"Подарочек" на новый год. Закрытие уязвимости приведет к падению производительности.

selishii	# 6 лет, 10 месяцев назад
Темы: 8 Сообщения: 75 Участник с: 03 июня 2016	Действительно time du -s возрастает с 0.036 сек до 0.045 сек (в среднем), но насколько это критично в реальных приложениях?

Morisson	# 6 лет, 10 месяцев назад
Темы: 18 Сообщения: 1426 Участник с: 11 января 2017	selishii Действительно time du -s возрастает с 0.036 сек до 0.045 сек У меня с точностью наоборот.

RusWolf	# 6 лет, 10 месяцев назад (отредактировано 6 лет, 10 месяцев назад)
Темы: 11 Сообщения: 2795 Участник с: 16 июля 2016	В стоковом ядре 4.14.10-1-ARCH Date: Tue, 26 Dec 2017 23:43:54 -0600 Subject: [PATCH 7/7] x86/cpu, x86/pti: Do not enable PTI on AMD processors AMD processors are not subject to the types of attacks that the kernel page table isolation feature protects against. The AMD microarchitecture does not allow memory references, including speculative references, that access higher privileged data when running in a lesser privileged mode when that access would result in a page fault. Disable page table isolation by default on AMD processors by not setting the X86_BUG_CPU_INSECURE feature, which controls whether X86_FEATURE_PTI is set. https://t.me/arch_linuxru

RusWolf

# 6 лет, 10 месяцев назад (отредактировано 6 лет, 10 месяцев назад)

Темы: 11

Сообщения: 2795

Участник с: 16 июля 2016

В стоковом ядре 4.14.10-1-ARCH

Date: Tue, 26 Dec 2017 23:43:54 -0600
Subject: [PATCH 7/7] x86/cpu, x86/pti: Do not enable PTI on AMD processors

AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against.  The AMD microarchitecture
does not allow memory references, including speculative references, that
access higher privileged data when running in a lesser privileged mode
when that access would result in a page fault.

Disable page table isolation by default on AMD processors by not setting
the X86_BUG_CPU_INSECURE feature, which controls whether X86_FEATURE_PTI
is set.

https://t.me/arch_linuxru

Haron_Prime	# 6 лет, 10 месяцев назад
Темы: 28 Сообщения: 2109 Участник с: 08 июня 2014	добавил на всякий случай в grub pti=off - у меня amd и как-то не прельщает терять 30% производительности на и так не самом мощном процессоре Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad GitHub , BitBuket

vasek	# 6 лет, 10 месяцев назад
Темы: 47 Сообщения: 11853 Участник с: 17 февраля 2013	Думаю производительность сильно не упадет. Во первых, большинство cpu Intel поддерживают технологию PCID, наличие которой уменьшит падение производительности. Во вторых, все будет зависеть от запускаемых приложений, точнее, как часто cpu будет обращаться к виртуальной памяти.Насколько я понял, решение проблемы уязвимости будет обеспечено разграничением доступа памяти ядра и памяти пользовательских процессов, а значит при обращении в область памяти ядра кэш TLB будет очищаться (а в этом кэше как раз и будут находится ранее использованные виртуальные адреса преобразованные/соответствующие физическим адресам - т.е. таблица их соответствия). UPD 1 - узнать поддержку PCID можно так cat /proc/cpuinfo \| grep -i --color=auto pcid UPD 2 - произвести удаленную атаку сможет далеко не каждый, но на всякий случай привожу порты, которые могут быть использованы для данной уязвимости = 16992 и 16993. UDP 3 - имхо, есть сомнения в правильности тестирования падения производительности в этой статье. Haron_Prime у меня amd В части AMD, насколько я понял, AMD в этом смысле защищены и невозможно получить доступ к данным при отсутствии соответствующих привилегий. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 6 лет, 10 месяцев назад

