Intelin prosessoreista löytynyt bugi vaatii suorituskykyyn vaikuttavan käyttöjärjestelmätason

[user9999]

Apple julkaisi juuri klo. 20:00 seuraavat päivitykset:

1. macOS High Sierra 10.13.2 Supplemental Update

Spoileri: macOS

2. iOS 11.2.2

Spoileri: iOS

Ei vielä tarkaa tietoa mitä korjaa...

Apple Releases macOS High Sierra 10.13.2 Supplemental Update With Spectre Fix
Apple Releases iOS 11.2.2 With Security Fixes to Address Spectre Vulnerability

 

[Kautium]

Kerrohan millä matikalla saat 8307 ja 7928 luvuista 3.6% eron? 4.8% olisi hieman lähempänä.

Eikös tässä ollut tarkoitus vertailla tuon uuden näyttisajurin vaikutuksia, jolloin vertailulukemat ovat 7928 ja 8223? Noiden erotus on 295, joka on 3,6% luvusta 8223.

 

[Threadripper]

Mielenkiintoista nähdä, kasvattaako tuo latenssia ajureille siinämäärin, että porukat huomaavat sen muusiikintekokoneissa, jossa on esim vältelty ryzeniä, sen korkeampien latenssien vuoksi. Tosin niihinhän ei välttämättä asenneta mitään päivityksiä, eivätkä ne ole netissä...

Onko tuotakaan väitettä oikeasti todistettu? Eli että musiikkiohjelmien latenssit johtuvat nimenomaan Ryzenistä. Ettei vaan olisi joku tornihuhu joka kiertää. Tai sitten käytetään musiikkiohjelmaa jostakin viime vuosituhannelta ja valitetaan kun prosessorissa vika

 

[Kanto]

https://www.theregister.co.uk/2018/01/08/microsofts_spectre_fixer_bricks_some_amd_powered_pcs/
Jokos tällanen on ehditty tänne laittaa?

Ei kaikilla ja vaan atholeilla ongelmia, mutta ongelmia kuitenkin.

 

[iGmole]

Onko tuotakaan väitettä oikeasti todistettu? Eli että musiikkiohjelmien latenssit johtuvat nimenomaan Ryzenistä. Ettei vaan olisi joku tornihuhu joka kiertää. Tai sitten käytetään musiikkiohjelmaa jostakin viime vuosituhannelta ja valitetaan kun prosessorissa vika

Tämä tulee hieman ulkomuistista muutaman näkemäni testin perusteella: kun mennään johonkin 64 tai jopa 32 samplen buffereihin, jostain syystä Intelin suorittimilla voi olla noita plugari-instansseja enemmän. Isommilla buffereilla erot tahtovat tasoittua, kun vertaillaan moniydinsuorituskyvyltään suurinpiirtein vastaavia AMD:n ja Intelin suorittimia. Olisiko noilla matalilla buffereilla sitten singlecore-suorituskyky valtti?

Mutta tuo menee jo offtopic - pitäis mennä AMD vastaan Intel -ketjuun.

Mitä tulee enemmän ontopic suorituskykymuutoksiin näihin tietoturvapatcheihin liittyen, en ole havainnut eroa omissa projekteissani. Joitakin melko kuormittavia äänitteitä on tullut miksailtua (70+ raitaa runsain VST-muljuttimin) ja ne vaikuttavat jokseenkin yhtä kuormittavilta kuin aiemminkin. Mulla nyt siis tuo Meltdown-patch Windowsiin hiljan tupsahti.

 

[prc]

Paljonko maailmalla myydään/liisataan rautaa tai palvelua sopimuksella € per toteutunut suorituskyky? Nyt kun suorituskyvystä napsastaan palvelinmaailmassa 30% pois, tarkoittaa samaa kuin 1/3 raudasta olisi heitetty kaatopaikalle ja uutta tilalle. Tästä voi tulla aikamoinen ketju joka johtaa suoraan korvausvaatimuksineen Intelin ovelle. Olisi mielenkiintoista nähdä palvelinrautatoimituksien tilastoa tästä hetkestä +/- 1 vuosi.

