Nul
Spectre en Kernsmelting zijn belangrijke ontwerpfouten in de moderne Cpu ‘ s. Terwijl ze zijn aanwezig in bijna alle recente processoren, omdat Intel-chips zijn zo veel gebruikt, Intel is het nemen van de meeste van de warmte voor deze beestjes. Nergens is de kritiek is heter dan op de Linux-Kernel Mailing List (LKML). Dat komt omdat in tegenstelling tot Apple en Microsoft het besturingssysteem ontwikkelaars en OEM-fabrikanten zoals Dell en HP, Linux programmeurs hun werk doen in de open lucht. Maar, als Linux en Intel ontwikkelaars zijn niet met het argument, dat ze vooruitgang boeken.
Niet beginnen. Als Linux-schepper Linus Torvalds zei op de LKML toen het nieuws van de problemen brak, “ik denk dat iemand binnenkant van Intel moet echt eens een lange harde blik op hun Cpu’ s, en eigenlijk toegeven dat ze problemen hebben.” Later, Greg Kroah-Hartman, beheerder van het Linux stable branch, schreef dat dit “een schoolvoorbeeld van hoe het niet moet omgaan met de Linux kernel gemeenschap goed”.
Dan, dingen die opgewarmd weer bij, geïrriteerd door de nieuwe Intel voorgesteld patches, Torvalds snauwde, “Is de Intel echt van plan op het maken van deze shit architectonische? Iedereen sprak met hen en vertelde hen dat ze f*cking gek?”
David Woodhouse, een Intel Linux kernel ingenieur, antwoordde:
Als het alternatief was een twee-decennium product recall en geeft iedereen gratis Cpu ‘ s, ik weet niet of het helemaal te gek.
Zeker, het is een vervelende hack, maar hey-de wereld in brand stond, en in het einde dat we niet moeten gewoon weer de datacenters uit en ga terug naar de geitenhouderij, dus het is niet allemaal slecht.
Als een hack voor bestaande Cpu ‘ s, maar is het slechts aanvaardbaar, als het kan sterven volledig door de volgende generatie.
In de tussentijd, Intel probeert op te lossen deze problemen net boven de chip hardware en onder het besturingssysteem met de microcode heeft tot niets. Eerste, Intel aanbevolen mensen stoppen met het gebruik van de huidige firmware-updates. Sindsdien, Dell en HP getrokken Intel buggy Crisis en de Spectre microcode correcties.
Torvalds is niet onder de indruk, toe te geven, “Intel eigenlijk lijkt het plan op om het juiste te doen voor meltdown (de belangrijkste vraag die wordt _when_). Dat is niet een grote verrassing, omdat het moet eenvoudig zijn op te lossen, en het is echt een groot gat in te rijden. Niet het juiste te doen voor kernsmelting zou volstrekt onaanvaardbaar.” Maar, vervolgde hij, “Intel is niet van plan om het juiste te doen voor de indirecte tak speculatie. Eerlijk gezegd, dat is onacceptabel.”
En, bovendien, “Als het is, de patches zijn VOLLEDIG EN VOLSLAGEN AFVAL.” U kunt altijd rekenen op Torvalds noem ze zoals hij ze ziet.
Maar, Woodhouse antwoordde dat terwijl het een “vervelende hack in de korte termijn die ik zou kunnen leven met [het].”
In een later bericht, Woodhouse ging verder, “ik denk dat we hebben behandeld het technische deel van dit nu niet dat je het zoals het — niet dat iemand van ons *als*.” Hij legde vervolgens uit de logica achter deze “rotzooi” patches.
Dit is allemaal over de Spook-variant 2 [CVE-2017-5715], waar de CPU kan worden misleid in het mispredicting het doel van een indirecte tak. En ik ben specifiek op zoek naar wat we kunnen doen op de *huidige* hardware, waar we beperkt tot de hacks kunnen ze toe te voegen in de microcode.
De nieuwe microcode van Intel en AMD voegt drie nieuwe functies.
Een nieuwe functie (IBPB) is een volledige barrière voor tak voorspelling. Na frobbing dit, geen tak doelen geleerd eerder gebruikt gaan worden. Het is een soort van dure (orde van grootte ~4000 cycli).
De tweede (STIBP) beschermt een hyperthread-broertje van de volgende tak voorspellingen die werden geleerd op een andere broer of zus. Je *kan* u wilt deze bij het uitvoeren van niet-gerelateerde processen in de gebruikersruimte, bijvoorbeeld. Of verschillende VM gasten die HT broers en zussen.
De derde functie (IBRS) is meer ingewikkeld. Het is ontworpen om te worden ingesteld wanneer u een meer bevoorrechte modus worden uitgevoerd (d.w.z. de kernel). Het voorkomt tak doelen geleerd in een minder bevoorrechte modus worden uitgevoerd, VOOR HET laatst IS INGESTELD, van het nemen van effect. Maar het is niet alleen een ‘set-and-forget’ – functie, het heeft ook een barrière-zoals semantiek en moet worden ingesteld op *elk* vermelding in de kernel (vanaf gebruikersruimte of een VM gast). Het is *ook* duur. En een ordinaire hack, maar voor een tijdje was de enige optie die we hadden.
Naast het feit dat het erg rommelig, de tekortkoming met al deze patches is dat ze drastisch vertragen processen. Google Retpoline patch is een “enorme prestaties winnen”, Woodhouse toe. Retpoline werkt door het blokkeren van alle processors van de’ indirecte tak voorspellingen, dat is waar Spectre leven.
Maar, Woodhouse verder, “Niet iedereen heeft een retpoline compiler nog” en de Intel “Skylake, en die generatie CPU cores,” dat zou nog steeds kwetsbaar. De “IBRS oplossing, lelijk, al is het, deed het adres dat”. Zoals het is, met alleen Retpoline “opent een *klein* beetje een gat in de beveiliging”.
Het werk gaat verder op een manier om te voorkomen dat “afval” patches, terwijl het houden van Intel Skylake — Intel ‘ s zesde generatie processor familie — veilig. Ingo Molnar, een Red Hat Linux kernel developer, heeft voorgesteld een methode, die lijkt te houden Skylake veilig te zijn van Spectre.
Er moet iets aan worden gedaan. Deze gaten hackers inschakelen om rond bescherming systeem op bijna alle Pc ‘ s, servers en smartphones. Zo ver, de klop op silicium, niemand is erin geslaagd om ze te exploiteren. Maar het is slechts een kwestie van tijd. In de tussentijd, de lost-to-date van alle vertragen systemen.
Als de Linux discussies en Intel microcode-nieuws-show, zijn we nog een lange, lange weg van een complete oplossing.
Tot slot, alleen maar omdat we weten wat er met Linux, betekent niet dat macOS en Windows niet geconfronteerd met exact dezelfde problemen. Ze zijn. We hebben het niet alleen horen over hen.
Verwante Artikelen:
Spectre en Meltdown: Linux-schepper Linus Torvalds kritiek op Intel ‘ s ‘garbage’ patches De Linux vs Kernsmelting en Spectre strijd blijft Hoe Linux is het omgaan met Crisis en de Spectre Grote Linux-redesign in het werk om te gaan met Intel lek
Verwante Onderwerpen:
Hardware
Beveiliging TV
Data Management
CXO
Datacenters
0