Темы: 47

Сообщения: 11853

Участник с: 17 февраля 2013

Думаю производительность сильно не упадет.
Во первых, большинство cpu Intel поддерживают технологию PCID, наличие которой уменьшит падение производительности.
Во вторых, все будет зависеть от запускаемых приложений, точнее, как часто cpu будет обращаться к виртуальной памяти.Насколько я понял, решение проблемы уязвимости будет обеспечено разграничением доступа памяти ядра и памяти пользовательских процессов, а значит при обращении в область памяти ядра кэш TLB будет очищаться (а в этом кэше как раз и будут находится ранее использованные виртуальные адреса преобразованные/соответствующие физическим адресам - т.е. таблица их соответствия).
UPD 1 - узнать поддержку PCID можно так
cat /proc/cpuinfo | grep -i --color=auto pcid
UPD 2 - произвести удаленную атаку сможет далеко не каждый, но на всякий случай привожу порты, которые могут быть использованы для данной уязвимости = 16992 и 16993.
UDP 3 - имхо, есть сомнения в правильности тестирования падения производительности в этой статье.

Haron_Prime
у меня amd

В части AMD, насколько я понял, AMD в этом смысле защищены и невозможно получить доступ к данным при отсутствии соответствующих привилегий.

Ошибки не исчезают с опытом - они просто умнеют

nafanja	# 6 лет, 10 месяцев назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	я что то не понял... баг в интел процах, а страдать как всегда будут АМДшники имея у себя на борту ненужные патчи, которые к тому же и скорость работы снизят... ((( Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 6 лет, 10 месяцев назад

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

я что то не понял...
баг в интел процах, а страдать как всегда будут АМДшники имея у себя на борту ненужные патчи, которые к тому же и скорость работы снизят... (((

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874

vasek	# 6 лет, 10 месяцев назад (отредактировано 6 лет, 10 месяцев назад)
Темы: 47 Сообщения: 11853 Участник с: 17 февраля 2013	nafanja, почитал на сайте Intel, они обнаружили еще в мае, при этом затронуты не все cpu, а так как это касается и винды и линукс и мак, то вроде бы они готовят свои патчи, а вот как это отразится на системах, хрен его знает, а, главное, я не понял, как это будет исправляться в системах. Ничего конкретного найти нельзя. На Intel пишут одно, что уязвимость существует ~~уже 10 лет~~ с 2010г. и довольна серъезная, позволяет совершить удаленный доступ, но это касается только определенных технологий On May 1, Intel published a security advisory regarding a firmware vulnerability in certain systems that utilize Intel® Active Management Technology (Intel® AMT), Intel® Standard Manageability (Intel® ISM), or Intel® Small Business Technology (Intel® SBT). The vulnerability is potentially very serious, and could enable a network attacker to remotely gain access to businesses PCs and workstations that use these technologies. We urge people and companies using business PCs and devices that incorporate Intel® AMT, Intel® ISM or Intel® SBT to apply a firmware update from your equipment manufacturer when available, or to follow the steps detailed in the mitigation guide. EDIT 1 - сейчас попалась на глаза цитата `патч для Linux будет по умолчанию включать kpti и на компьютерах с процессорами AMD, вызывая соответствующее падение производительности. AMD не рекомендует использовать kpti на компьютерах с процессорами AMD.` так что AMD, можно считать, рекомендации выдал. EDIT 2 - вот еще одна статья, более подробно описывает смысл В части не использования kpti - Haron_Prime указал - pti=off Ошибки не исчезают с опытом - они просто умнеют

vasek

# 6 лет, 10 месяцев назад (отредактировано 6 лет, 10 месяцев назад)

Темы: 47

Сообщения: 11853

Участник с: 17 февраля 2013

nafanja, почитал на сайте Intel, они обнаружили еще в мае, при этом затронуты не все cpu, а так как это касается и винды и линукс и мак, то вроде бы они готовят свои патчи, а вот как это отразится на системах, хрен его знает, а, главное, я не понял, как это будет исправляться в системах. Ничего конкретного найти нельзя. На Intel пишут одно, что уязвимость существует ~~уже 10 лет~~ с 2010г. и довольна серъезная, позволяет совершить удаленный доступ, но это касается только определенных технологий

On May 1, Intel published a security advisory regarding a firmware vulnerability in certain systems that utilize Intel® Active Management Technology (Intel® AMT), Intel® Standard Manageability (Intel® ISM), or Intel® Small Business Technology (Intel® SBT). The vulnerability is potentially very serious, and could enable a network attacker to remotely gain access to businesses PCs and workstations that use these technologies. We urge people and companies using business PCs and devices that incorporate Intel® AMT, Intel® ISM or Intel® SBT to apply a firmware update from your equipment manufacturer when available, or to follow the steps detailed in the mitigation guide.

