему как звезду своим именем.
>бы назвать очередную проблему как звезду своим именем.Странные у этих звездочётов имена...
> Для защиты систем виртуализации задействован сброс L1-кэша при переключении контекста виртуальных машин.Haxep такую защиту.
вам что, великий светлый путь Линуса, озаренный баблом редхата, не нравится?
Intel все, покойся с миром. Отныне закупаем только Zen2 сервера от Supermicro.
> Intel все, покойся с миром. Отныне закупаем только Zen2 сервера от Supermicro.Точн. Израильские аналитики от безопасности на грантах интела тоже их закупают. Отличная штука, должно быть.
а потом АМД выкатывает свой список уязвимостей, и юзеры опять бегут покупать серваки соседнего лагеря )))
А че..новый метод рубить бабло
Да идите вы все уже с заказами в Raptor Computing Systems :D.
> Да идите вы все уже с заказами в Raptor Computing Systems :D.это ничего что power уязвимы к все тем же side-channel атакам ? впрочем, да, поскольку неуловимый джо нахрен никому не нужен по 16килобаксов за слабоватый десктоп, можно надеяться, что под тебя тайминги подбирать не захотят.
> Intel все, покойся с миром. Отныне закупаем только Zen2 сервера от Supermicro.А что, security processor там нет? Или хватает бэкдоров в BMC от супермикры? А то чудная фирмочка не так давно палилась на "инженерных паролях". Случайно забытых в BMC. Сами понимаете, поменеджить чужой сервер - прикольно, что ни говори.
Ничего страшного. Если мне не изменяет память, то при переключении контекста - очень мало что в кеше полезного для нового остается. Ведь там данные с прошлого контекста, и они быстро забиваются чем-то полезным для данного момента времени. Конечно, что-то немного "оседает", но это крохи. От того и такая низкая потеря производительности от защиты.
>Как вариант блокирования уязвимости отмечается и отключение Hyper-ThreadingТео был прав!!!111
Security via absence of functions is the only way.
WBR, Teo.
> Отмечается, что уязвимости уже устранены в прошлом обновлении микрокодаКоторого не было
Кто-нибудь сравнивал ревизию MCU у себя (dmesg | grep microcode) с той, что указана в Microcode update guidance? У меня не та, что должна быть...https://www.intel.com/content/dam/www/public/us/en/documents...
Сам спросил - сам ответилСкачал с сайта интела пакет с микрокодом, далее следовал инструкции:
How to install Intel processor microcode blob for Linux
https://www.cyberciti.biz/faq/install-update-intel-microcode.../И теперь у меня та самая ревизия, что и в Microcode update guidance
Странно это, почему автоматом не прилетело? Ubuntu 18.04.1 LTS
> Странно это, почему автоматом не прилетело? Ubuntu 18.04.1 LTSНу так повесь им баг что мол микрокод старый. У убунты это наверное одним чихом прилетает в пакете Linux Firmware. Метров сто весит. В дебиане сейчас это покультурнее напилили.
Мне кажется, пора менять парадигму защиты с "не дадим вам доступа до тайных данных" на "а вот хрен вы эти данные расшифруете, даже есть (точнее когда) доберетесь!".Другими словами - не хранить секретные данные незашифрованными.
FreeBSD вчера уже выкатили патч
https://security.freebsd.org/advisories/FreeBSD-SA-18:09.l1t...
а что это такое FreeBSD ?
> а что это такое FreeBSD ?BDSM нахаляву, даже название намекает.
>> а что это такое FreeBSD ?
> BDSM нахаляву, даже название намекает.Название в такой интерпретации намекает на необходимость посещение офтальмологя или предпринятия попытки читать все же глазами.
По Фрейду, тут может быть еще намек на некоторые неосознанные сексуальные желания, но оставим старого кокаинщика на другой раз.
Тут всю систему нужно менять.
Слишком много времени и сил вложено в программные и аппаратные компоненты. Поменять что-то значительно не получится. x64 на компах, ARM в мобилках и встраиваемых системах. Периферию и связанное с ней ПО частично можно поменять, в т.ч. сделать свою поддержку сети без закладок (аппаратно и программно).
У меня от этих спектральных патчей DX:MD начал адовейше тормозить на 8-ядерном зионе 2665.
Для игр есть Windows.
У меня от этих спектральных патчей оракловое ядро спорадически уходит в ребут без каких-либо уведомлений. Пришлось выключить пока.
А собсно какого ... на Интел никто не подает в суд?! И почему он не выплачивает компенсацию всем владельцам этого барахла?! Которая там уже по счету уязвимость, и бабки-то немалые намыты на этом хламе!
Ага, только требовать с них не денег, а РАСКРЫТИЯ ИНФОРМАЦИИ о всяких бяках в их "камнях".
>А собсно какого ... на Интел никто не подает в суд?А что, что-то работает не так, как заявлено в документации?
Коллективные иски поданы, просто это так быстро не работает.
Вобще интел настоящие горячие говна, тысяч уязвимости... Дорогостоящие..
А где нет этого всего? ARM? AMD?
У амыды нету, там только спектр, который вообще процессор-агностик.
Ccsлка на первоисточник почему-то не ведёт на сайт нужный