"Подарочек" на новый год. Закрытие уязвимости приведет к падению производительности.

Действительно time du -s возрастает с 0.036 сек до 0.045 сек (в среднем), но насколько это критично в реальных приложениях?
selishii
Действительно time du -s возрастает с 0.036 сек до 0.045 сек
У меня с точностью наоборот.
В стоковом ядре 4.14.10-1-ARCH
Date: Tue, 26 Dec 2017 23:43:54 -0600
Subject: [PATCH 7/7] x86/cpu, x86/pti: Do not enable PTI on AMD processors

AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against.  The AMD microarchitecture
does not allow memory references, including speculative references, that
access higher privileged data when running in a lesser privileged mode
when that access would result in a page fault.

Disable page table isolation by default on AMD processors by not setting
the X86_BUG_CPU_INSECURE feature, which controls whether X86_FEATURE_PTI
is set.
добавил на всякий случай в grub pti=off - у меня amd и как-то не прельщает терять 30% производительности на и так не самом мощном процессоре
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Думаю производительность сильно не упадет.
Во первых, большинство cpu Intel поддерживают технологию PCID, наличие которой уменьшит падение производительности.
Во вторых, все будет зависеть от запускаемых приложений, точнее, как часто cpu будет обращаться к виртуальной памяти.Насколько я понял, решение проблемы уязвимости будет обеспечено разграничением доступа памяти ядра и памяти пользовательских процессов, а значит при обращении в область памяти ядра кэш TLB будет очищаться (а в этом кэше как раз и будут находится ранее использованные виртуальные адреса преобразованные/соответствующие физическим адресам - т.е. таблица их соответствия).
UPD 1 - узнать поддержку PCID можно так
cat /proc/cpuinfo | grep -i --color=auto pcid
UPD 2 - произвести удаленную атаку сможет далеко не каждый, но на всякий случай привожу порты, которые могут быть использованы для данной уязвимости = 16992 и 16993.
UDP 3 - имхо, есть сомнения в правильности тестирования падения производительности в этой статье.

Haron_Prime
у меня amd
В части AMD, насколько я понял, AMD в этом смысле защищены и невозможно получить доступ к данным при отсутствии соответствующих привилегий.
Ошибки не исчезают с опытом - они просто умнеют
я что то не понял...
баг в интел процах, а страдать как всегда будут АМДшники имея у себя на борту ненужные патчи, которые к тому же и скорость работы снизят... (((
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
nafanja, почитал на сайте Intel, они обнаружили еще в мае, при этом затронуты не все cpu, а так как это касается и винды и линукс и мак, то вроде бы они готовят свои патчи, а вот как это отразится на системах, хрен его знает, а, главное, я не понял, как это будет исправляться в системах. Ничего конкретного найти нельзя. На Intel пишут одно, что уязвимость существует уже 10 лет с 2010г. и довольна серъезная, позволяет совершить удаленный доступ, но это касается только определенных технологий
On May 1, Intel published a security advisory regarding a firmware vulnerability in certain systems that utilize Intel® Active Management Technology (Intel® AMT), Intel® Standard Manageability (Intel® ISM), or Intel® Small Business Technology (Intel® SBT). The vulnerability is potentially very serious, and could enable a network attacker to remotely gain access to businesses PCs and workstations that use these technologies. We urge people and companies using business PCs and devices that incorporate Intel® AMT, Intel® ISM or Intel® SBT to apply a firmware update from your equipment manufacturer when available, or to follow the steps detailed in the mitigation guide.

EDIT 1 - сейчас попалась на глаза цитата
патч для Linux будет по умолчанию включать kpti и на компьютерах с процессорами AMD, вызывая соответствующее падение производительности. AMD не рекомендует использовать kpti на компьютерах с процессорами AMD.
так что AMD, можно считать, рекомендации выдал.

EDIT 2 - вот еще одна статья, более подробно описывает смысл
В части не использования kpti - Haron_Prime указал - pti=off
Ошибки не исчезают с опытом - они просто умнеют
vasek
nafanja, почитал на сайте Intel, они обнаружили еще в мае, при этом затронуты не все cpu, а так как это касается и винды и линукс и мак, то вроде бы они готовят свои патчи,
что то мне кажется, что это вообще не баг, а просто спалившийся бекдор, зашитый в процах интела...

vasek
а вот как это отразится на системах, хрен его знает, а, главное, я не понял, как это будет исправляться в системах.
по любому будет работать медленнее, железную дыру затыкают программной затычкой...
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
nafanja
по любому будет работать медленнее, железную дыру затыкают программной затычкой…
Но у тех, кто имеет AMD, средство имеется - pti=off, правда что то я тоже мало в это верю, все будет зависеть как закроют дыру.
Ошибки не исчезают с опытом - они просто умнеют
nafanja
что то мне кажется, что это вообще не баг, а просто спалившийся бекдор, зашитый в процах интела…
В приведенной выше статье четко все расписано - конечно, это не баг - безалаберность, хотя заметить это было трудно - кто мог подумать, что через такую маленькую связь двух пространств (одно Ring 0, другое Ring 3) возможно что то поиметь.
Ошибки не исчезают с опытом - они просто умнеют
 
Зарегистрироваться или войдите чтобы оставить сообщение.