EDIT 1 - сейчас попалась на глаза цитата

патч для Linux будет по умолчанию включать kpti и на компьютерах с процессорами AMD, вызывая соответствующее падение производительности. AMD не рекомендует использовать kpti на компьютерах с процессорами AMD.

так что AMD, можно считать, рекомендации выдал.

EDIT 2 - вот еще одна статья, более подробно описывает смысл
В части не использования kpti - Haron_Prime указал - pti=off

Ошибки не исчезают с опытом - они просто умнеют

nafanja	# 6 лет, 10 месяцев назад (отредактировано 6 лет, 10 месяцев назад)
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	vasek nafanja, почитал на сайте Intel, они обнаружили еще в мае, при этом затронуты не все cpu, а так как это касается и винды и линукс и мак, то вроде бы они готовят свои патчи, что то мне кажется, что это вообще не баг, а просто спалившийся бекдор, зашитый в процах интела... vasek а вот как это отразится на системах, хрен его знает, а, главное, я не понял, как это будет исправляться в системах. по любому будет работать медленнее, железную дыру затыкают программной затычкой... Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 6 лет, 10 месяцев назад (отредактировано 6 лет, 10 месяцев назад)

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

vasek
nafanja, почитал на сайте Intel, они обнаружили еще в мае, при этом затронуты не все cpu, а так как это касается и винды и линукс и мак, то вроде бы они готовят свои патчи,

что то мне кажется, что это вообще не баг, а просто спалившийся бекдор, зашитый в процах интела...

vasek
а вот как это отразится на системах, хрен его знает, а, главное, я не понял, как это будет исправляться в системах.

по любому будет работать медленнее, железную дыру затыкают программной затычкой...

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874

vasek	# 6 лет, 10 месяцев назад
Темы: 47 Сообщения: 11853 Участник с: 17 февраля 2013	nafanja по любому будет работать медленнее, железную дыру затыкают программной затычкой… Но у тех, кто имеет AMD, средство имеется - pti=off, правда что то я тоже мало в это верю, все будет зависеть как закроют дыру. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 6 лет, 10 месяцев назад

Темы: 47

Сообщения: 11853

Участник с: 17 февраля 2013

nafanja
по любому будет работать медленнее, железную дыру затыкают программной затычкой…

Но у тех, кто имеет AMD, средство имеется - pti=off, правда что то я тоже мало в это верю, все будет зависеть как закроют дыру.

Ошибки не исчезают с опытом - они просто умнеют

vasek	# 6 лет, 10 месяцев назад (отредактировано 6 лет, 10 месяцев назад)
Темы: 47 Сообщения: 11853 Участник с: 17 февраля 2013	nafanja что то мне кажется, что это вообще не баг, а просто спалившийся бекдор, зашитый в процах интела… В приведенной выше статье четко все расписано - конечно, это не баг - безалаберность, хотя заметить это было трудно - кто мог подумать, что через такую маленькую связь двух пространств (одно Ring 0, другое Ring 3) возможно что то поиметь. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 6 лет, 10 месяцев назад (отредактировано 6 лет, 10 месяцев назад)

Темы: 47

Сообщения: 11853

Участник с: 17 февраля 2013

nafanja
что то мне кажется, что это вообще не баг, а просто спалившийся бекдор, зашитый в процах интела…

В приведенной выше статье четко все расписано - конечно, это не баг - безалаберность, хотя заметить это было трудно - кто мог подумать, что через такую маленькую связь двух пространств (одно Ring 0, другое Ring 3) возможно что то поиметь.

Ошибки не исчезают с опытом - они просто умнеют