The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

20.02.2018 10:30  Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак Spectre и Meltdown

Разработчики FreeBSD интегрировали в ветку 11-STABLE набор патчей, блокирующих проведение атак Spectre и Meltdown. Защита от Meltdown базируется на уже опробованной в других ОС технике PTI (Page Table Isolation), основанной на разделении таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Патч также включает оптимизации при помощи инструкции PCID, позволяющие снизить негативное влияние на производительность при включении PTI.

Защита от второго варианта атаки Spectre основана на использования режима IBRS (Indirect Branch Restricted Speculation), представленного компанией Intel в недавнем обновлении микрокода. IBRS позволяет во время работы в зависимости от ситуации разрешать и запрещать спекулятивное выполнение косвенных переходов, например, запрещать во время обработки прерываний, системных вызовов и переключений контекста.

Для применения защиты от Spectre обязательно требуется наличие обновлённого микрокода для процессоров Intel, которое пока проходит тестирование OEM-производителями перед началом массового распространения. Применение IBRS может быть отключено через sysctl, но PTI пока неотключаем, с чем в основном и связаны основные пожелания пользователей, участвующих в обсуждении.

Дополнительно можно отметить выпуск обновления QEMU 2.11.1, в котором представлен механизм защиты от Spectre и Meltdown для гостевых систем, работающих под управлением гипервизора KVM. Защита от Meltdown основана на патчах KPTI, а защита от Spectre построена с привлечением IBRS (Indirect Branch Restricted Speculation) и IBPB (Indirect Branch Prediction Barriers), предложенных в обновлённом микрокоде Intel и AMD.

  1. Главная ссылка к новости (https://lists.freebsd.org/pipe...)
  2. OpenNews: Представлены новые виды атак MeltdownPrime и SpectrePrime
  3. OpenNews: Компания Intel подготовила новый вариант микрокода для противостояния уязвимости Spectre
  4. OpenNews: Линус Торвальдс жестко раскритиковал связанные с микрокодом патчи Intel
  5. OpenNews: Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre
  6. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: spectre, cpu, meltdown, freebsd, qemu
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, A.Stahl (ok), 10:34, 20/02/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +11 +/
    >предложили для обсуждения начальный вариант патчей

    Это даже круче чем новость о выпуске альфа-версии инсталлятора для Дебиан...

     
     
  • 2.2, Аноним (-), 10:46, 20/02/2018 [^] [ответить]    [к модератору]
  • –4 +/
    >Это даже круче чем новость о выпуске альфа-версии инсталлятора для Дебиан...

    Во! Во! Люди делом занимаются, а эти из соседней темы, 200000$ на бабские кружева пускают

     
     
  • 3.12, Аноним (-), 13:30, 20/02/2018 [^] [ответить]    [к модератору]
  • –3 +/
    > Люди делом занимаются

    * Copy&Paste
    * Refactoring Linux code for *BSD

     
  • 3.28, Аноним (-), 09:41, 21/02/2018 [^] [ответить]     [к модератору]
  • +1 +/
    Чо ты на бабские кружева возбудился Бабам они нравятся, а ты завидуешь ... весь текст скрыт [показать]
     
  • 2.4, Andrey Mitrofanov (?), 11:02, 20/02/2018 [^] [ответить]    [к модератору]  
  • +/
    >>предложили для обсуждения начальный вариант патчей
    > Это даже круче чем новость о выпуске альфа-версии инсталлятора для Дебиан...

    Новость об альфа-версии фикшенного процассера интель бужет ещё ипичнее. Рынки порвёт.

     
  • 2.14, Аноним (-), 15:06, 20/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Еще круче цитировать что-то несуществующее хотя аксакалам не привыкать Пред... весь текст скрыт [показать]
     
  • 1.3, я (?), 11:00, 20/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    ну как бы заголовок новости некорректный.
    Предложили еще месяц назад.
    Ссылка указана на коммит уже в 11-STABLE.
     
     
  • 2.11, пох (?), 12:42, 20/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    который, к сожалению, будет очень непросто теперь откатить.

    Ну просто феерические мyдаки.

     
  • 1.5, X4asd (ok), 11:26, 20/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Дополнительно можно отметить выпуск обновления QEMU 2.11.1, в котором представлен механизм защиты от Spectre и Meltdown для гостевых систем, работающих под управлением гипервизора KVM.

    отлично!

    > Защита от Meltdown основана на патчах KPTI,

    нифига не ясно! как можно засунуть KPTI внутрь Qemu, учитывая что Qemu работает как обычная программа (даже без привелегий root)? как она сделает разделение на страницы?

    > а защита от Spectre построена с привлечением инструкций IBRS (Indirect Branch Restricted Speculation) и IBPB (Indirect Branch Prediction Barriers), предложенных в обновлённом микрокоде Intel и AMD.

    вообще не ясно, что за режим IBRS/IBPB был выбран? какие показатели падения производительности в итоге стали?

     
     
  • 2.6, Аноним (-), 11:39, 20/02/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    в случае QUEMU - он же эмулирует поведение процессора. если он эмулирует поведение хренового процессов, то уязвимость гостевой системы повышается. а если эмулирует уже патченный, то все хорошо
     
  • 2.9, Andrey Mitrofanov (?), 12:13, 20/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >> Защита от Meltdown основана на патчах KPTI,
    > нифига не ясно! как можно засунуть KPTI внутрь Qemu, учитывая что Qemu
    > работает как обычная программа (даже без привелегий root)? как она сделает
    > разделение на страницы?

    Там. По ссылкам. Не QEMU. Ядра. Патчах ядер.

