Sokat lassít az Intel CPU-kban talált hiba javítása

kami911 képe

Nem jól indul az év az Intel számára, ugyanis láthatóan idő előtt kiderült egy hardveres hiba, amely a jelenlegi adatok szerint érinti a vállalat összes modernebb processzorát. Nemrég ugyanis Linus Torvalds beolvasztotta a kernelfájljába a kernel laptábla izolációját, amely segít a felhasználói és a kernelmemória jobb elszigetelésében.

Ez elvileg a jobb biztonságot szolgálná, de végül kiderült, hogy valójában azért van rá szükség, mert az Intel processzoraiban egy olyan tervezési hibára lettek figyelmesek, amelyet nem lehetett szimplán mikrokódfrissítéssel megoldani, így magasabb szinten, vagyis lényegében az operációs rendszeren belül kellett javítani a problémát. Itt alapvetően arról van szó, hogy a Linux (és más modernebb operációs rendszerek) korábban úgy dolgoztak, hogy a felhasználói szintű kódok, vagyis az alkalmazások futtatásakor a teljes kernelmemória leképezésre került a laptáblákba, miközben persze védve volt. Ennek az az előnye, hogy ha az adott alkalmazás például egy rendszerhívást intéz a kernel felé, akkor az gyorsan elérhető, tehát az esetleges kontextusváltásból eredő többletterhelések nagy hatékonysággal iktathatók ki.

A fenti modell kialakításában sokat segített az ASLR (address space layout randomization) technika, amit még az előző évtizedben fejlesztettek ki, és ez megnehezítette a kernel oldali sebezhetőségek kihasználását. Az Intel processzoraiban azonban egy olyan hardveres hiba van, ami lehetővé tesz bizonyos külső támadásokat, amelyek magát az implementációt érintő hardveres problémákat kihasználva hozzáférhetnek a memóriában tárolt adatokhoz, ezen belül is a kernelmemóriához.

Lényegében a fentiek miatt készült el a kernel laptábla izolációja, ami gyakorlatilag teljesen elszeparálja a felhasználói és a kernelszintű laptáblákat, aminek a hátránya a megnövekedő többletterhelés. Persze az újabb Intel processzorokkal a TLB, vagyis a translation lookaside buffer kiürítése elkerülhető a PCID-t (process context identifiers) használva, de az egyéb többletterhelések már nem, így azoknál az alkalmazásoknál, amelyek viszonylag sok rendszerhívást vagy megszakítást igényelnek, a teljesítmény akár 30%-kal is eshet. Az ebből a szempontból finomabb munkafolyamatok során nagyjából 5%-os tempóvesztéssel lehet számolni.

További részletek a Prohardveren.

Kiegészítés: Az AMD processzorai nem érintettek - jelenlegi ismereteink szerint. Az első, már beolvasztott patch minden CPU-t hibásnak jelzett, de az AMD a LKML szerint beküldött egy olyan javítást, amely az AMD processzoroknál kikapcsolja ezt a további védelmet.

AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against.  The AMD microarchitecture
does not allow memory references, including speculative references, that
access higher privileged data when running in a lesser privileged mode
when that access would result in a page fault.

Tehát az AMD nem érintett abban a támadási formában ami ellen a kernel page table isolation védene. Az eredetileg beküldött patch az AMD processzorait is hibásnak jelölte. A Phoronix-en megjelent tesztek szerint, a játékokat nem igazán, azonban az I/O érzékeny alkalmazásokat (adatbázis-kezelő, virtualizáció, sok fájlrendszer-műveletet végző alkalmazások) meglehetősen érinti ez a hibajavítás.

Bár az AMD nem érintett a hibában, a legújabb fejlesztés alatt álló kernel egyelőre hibásként ismeri fel.

(Forrás: Prohardver, Phoronix)

 

Hozzászólások

keraform képe

Sokat lassít az Intel CPU-kban talált hiba javítása

#1

"valószínűleg a valaha talált egyik legsúlyosabb számítógéphibáról van szó"

https://888.hu/article-szinte-minden-gepet-fenyeget-a-legismertebb-proce...

 

Értékelés: 

0
Még nincs értékelve
kimarite képe

Példás gyorsaság!!

#1.1 „Most azonban olyan dolog történt, amire korábban nem volt példa.”
http://hvg.hu/tudomany/20180104_intel_processzor_hiba_microsoft_windows_...

A fogalmazáson besza-behu ... ! ':D'
A hávégé sosem a megfogalmazásairól volt híres, de ez a cikke vélhetően erősen PR hatás.
.. ami a szomorú, a Linux rendszert, mintha nem is ismernék. Vagy például olvasnának Logout-ot ..., ismernék.

Értékelés: 

0
Még nincs értékelve
kimarite képe

Sokat lassít az Intel CPU-kban talált hiba javítása

#1 Rövid 'hír'. De igazából az új hozzászólás helyét most nem találom. (< frissítés: megvan)

Az AMD frissítette, a január 3-án kiadott, CPU bugokkal kapcsolatos állásfoglalását.
A frissített közlemény itt olvasható.
https://hup.hu/cikkek/20180112/frissitette_az_amd_a_cpu_bugokkal_kapcsolatos_allasfoglalasat

-----

Szerk.: A technológiai világ még mindig aktívan dolgozik a frissen felfedezett Meltdown és Spectre sérülékenységek javításán. A probléma nagyon komplex és nincs univerzális javítás, amivel egycsapásra minden rendszeren és processzoron orvosolhatóak lennének a sebezhetőségek. Arról nem is beszélve, hogy egyes javítások egyes környezetekben drasztikus teljesítménycsökkenést eredményeznek.
... https://androbit.net/mini/3689/felere_csokkenti_az_iphone_6_teljesitmeny...

Ezúttal a még mindig igen elterjedt Apple iPhone 6 került sorra, aminek teljesítménye a legfrissebb mérések szerint átlagosan 39-41 százalékkal esett vissza a javítás telepítése után, de böngészésnél akár 60 százalékot közelítő visszaesésre is lehet számítani.

Értékelés: 

0
Még nincs értékelve
kimarite képe

Phoronix benchmark: https:/

Phoronix benchmark: https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=2

Jó hír: A kernel fordítás és a játékok nem lett lassabbak
Rossz hír: I/O elérés, PostgreSQL, Redis stb. jelentősen lassul.
-- https://hup.hu/cikkek/20180102/egy_az_intel_processzorokban_levo_terveze...

Értékelés: 

0
Még nincs értékelve
kami911 képe

Phoronix benchmark: https:/

#2 pont ezekről írtam a kiegészítés részben :D

Értékelés: 

0
Még nincs értékelve
kimarite képe

Phoronix benchmark

#2.1 Kérhetsz majd egy csokit. Ma ettem egy 90%-os kakaósat. :D
Amúgy amit írtál .. érdekes. ;) :)))
(szerk.: jól áll neked a szőke haj ;) :D)

Értékelés: 

0
Még nincs értékelve

Intel proci

Két érdekesség Kínából:

https://prohardver.hu/hir/baidu_amd_epyc_egyutas_platform.html

http://www.origo.hu/techbazis/20180102-kinai-processzor-zhaoxin-via.html

 

A kínaiak talán hamarabb észrevették a hibát. Szoktam néha nézegetni használt konfigokat. Az Intel 32 mikronos és újabb procik akkor ha jól értelmezem a hírt akkor már veszélyeztetettek. A jövőben inkább kihagyon az Intel chippes hálókártyákat is meg minden Intel Inside-os cuccot, ha csak magamnak rakok össze valamit.

Régen volt a Cyrix is.  Ez a név a VIA céghez került tudtommal. Következő konfigomba, majd kipróbálok egy ilyen összeállítást.

Routerben TP-Link LEDE rendszerrel, vagy a Mikrotik bármely terméke, Lan chipsetben a Realtek amit én személy szerint használni szeretek.

Értékelés: 

0
Még nincs értékelve
tresor képe

Intel proci

#3 Saját fejlesztésű kínai processzorról már lehetett olvasni 1-2 éve. Az indokuk a kifejlesztésre teljesen megérthető, miután a Snowden botrány és az NSA állítólagos kiskapui kezdtek egyrenagyobb figyelmet kapni.

Értékelés: 

0
Még nincs értékelve

NSA

Elgondolkoztató, amit írtál. Hát ez nem szép dolog az NSA részéről:)

Nem mintha abban a hitben lennék, hogy be tudok szerezni bármilyen olyan informatikai cuccot, amihez nincs meg nekik a preparált firmware-jük.

Most már kezdek arra is gondolni, hogy amikor a LEDE-t telepítettem a routerre, akkor is alkalmuk nyílna elktérítgetni a frissítési csatornákat. Ami mondjuk engem személy szerint zavar, hogy az USA-n kívűl is kémkednek. Tudtommal a kibertámadás is háborús cselekménynek minősül. Kivéve ha a nagyok csinálják. Mert akkor azt mondják: "Nem ellenetek, hanem értetek kémkedünk".

Ha pl telepítek offline egy Linux Mintet, akkor nem lesz minden része magyar, néhány szöveg angol marad. Utána már hiába töltöm le a frissítéseket, akkor sem változik ez meg. Igazábó,l ha azt szeretném elérni, hogy a "eredeti" Linux mint kerüljön a gépemre, és ne az NSA verzió, akkor mi az eljárás? Nyilván magyarra kell állítani minden tükörszervert. De van valami frissítés, amit akamai, amazonaws vagy cloudforge.net és társai szervereiről szed le? Hátha esetleg majd a jövőben ezekhez is hozzá szeretne férni az említett banda? Hogy lehet azt megoldani, hogy offline telepítés esetén is mindegy magyarra tudjak állítani úgy, hogy nem veszek igénybe Magyarországon kívűli szerevert?

 

Értékelés: 

0
Még nincs értékelve