Empä ole moiseen törmännyt. Joko myydään CPU aikaa sekuntteina/minuutteina/x.. tai sitten malliin N kpl coreja @ xxxx mhz tai jos rautakoneista kyse niin pannun speksit X ja SLA tasy Y = jokusumma / kk. Eli raudan liisaajan riski on hyvin pieni.

Tosin jos kaikki asiakkaat tahtovat heti 30% lisää kapasiteetia, niin saattaa tulla kiire louhia uusia luolia tai nostaa hintoja sen verran että ymmärtävät mennä muualle asioimaan.

 

[vmovapd]

It gets worse: Microsoft’s Spectre-fixer bricks some AMD PCs
Jokos tällanen on ehditty tänne laittaa?

Ei kaikilla ja vaan atholeilla ongelmia, mutta ongelmia kuitenkin.

Liekö samantyyppinen ongelma kuin PTI:n jälkeinen K8-korjaus Linux-kernelille.

x86/pti: Make sure the user/kernel PTEs match

commit 52994c256df36fda9a715697431cba9daecb6b11 upstream.

Meelis reported that his K8 Athlon64 emits MCE warnings when PTI is
enabled:

[Hardware Error]: Error Addr: 0x0000ffff81e000e0
[Hardware Error]: MC1 Error: L1 TLB multimatch.
[Hardware Error]: cache level: L1, tx: INSN

The address is in the entry area, which is mapped into kernel _AND_ user
space. That's special because we switch CR3 while we are executing
there.

User mapping:
0xffffffff81e00000-0xffffffff82000000 2M ro PSE GLB x pmd

Kernel mapping:
0xffffffff81000000-0xffffffff82000000 16M ro PSE x pmd

So the K8 is complaining that the TLB entries differ. They differ in the
GLB bit.

Drop the GLB bit when installing the user shared mapping.

 

[IcePen]

Näytönohjaimet eivät tee spekulatiivista suoritusta, eivätkä ole haavoittuvaisia näille.

Kyse on siitä, että nvidian näytönohjaimen ajuri(jota ajetaan CPUlla) sisältää koodia joka on haavoittuvainen spectrelle.

Ja techspot on ymmärtänyt väärin.

Juu monet uutislähteet kirjoittaa tuosta Nvidia paikauksesta niin että antavat kuvan niin kuin paikattaisiin jotain Nvidia GPU:n/näytönohjaimen aukkoa josta siinä ei ole kyse vaan kyse on siitä että Nvidian ajureita paikataan niin että se CPU/prosessori/suoritin aukko ei ole hyödynnettävissä Nvidia ajureiden kautta.

(hkultala tiedän että tämä versioni ei ole kirjaimellisesti oikein mutta pyrin riittävän yksinkeraiseen versioon että se olisi ymmärrettävissä mahdolisimman monelle)

Yksi kysymys voiko nämä CPU ja Nvidia ajuri paikkailut vaikutta Nvidian näyttisten DX12/Vulkan Async shader tehoon kun niiden grafiikka ja computen tehtävien vuorottelun ennustushan tapahtuu Nvidian ajureissa CPU:lla ts voiko tämä kasvatta AMD näyttisten etua DX12/Vulkan peleissä verrattuna Nvidia näyttiksiin.

 

[demu]

Että tämmöistäkin sekoilua...
Microsoft Halts Meltdown-Spectre Patches to AMD PCs as Some Turn Unbootable

Microsoft late-Monday halted Meltdown and Spectre security patches to machines running AMD processors, as complaints of machines turning unbootable piled up. Apparently the latest KB4056892 (2018-01) Cumulative Update causes machines with AMD processors to refuse to boot. Microsoft has halted distributing patches to PCs running AMD processors, and issued a statement on the matter. In this statement, Microsoft blames AMD for not supplying its engineers with the right documentation to develop their patches (while absolving itself of any blame for not testing its patches on actual AMD-powered machines before releasing them).