    [I]" (Meltdown mitigation via KPTI does not require additional CPU functionality or microcode, and does not require an updated QEMU, only the related guest/host kernel patches). "[/I]

     
     
  • 3.10, X4asd (ok), 12:18, 20/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    то есть в Qemu поправили Meltdown через правки -- хостового ядра и гостевых ядер?

    а программисты Qemu молодцы :-)

     
  • 2.13, Аноним (-), 13:45, 20/02/2018 [^] [ответить]    [к модератору]  
  • +/
    kvm?
     
     
  • 3.31, Аноним (-), 17:39, 21/02/2018 [^] [ответить]     [к модератору]  
  • +/
    а чо kvm kvm пусть сами у себя правят afaik, у них и так таблица страниц отде... весь текст скрыт [показать]
     
  • 1.7, поледанныхотсутств (?), 11:41, 20/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    А как на счёт MeltdownPrime и SpectrePrime ?
     
     
  • 2.8, Neptus (?), 11:45, 20/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Праймы - это производные от Meltdown и Spctre. Т.е. без них уже не живут....
     
  • 2.20, anonymous (??), 16:25, 20/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Новость про них почитай.
     
  • 1.15, Аноним (-), 15:21, 20/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    amd64 amd64 machdep c CODE pti pti_get_default TUNABLE_INT_FETCH... весь текст скрыт [показать]
     
     
  • 2.17, пох (?), 15:46, 20/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > т.е. принципиально штатная возможность есть

    только сломана, поэтому и nofetch

    > Такое чувство, что плюнули на все, лишь бы как можно быстрее выкатить патч.

    именно так, смузи...простите, гранты freebsd foundation не могут долго ждать, а по ним нужно отчитываться.

    Подобная вредная дрянь, затрагивающая кучу тонких мест в системе, должна была быть выпущена в виде feature, специально включаемой в конфиге, а не kernel tunable, с кучей проверок на ходу.

     
     
  • 3.18, Аноним (-), 16:05, 20/02/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    Ближе бздеконец
     
  • 3.21, тот самый Аноним (?), 16:42, 20/02/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    >> Такое чувство, что плюнули на все, лишь бы как можно быстрее выкатить патч.
    > именно так, смузи...простите, гранты freebsd foundation не могут долго ждать, а по
    > ним нужно отчитываться.

    Однако, следует упомянуть, что сообщили о дыре им уже ближе к концу декабря.
    А перепончатые, гордо задрав гузку и мигом забыв, что дыру они нашли совсем не сами и полугодовой форе в исправлении обязанны одному из основных, платиновых танцовальщиков - наперегонки уже ехидничали о тормозах "бздунов".
    Так что будем надеяться на лучшее.

     
     
  • 4.22, пох (?), 18:00, 20/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Однако, следует упомянуть, что сообщили о дыре им уже ближе к концу декабря.

    а какая разница - копипастили-то из понятно чего, а оно тоже только в это же время стало доступным.

    > Так что будем надеяться на лучшее.

    на svn up -r 329450 мы будем надеяться.
    И на то, что cherry-picking вручную не окажется слишком уж сложным занятием - большинство последних патчей в STABLE - полнейший мусор (то нечто для малинок, на которых один хрен до 12 работать ничего не будет, linuxKPI, какие-то sponsored by Mellanox, актуальные только их владельцам, которым все равно надо отслеживать первоисточник и т д)

    А к 12й версии, из которой это выпилить слишком геморройно (надо откатить не один и не два комита в правильном порядке, и не задеть ничего рядом), либо шах, либо ишак, либо сам Ходжа...

    да, llvm они, к счастью, пока не изуродовали аналогичными gcc патчами.

    надежды на то, что кто-нибудь поборет брезгливость, и переделает весь этот мусор в #ifdef FEATURE - и что такой патч примут - ноль, к сожалению.

     
  • 3.32, Джон Ленин (?), 21:14, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Вы уже своим смузи всё кругом затопили, перестаньте течь.

    У вас то фряха плохая, что в ней системды нет и вяленда с удевом; то фряха хорошая потому-что из неё яблоки делают (и системда с вялендом там как-бы есть); то у вас линукс плох потому-что там системда с вялендом, то наоборот хороший потому, что там вяленд с системдой содран с яблок.

    Заползите в какие-то кусты, и умрите от передоза, пожалуйста.
    Спасибо за внимание.

     
  • 2.23, Led (ok), 02:58, 21/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > т.е. принципиально штатная возможность есть, нужно только убрать nofetch

    Да, но пока нет.

    Жедитоб, залогинься.

     
  • 1.24, pavlinux (ok), 04:15, 21/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Пестят, Spectre v1 НИГДЕ ЕЩЁ НЕ ЗАКРЫТ.  IBRS/IBPB...  - пурген в глаза акционеров и NASDAQ

    И да, IBRS/IBPB - это не инструкции, это MSR-команды.  

     
     
  • 2.26, Аноним (-), 07:19, 21/02/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    У кого-надо - закрыт может быть Была-же новость про выпуск бетта-прошивки д... весь текст скрыт [показать]
     
     
  • 3.30, pavlinux (ok), 17:26, 21/02/2018 [^] [ответить]    [к модератору]  
  • +/
    >> Spectre v1 НИГДЕ ЕЩЁ НЕ ЗАКРЫТ
    > У "кого-надо" - закрыт (может быть). Была-же новость про

    Новость, новость... обе, IBRS и IBPB, можно заставить ОСи отрубить на время. /* EOF NDA */

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor