PCDVD數位科技討論區 - Intel CPU嚴重漏洞，修復後會降低約30%性能

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)

- 七嘴八舌異言堂 (https://www.pcdvd.com.tw/forumdisplay.php?f=12)

- - Intel CPU嚴重漏洞，修復後會降低約30%性能 (https://www.pcdvd.com.tw/showthread.php?t=1140105)

anyway, 這次有三大包~~AMD認了一條, intel官方目前好像還沒正式回覆
http://www.amd.com/en/corporate/speculative-execution

如果windows更新有可能補這個

先改成手動確認更新好了

有點好奇不想更新的原因是？所有會在kernel-mode執行的程式碼，包括驅動程式都可能必須針對此漏洞進行修正，相關資訊下週一就會全面公布。

引用:

作者OscarShih

如果windows更新有可能補這個

先改成手動確認更新好了

引用:

作者freaky

有點好奇不想更新的原因是？所有會在kernel-mode執行的程式碼，包括驅動程式都可能必須針對此漏洞進行修正，相關資訊下週一就會全面公布。

有些 Server 只會自顧自的幹事，不會跟外界有預期外的互動，自然就不一定需要上這個 patch 了。
另一方面微軟許多 patch 往往都是弊大於利。
話說 linus 本人對一些 patch 猛出卻沒有開關的行為也頗有微詞。

引用:

作者freaky

有點好奇不想更新的原因是？所有會在kernel-mode執行的程式碼，包括驅動程式都可能必須針對此漏洞進行修正，相關資訊下週一就會全面公布。

先等別人死死看

最近微軟很多更新.效能直接變0％

黑畫面或藍畫面

:laugh: :laugh: :laugh: :laugh:

引用:

作者tbsky

其實這次的PTI在 linux kernel上是有加開關的
user可以自己選擇啟用或禁用

引用:

+ nopti [X86-64] Disable kernel page table isolation
+
nolapic [X86-32,APIC] Do not enable or use the local APIC.

nolapic_timer [X86-32,APIC] Do not use the local APIC timer.
@@ -3282,6 +3284,12 @@
pt. [PARIDE]
See Documentation/blockdev/paride.txt.

+ pti= [X86_64]
+ Control user/kernel address space isolation:
+ on - enable
+ off - disable
+ auto - default setting
+

https://github.com/torvalds/linux/c...40663af75f64R99

對應 Google Project Zero Reading privileged memory with a side-channel

Variant 1: bounds check bypass (CVE-2017-5753)
Variant 2: branch target injection (CVE-2017-5715)
Variant 3: rogue data cache load (CVE-2017-5754)

Variant 1: bounds check bypass
1. This PoC only tests for the ability to read data inside mis-speculated execution within the same process, without crossing any privilege boundaries.
[PoC 僅測試在錯誤推測執行下的讀取的能力, 並不會超出權限範圍]

2. A PoC for variant 1 that, when running with normal user privileges under a modern Linux kernel with a distro-standard config, can perform arbitrary reads in a 4GiB range [3] in kernel virtual memory on the Intel Haswell Xeon CPU.
If the kernel's BPF JIT is enabled (non-default configuration), it also works on the AMD PRO CPU.
On the Intel Haswell Xeon CPU, kernel virtual memory can be read at a rate of around 2000 bytes per second after around 4 seconds of startup time. [4]
[Intel Haswell Xeon CPU 在一般使用者權限下就能讀取到 CPU內核心虛擬記憶體4GiB範圍]
[AMD PRO CPU 則需在強制開啟 "kernel's BPF JIT" 才能用一般使用者權限讀取到資料]

Tested Processors
Intel(R) Xeon(R) CPU E5-1650 v3 @ 3.50GHz (called "Intel Haswell Xeon CPU" in the rest of this document)
AMD FX(tm)-8320 Eight-Core Processor (called "AMD FX CPU" in the rest of this document)
AMD PRO A8-9600 R7, 10 COMPUTE CORES 4C+6G (called "AMD PRO CPU" in the rest of this document)
An ARM Cortex A57 core of a Google Nexus 5x phone (called "ARM Cortex A57" in the rest of this document)

引用:

作者NTC_TW_IT

anyway, 這次有三大包~~AMD認了一條, intel官方目前好像還沒正式回覆
http://www.amd.com/en/corporate/speculative-execution

AMD 是承認要 "強制開啟 kernel's BPF JIT" (系統預設是關閉)下才能讀取這個部分。
Variant 1: bounds check bypass
AMD Ans.
Resolved by software / OS updates to be made available by system vendors and manufacturers.
Negligible performance impact expected.
[可透過軟體或作業系統更新來解決, 且更新後不會對效能造成衝擊]

AMD Ans. 我們的 CPU 架構跟 Intel, ARM 有差異 or 不同, 所以沒有這問題...
Variant 2 -> 架構不同風險近乎 0, 且目前沒發現有漏洞。
Variant 3 -> 架構不同, 因此0風險。

引用:

作者tbsky

看起來去年十月就知道了，也通知各大廠做修正了。intel 不出聲應該就是沒什麼辦法了吧。
看新聞各大雲端業者都排定最近要大關機做 patch 了。最慘的就是這些雲端業者了吧..

今天Azure原本預定9號前都可以手動redeploy的VM全都提前強迫進入維護排程
10:00收到通知，還來不及把信看完web server就被關機了
web server開起來後沒多久，就換DB重新啟動
前前後後整個網站大概有1個半小時無法full function

看了幾篇報導都說明，這個問題無法透過更新microcode修正。
只能從os層面上避開。
因此效能會以程式運作方式有不同程度的減損。
如果程式會在使用者模式跟核心模式頻繁的切換，那麼可能效能最多會下降30%左右。

https://www.cool3c.com/article/132101
Intel 回應處理器架構安全漏洞：
AMD 與 ARM 也有類似問題、效能損耗對一般消費者不明顯 by Chevelle.fu 2018.01.04 12:48PM
----------------------------
誰說謊！？