"Microsoft has reports of customers with some AMD devices getting into an unbootable state after installing recent Windows operating system security updates," said Microsoft in its statement. "After investigating, Microsoft has determined that some AMD chipsets do not conform to the documentation previously provided to Microsoft to develop the Windows operating system mitigations to protect against the chipset vulnerabilities known as Spectre and Meltdown," it added. Microsoft is working with AMD to re-develop, test, and release security updates, on the double.
...
Käsittääkseni AMD on moneen kertaan julkisuudessakin sanonut, että ainakaan Meltdown -patcheja ei AMD:lle tarvitse asennella, eikä spectre -haavoittuvuuksiakaan ole voitu osoittaa. Taitavat haukkua väärää puuta...

 

[Tege]

Kyllä variant 1 on toimiva amdlla.

 

[antero]

Onkohan HP:llä löyty päätä seinään mallinimen vuoksi.
HP at CES 2018: HP Spectre x360 using Intel with Radeon RX Vega M, $1370


edit: vielä todella hienoa "1 Year Warranty"

 

[Cirrus]

Käsittääkseni AMD on moneen kertaan julkisuudessakin sanonut, että ainakaan Meltdown -patcheja ei AMD:lle tarvitse asennella, eikä spectre -haavoittuvuuksiakaan ole voitu osoittaa. Taitavat haukkua väärää puuta...

Käsityksesi on väärä:

During the course of our research, we developed the following proofs of concept (PoCs):

1. A PoC that demonstrates the basic principles behind variant 1 in userspace on the tested Intel Haswell Xeon CPU, the AMD FX CPU, the AMD PRO CPU and an ARM Cortex A57 [2]. This PoC only tests for the ability to read data inside mis-speculated execution within the same process, without crossing any privilege boundaries.
2. A PoC for variant 1 that, when running with normal user privileges under a modern Linux kernel with a distro-standard config, can perform arbitrary reads in a 4GiB range [3] in kernel virtual memory on the Intel Haswell Xeon CPU. If the kernel's BPF JIT is enabled (non-default configuration), it also works on the AMD PRO CPU. On the Intel Haswell Xeon CPU, kernel virtual memory can be read at a rate of around 2000 bytes per second after around 4 seconds of startup time. [4]

Project Zero: Reading privileged memory with a side-channel

 

[demu]

Käsityksesi on väärä:

Project Zero: Reading privileged memory with a side-channel

Variant 1 on käsittääkseni haitallinen AMD:llä vain linuxilla, ja Microsoft päivitti Windowsia.

 

[Cirrus]

Variant 1 on käsittääkseni haitallinen AMD:llä vain linuxilla, ja Microsoft päivitti Windowsia.

Vaikka googlen poc:it (varmaan molemmat) on tehty linuxilla, niin eihän se ole todiste siitä että windowssissa ei voisi olla samaa?

Varmaankin microsoft itse tietää tämän paremmin voiko vai eikö voi olla.

 

[copter]

Voisiko tällä olla jotain tekemistä että patchi käyttäisi jollain tapaa SSE4.1 mitä vanhemmat AMD (= Phenom II) kivet eivät tue?

 

[Deussu]

*tupla*

 

[hkultala]

Voisiko tällä olla jotain tekemistä että patchi käyttäisi jollain tapaa SSE4.1 mitä vanhemmat AMD (= Phenom II) kivet eivät tue?

Ei.

En ole varma, mutta käsittääkseni kyse on seuraavasta:

K8 tukee vain 48-bittisiä virtuaaliosoitteita. Jotta tuki voidaan myöhemmillä prosessorimalleilla laajentaa täyteen 64 bittiin rikkomatta mitään, haluttiin estää käyttämästä pointterien ylimpiä bittejä metadata-/tagibitteinä.

