Pull to refresh
111.11
Cloud4Y
#1 Корпоративный облачный провайдер

Intel предупреждает пользователей о «неисправности» патчей Spectre-Meltdown

Reading time 3 min
Views 26K
Original author: Swati Khandelwal


Не устанавливайте патчи от Intel для исправления уязвимостей Spectre в Linux-системах.


Intel в понедельник предупредила о том, что следует прекратить установку текущих версий патчей для Spectre (CVE-2017-5715), которые Линус Торвальдс отметил комментарием «абсолютнейший мусор».

Spectre (проверка обхода границ массива CVE-2017-5753, инъекция целевой ветви CVE-2017-5715) и Meltdown (CVE-2017-5754 — «расплавляет» разграничение доступа к страницам памяти, лечится KPTI-патчем) представляют собой уязвимости, обнаруженные исследователями в начале этого месяца во многих процессорах Intel, ARM и AMD, используемых в современных ПК, серверах и смартфонах. Они могут позволить злоумышленникам украсть ваши пароли, ключи шифрования и другую личную информацию.

С прошлой недели пользователи начали сообщать, что после установки пакета обновлений безопасности, выпущенного Intel, они столкнулись с проблемами, которых не было ранее. Например, спонтанные перезагрузки и другое «непредсказуемое» поведение системы.

Осознав эти проблемы, Intel рекомендовала OEM-производителям, поставщикам облачных услуг, производителям систем, поставщикам программного обеспечения, а также конечным пользователям прекратить установку текущих версий обновлений до тех пор, пока чип-гигант не разработает «a solution to address it».
«В настоящее время мы определили основную причину проблем для платформ Broadwell и Haswell и добились значительных успехов в разработке решения», — говорится в пресс-релизе Intel, опубликованном в понедельник.
«В минувшие выходные мы начали тестирование ранней версии обновленного патча с отраслевыми партнерами. Мы опубликуем окончательную версию, как только тестирование будет завершено».
Между тем, в открытом электронном письме Линус Торвальдс эмоционально заявляет, что он недоволен подходом Intel к защите ядра Linux от уязвимостей Spectre и Meltdown:
«Они творят безумные вещи. Они делают то, что не имеет смысла… Я в самом деле не хочу, чтобы эти мусорные патчи были бездумно отправлены… Я думаю, нам нужно что-то лучшее, чем этот мусор». — сказал Торвальдс.
Использование патчей от Intel требует, чтобы пользователи вручную включали и выключали исправление во время загрузки компьютеров, в то время как исправления безопасности для такой критической уязвимости должны применяться автоматически.

Это связано с тем, что «Indirect Branch Restricted Speculation» или IBRS — один из трёх новых аппаратных патчей, предлагаемых Intel для микрокода CPU, настолько неэффективен, что приводит к серьезному удару по производительности. Другими словами, чтобы предотвратить низкую производительность в тестах, Intel предлагает пользователям выбирать между производительностью и безопасностью.
The whole IBRS_ALL feature to me (Linus Torvalds) very clearly says «Intel is not serious about this, we'll have a ugly hack that will be so expensive that we don't want to enable it by default, because that would look bad in benchmarks».
Другими исправлениями являются Page Table Isolation (pti) против Meltdown и Indirect Branch Prediction Barriers (IBPB), также как и IBRS, против Spectre (CVE-2017-5715).

Полный текст призыва одуматься инженерам Intel от Линуса Торвальдса можно найти здесь.

Red Hat, VMware, Lenovo и другие вендоры из-за жалоб пользователей приняли решение отозвать патчи. Новые патчи Intel будут доступны в ближайшее время. Мы обновим эту новость после их выхода.

Ранее мы писали на Хабре о том, насколько медленнее будут ваша система после патчей для Spectre-Meltdown.

Стоит отметить, что до обновлений от Intel, специалисты Google выпустили программную конструкцию retpoline, созданную ими для защиты от атак Spectre и обладающую меньшими накладными расходами.

Подробнее о Retpoline

Intel опубликовала результаты тестирования производительности серверных систем


Ранее были предоставлены данные о производительности для клиентских систем, а 17 января появились результаты использования систем с обновлениями безопасности на стороне центров обработки данных. Эти результаты получены в соответствии с отраслевыми стандартами и полезны, но в конечном итоге для клиентов важнее их собственные рабочие нагрузки. На сегодняшний день протестированы серверные платформы с системами Intel Xeon Scalable (Skylake) с новейшей серверной микроархитектурой.

Как и ожидалось, результаты тестирования показывают разное влияние на производительность, которое варьируется в зависимости от конкретных рабочих нагрузок и конфигураций. Система с нагрузкой, которая включает в себя большее количество изменений привилегий пользователя/ядра будет иметь большее снижение производительности.


Результаты бенчмарков

Tags:
Hubs:
+33
Comments 58
Comments Comments 58

Articles

Information

Website
www.cloud4y.ru
Registered
Founded
2009
Employees
51–100 employees
Location
Россия
Representative