Nem jól indul az év az Intel számára, ugyanis láthatóan idő előtt kiderült egy hardveres hiba, amely a jelenlegi adatok szerint érinti a vállalat összes modernebb processzorát. Nemrég ugyanis Linus Torvalds beolvasztotta a kernelfájljába a kernel laptábla izolációját, amely segít a felhasználói és a kernelmemória jobb elszigetelésében.
Ez elvileg a jobb biztonságot szolgálná, de végül kiderült, hogy valójában azért van rá szükség, mert az Intel processzoraiban egy olyan tervezési hibára lettek figyelmesek, amelyet nem lehetett szimplán mikrokódfrissítéssel megoldani, így magasabb szinten, vagyis lényegében az operációs rendszeren belül kellett javítani a problémát. Itt alapvetően arról van szó, hogy a Linux (és más modernebb operációs rendszerek) korábban úgy dolgoztak, hogy a felhasználói szintű kódok, vagyis az alkalmazások futtatásakor a teljes kernelmemória leképezésre került a laptáblákba, miközben persze védve volt. Ennek az az előnye, hogy ha az adott alkalmazás például egy rendszerhívást intéz a kernel felé, akkor az gyorsan elérhető, tehát az esetleges kontextusváltásból eredő többletterhelések nagy hatékonysággal iktathatók ki.
A fenti modell kialakításában sokat segített az ASLR (address space layout randomization) technika, amit még az előző évtizedben fejlesztettek ki, és ez megnehezítette a kernel oldali sebezhetőségek kihasználását. Az Intel processzoraiban azonban egy olyan hardveres hiba van, ami lehetővé tesz bizonyos külső támadásokat, amelyek magát az implementációt érintő hardveres problémákat kihasználva hozzáférhetnek a memóriában tárolt adatokhoz, ezen belül is a kernelmemóriához.
Lényegében a fentiek miatt készült el a kernel laptábla izolációja, ami gyakorlatilag teljesen elszeparálja a felhasználói és a kernelszintű laptáblákat, aminek a hátránya a megnövekedő többletterhelés. Persze az újabb Intel processzorokkal a TLB, vagyis a translation lookaside buffer kiürítése elkerülhető a PCID-t (process context identifiers) használva, de az egyéb többletterhelések már nem, így azoknál az alkalmazásoknál, amelyek viszonylag sok rendszerhívást vagy megszakítást igényelnek, a teljesítmény akár 30%-kal is eshet. Az ebből a szempontból finomabb munkafolyamatok során nagyjából 5%-os tempóvesztéssel lehet számolni.
További részletek a Prohardveren.
Kiegészítés: Az AMD processzorai nem érintettek - jelenlegi ismereteink szerint. Az első, már beolvasztott patch minden CPU-t hibásnak jelzett, de az AMD a LKML szerint beküldött egy olyan javítást, amely az AMD processzoroknál kikapcsolja ezt a további védelmet.
AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against. The AMD microarchitecture
does not allow memory references, including speculative references, that
access higher privileged data when running in a lesser privileged mode
when that access would result in a page fault.
Tehát az AMD nem érintett abban a támadási formában ami ellen a kernel page table isolation védene. Az eredetileg beküldött patch az AMD processzorait is hibásnak jelölte. A Phoronix-en megjelent tesztek szerint, a játékokat nem igazán, azonban az I/O érzékeny alkalmazásokat (adatbázis-kezelő, virtualizáció, sok fájlrendszer-műveletet végző alkalmazások) meglehetősen érinti ez a hibajavítás.
Bár az AMD nem érintett a hibában, a legújabb fejlesztés alatt álló kernel egyelőre hibásként ismeri fel.
(Forrás: Prohardver, Phoronix)
Hozzászólások
Phoronix benchmark: https:/
Beküldte kimarite -
Értékelés:
Phoronix benchmark: https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=2
Jó hír: A kernel fordítás és a játékok nem lett lassabbak
Rossz hír: I/O elérés, PostgreSQL, Redis stb. jelentősen lassul.
-- https://hup.hu/cikkek/20180102/egy_az_intel_processzorokban_levo_terveze...
Phoronix benchmark: https:/
Beküldte kami911 -
Értékelés:
Phoronix benchmark
Beküldte kimarite -
Értékelés:
Amúgy amit írtál .. érdekes. ;) :)))
(szerk.: jól áll neked a szőke haj ;) :D)
Intel proci
Beküldte Mintuser -
Értékelés:
Két érdekesség Kínából:
https://prohardver.hu/hir/baidu_amd_epyc_egyutas_platform.html
http://www.origo.hu/techbazis/20180102-kinai-processzor-zhaoxin-via.html
A kínaiak talán hamarabb észrevették a hibát. Szoktam néha nézegetni használt konfigokat. Az Intel 32 mikronos és újabb procik akkor ha jól értelmezem a hírt akkor már veszélyeztetettek. A jövőben inkább kihagyon az Intel chippes hálókártyákat is meg minden Intel Inside-os cuccot, ha csak magamnak rakok össze valamit.
Régen volt a Cyrix is. Ez a név a VIA céghez került tudtommal. Következő konfigomba, majd kipróbálok egy ilyen összeállítást.
Routerben TP-Link LEDE rendszerrel, vagy a Mikrotik bármely terméke, Lan chipsetben a Realtek amit én személy szerint használni szeretek.
NSA
Beküldte Mintuser -
Értékelés:
Elgondolkoztató, amit írtál. Hát ez nem szép dolog az NSA részéről:)
Nem mintha abban a hitben lennék, hogy be tudok szerezni bármilyen olyan informatikai cuccot, amihez nincs meg nekik a preparált firmware-jük.
Most már kezdek arra is gondolni, hogy amikor a LEDE-t telepítettem a routerre, akkor is alkalmuk nyílna elktérítgetni a frissítési csatornákat. Ami mondjuk engem személy szerint zavar, hogy az USA-n kívűl is kémkednek. Tudtommal a kibertámadás is háborús cselekménynek minősül. Kivéve ha a nagyok csinálják. Mert akkor azt mondják: "Nem ellenetek, hanem értetek kémkedünk".
Ha pl telepítek offline egy Linux Mintet, akkor nem lesz minden része magyar, néhány szöveg angol marad. Utána már hiába töltöm le a frissítéseket, akkor sem változik ez meg. Igazábó,l ha azt szeretném elérni, hogy a "eredeti" Linux mint kerüljön a gépemre, és ne az NSA verzió, akkor mi az eljárás? Nyilván magyarra kell állítani minden tükörszervert. De van valami frissítés, amit akamai, amazonaws vagy cloudforge.net és társai szervereiről szed le? Hátha esetleg majd a jövőben ezekhez is hozzá szeretne férni az említett banda? Hogy lehet azt megoldani, hogy offline telepítés esetén is mindegy magyarra tudjak állítani úgy, hogy nem veszek igénybe Magyarországon kívűli szerevert?