Tällainen pointterien ylimpien bittien käyttäminen metadatana oli yleistä amiga-aikoina, amiga 500n 68000-prosessori tuki vain 24-bittisiä osoitteita ja rekisterien ylimmät 8 bittiä oli käyttämättä itse osoitteeseen, ja johti siihen, että jotkut amiga 500lle tehdyt softat eivät toimineet uudemmilla amigoilla joissa oli täydet 32-bittiset osoitteet.

Jotta ylimpiä bittejä ei käytettäisi metadatana, x86-64-käskykantaan speksattiin ominaisuus, että pointerien ylimpien 16 bitin pitää aina olla samat kuin sen viimeisen merkitsevän bitin, eli K8ssa 48. bitin, ja jos ei ole, tällaisen pointterin käyttäminen johtaa virhetilanteeseen.

Joissain myöhemmissä x86-prosessoreissa on otettu yksi kerros sivutauluja lisää, ja virtuaaliosoitteet on laajennettu 56 bittiin. Ilmaisesti tuo microsoftin patchi sai aikaan sen, että muodostettiin osoitteita, joissa jossain tuolla 49.-56. bitin välillä oli bittejä jotka ovat eri asennossa kuin 48. bitti.

 

[copter]

@hkultala Hyvin kerrottu!

Jos näin on, niin miksiköhän sitten MS ei olisi tätä tietoa ollut olemassa?

 

[hkultala]

@hkultala Hyvin kerrottu!

Jos näin on, niin miksiköhän sitten MS ei olisi tätä tietoa ollut olemassa?

... paitsi näköjään olin sen verran väärässä, että vielä mikään x86-prossu ei taidakaan vielä tukea >48-bittisiä virtuaaliosoitteita, ja ilmeisesti seurava askel onkin 57- eikä 56-bittiset osoitteet, yksi sivutaulutaso tosiaan tuo 9 eikä 8 bittiä lisää. (tai jos joku tukee niin se on joku viime syksynä julkaistu xeon)

https://software.intel.com/sites/default/files/managed/2b/80/5-level_paging_white_paper.pdf

Mutta käsittääkseni jotenkin silti liittyy tuohon.

 

[copter]

Ok. Täytyy tunnusta että en ole muistien bittejä miettinyt sitten mainittujen Amiga-aikojen. SAS/C lämmöllä muistaen.

 

[Stephen Elop]

... paitsi näköjään olin sen verran väärässä, että vielä mikään x86-prossu ei taidakaan vielä tukea >48-bittisiä virtuaaliosoitteita, ja ilmeisesti seurava askel onkin 57- eikä 56-bittiset osoitteet, yksi sivutaulutaso tosiaan tuo 9 eikä 8 bittiä lisää. (tai jos joku tukee niin se on joku viime syksynä julkaistu xeon)

https://software.intel.com/sites/default/files/managed/2b/80/5-level_paging_white_paper.pdf

Mutta käsittääkseni jotenkin silti liittyy tuohon.

Eikös MS:n vastaus valitellut vain virheellisestä piirisarja dokumentaatiosta, ei itse prosessorin dokumentaatiosta?

Onko mahdollista, että SSD-levy olisi suoraan peilattu johonkin muistialueelle, ja MS nyt suojaisi kyseistä muistialuetta puukottamalla piirisarjaa?

 

[Fenotype]

Microsoftalla ollut entinen työntekijä kertoi, että mikkisofta antoi monelle kenkää että enää ei patseja testata laajasti eri kone kokoonpanoilla.
Vaan patsit testataan nykyisin käyttäjillä, en yhtään ihmettele jos päivitys viimeisen 4v aikana on silloin tällöin rikkonut jotain.

 

[leripe]

En tiedä miksi joku voi valittaa edes, jos jollai ahtlon koneella ei toimi asiat vuonna 2018.
Eikös tuo tullut ulos joskus yli 10 vuotta sitten...

 

[Osman]

Mielenkiintoista nähdä, kasvattaako tuo latenssia ajureille siinämäärin, että porukat huomaavat sen muusiikintekokoneissa, jossa on esim vältelty ryzeniä, sen korkeampien latenssien vuoksi. Tosin niihinhän ei välttämättä asenneta mitään päivityksiä, eivätkä ne ole netissä...

Applehan korjasi tuon prosessorin sulamisen joulukuun alun 10.13.2 -versiossa, enkä huomannut tuolloin, enkä vieläkään (uusin Safari-lisäpätsi) mitään eroa latensseissa tai prosessoritehoissa; dawina Logic Pro X ja rautana Core audiota natiivisti tukeva Focusraitti. Kokeilin paria vanhempaakin rojektia, jotka pyörivät aiemmin kiikun kaakun tehojen ylärajoilla ja näin ne pyörivät edelleen. Core audio on toki hieman muiden käyttöjärjestelmien rajapintoja integroidumpi, mutta näin periaatteessa en välttelisi päivityksiä, jos olisi Win/ASIO tai Linuxin Jackki käytössä.

 

[Dygaza]

Microsoft julkaisi oman näkemyksensä korjausten vaikutuksesta suorituskykyyn. Eivät vielä julkaisseet benchmarkkeja, mutta antoivat tietoa noin yleisellä tasolla että minne on odotettavissa penaltyä.

Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems

Summary:

• With Windows 10 on newer silicon (2016-era PCs with Skylake, Kabylake or newer CPU), benchmarks show single-digit slowdowns, but we don’t expect most users to notice a change because these percentages are reflected in milliseconds.
• With Windows 10 on older silicon (2015-era PCs with Haswell or older CPU), some benchmarks show more significant slowdowns, and we expect that some users will notice a decrease in system performance.
• With Windows 8 and Windows 7 on older silicon (2015-era PCs with Haswell or older CPU), we expect most users to notice a decrease in system performance.
• Windows Server on any silicon, especially in any IO-intensive application, shows a more significant performance impact when you enable the mitigations to isolate untrusted code within a Windows Server instance. This is why you want to be careful to evaluate the risk of untrusted code for each Windows Server instance, and balance the security versus performance tradeoff for your environment.

For context, on newer CPUs such as on Skylake and beyond, Intel has refined the instructions used to disable branch speculation to be more specific to indirect branches, reducing the overall performance penalty of the Spectre mitigation. Older versions of Windows have a larger performance impact because Windows 7 and Windows 8 have more user-kernel transitions because of legacy design decisions, such as all font rendering taking place in the kernel. We will publish data on benchmark performance in the weeks ahead.

 

[MadMax]

Eikö Windows-tietokoneesi enää käynnisty? Microsoft painoi paniikkinappulaa - Meltdown- ja Spectre-päivityksien jakelu keskeytetty - Tekniikanmaailma.fi

Onko tuolle lehden väitteelle enemmänkin pohjaa, että päivitys olisi vaurioittanut myös Intel koneita?

 

[Kautium]

Eikö Windows-tietokoneesi enää käynnisty? Microsoft painoi paniikkinappulaa - Meltdown- ja Spectre-päivityksien jakelu keskeytetty - Tekniikanmaailma.fi

Onko tuolle lehden väitteelle enemmänkin pohjaa, että päivitys olisi vaurioittanut myös Intel koneita?

Samaa puolueellista klikkihuoraus-paskaa ilman perusteita mitä nykyinen verkko-TM on suoltanut jo vuosia. Itse uutisessakin todetaan, että "jakelu on keskeytetty tietyiltä AMD-koneilta", eli juuri niiltä Athloneilta, mutta silti piti huomiohakuisesti vetää myös Intel mukaan, vaikka ongelma ei niitä koskekaan.

Voin vain kuvitella miten Esson baarissa taas tuulipuvut kahisevat kun massat pääsevät myllyttämään sitä "paskaa Windowsia".

 

[Tege]

Applehan korjasi tuon prosessorin sulamisen joulukuun alun 10.13.2 -versiossa, enkä huomannut tuolloin, enkä vieläkään (uusin Safari-lisäpätsi) mitään eroa latensseissa tai prosessoritehoissa; dawina Logic Pro X ja rautana Core audiota natiivisti tukeva Focusraitti. Kokeilin paria vanhempaakin rojektia, jotka pyörivät aiemmin kiikun kaakun tehojen ylärajoilla ja näin ne pyörivät edelleen. Core audio on toki hieman muiden käyttöjärjestelmien rajapintoja integroidumpi, mutta näin periaatteessa en välttelisi päivityksiä, jos olisi Win/ASIO tai Linuxin Jackki käytössä.

Tämä kylläkin tuli nyt tammikuussa.

About speculative execution vulnerabilities in ARM-based and Intel CPUs
Apple security updates

 

[Kaotik]

Tämä kylläkin tuli nyt tammikuussa.

About speculative execution vulnerabilities in ARM-based and Intel CPUs
Apple security updates

Puhut nyt eri pätsistä mutta näemmä uutiseenkin on päässyt virhe, 10.13.2 -päivitys tuli jo joulukuussa ja korjasi Meltdownin, eli tämä ei päivitä .1 > .2 vaan .2 > .2 ja korjaa Spectren

 

[DEMON IN AIR]

Voin vain kuvitella miten Esson baarissa taas tuulipuvut kahisevat kun massat pääsevät myllyttämään sitä "paskaa Windowsia".

Mahdotonta, sillä Esso-ketju lopetettiin vuonna 2006.

Koska mieleni on utelias, uninstalloin bitdefenderin jonka jälkeen päivitys napsahti oitis koneelle. Ajelin CDM:n ja onhan tuossa eroja, mutta noilla ei liene tällaisen kotikäyttäjän kannalta merkitystä? Pelaan ja surffaan.

Spoileri: CDM results

 

[TML]

Koska mieleni on utelias, uninstalloin bitdefenderin jonka jälkeen päivitys napsahti oitis koneelle.

Eikös eilen pitänyt olla viimeinenkin Bitdefender softa pätsätty tukemaan tai ilmoittamaan tukensa Windows patchille? Information for Bitdefender users on the Microsoft January 2018 Security Update - Bitdefender
Toki ehkä pieni viive tossa, että osalla vasta tänään Bitdefenderin kanssa lähtee pelittää.

 

[runboy93]

Microsoft says its Meltdown and Spectre patches slow down older PCs more than newer ones (2016 and later) - Liliputing

 

[Kautium]

Mahdotonta, sillä Esso-ketju lopetettiin vuonna 2006.

Esson baari on mielentila, ei paikka.

 

[JiiPee]

Microsoft says its Meltdown and Spectre patches slow down older PCs more than newer ones (2016 and later) - Liliputing

Ettei olis markkinointi osasto laitettu hommiin eli ostakaa uutta ostakaa.

 

[Kautium]

Microsoft says its Meltdown and Spectre patches slow down older PCs more than newer ones (2016 and later) - Liliputing

Laadukas artikkeli taas.

TM:n tapaan ovat vetäneet mutkat suoriksi klikkien perässä ja toteavat mm. näin:

nterestingly Microsoft hasn’t said anything about the performance impact on computers with AMD processors. Then again, the company just halted the rollout of security updates to some AMD-powered machines because it was resulting in users being unable to boot their PCs. So I guess that’s a pretty big performance hit.

Höhö! Tietyt AMD-koneet ottavat niin paljon osumaa suorituskykyyn, että koneet eivät edes boottaa!!! Höhö!!!

 

[copter]

Hetznerillä on ihan hyvä Wiki -sivu aiheeseen liittyen miten heidän palvelimien patchit menee (eri käyttikset jne): https://wiki.hetzner.de/index.php/Spectre_and_Meltdown/en

 

[Tup3x]

Microsoft julkaisi oman näkemyksensä korjausten vaikutuksesta suorituskykyyn. Eivät vielä julkaisseet benchmarkkeja, mutta antoivat tietoa noin yleisellä tasolla että minne on odotettavissa penaltyä.

Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems

Summary:

Olisi kiva nähdä benchmarkkeja siitä, kuinka suuri vaikutus käytännössä on noille vanhemmille rossuille. Jos tää ivy bridge hidastuu selvästi, niin kai sitä pitää alkaa päivittelemään.

 

[TAspect]

Olisi kiva nähdä benchmarkkeja siitä, kuinka suuri vaikutus käytännössä on noille vanhemmille rossuille. Jos tää ivy bridge hidastuu selvästi, niin kai sitä pitää alkaa päivittelemään.

Ivy bridge ja sitä vanhemmat eivät toistaiseksi tulleen tiedon mukaan tule saamaan BIOS päivitystä haavoittuvuuksia vastaan.

Intelin tiedotteessa puhuttiin 90% alle 5v vanhojen prosessorien saavan päivityksen tämän viikon aikana, mutta siinä ei mainittu tuon vanhemmista mitään.

Haswell prosessoriin oli tullut overclockers foorumin mukaan päivitys, joka on aiheuttanut prosessorin epävakautta vakiona työpöydällä.

Käsittääkseni Asus on ilmoittanut että yli 5v vanhoille emoille ei tule päivitystä. Muut valmistajat ovat jättäneet vastaamatta kyselyihin.
Käsittääkseni meltdownin tukkiminen vaatii windows päivityksen lisäksi uuden mikrokoodin, ja specte vähintäänkin jäänee tukkimatta ilman uutta biosta.

 

[TML]

Käsittääkseni Asus on ilmoittanut että yli 5v vanhoille emoille ei tule päivitystä.

Joo-o, pitää varmaan alkaa selvittelemään mitä kaikkea mitigation toimenpitetä tarjolla speksien kokoonpanoon. Niitä kuitenkin on, ja työstetään. Eikö peräti Googlekin jotain värkkää.

Heittäkää toki joku source jos on tiedossa.
Ei sillä etteikö päätös olisi yllättävä.

 

[hkultala]

Käsittääkseni meltdownin tukkiminen vaatii windows päivityksen lisäksi uuden mikrokoodin

Ei vaadi. Riittää, että käyttis poistaa virtuaalimuistimappaykset kokonaan sivuilta, joita ei saa lukea.

(Kun aiemmin ne virtuaalimuistimappaykset oli läsnä, mutta merkattu kielletyiksi käyttää)

Mikrokoodipäivitykset liittyivät todennäköisesti spectreen, ei meltdowniin, tai JOS meltdown pystytään mikrokoodipäivityksellä tukkimaan, se tarkoittaa sitten sitä, että käyttikseltä EI tarvita MITÄÄN muutoksia, nuo virtuaalimuistimappaykset voi jättää ennalleen.

 

[Kautium]

Mikrokoodipäivitykset liittyivät todennäköisesti spectreen, ei meltdowniin

Juuri näin.

 

[TAspect]

Ei vaadi. Riittää, että käyttis poistaa virtuaalimuistimappaykset kokonaan sivuilta, joita ei saa lukea.

(Kun aiemmin ne virtuaalimuistimappaykset oli läsnä, mutta merkattu kielletyiksi käyttää)

Mikrokoodipäivitykset liittyivät todennäköisesti spectreen, ei meltdowniin, tai JOS meltdown pystytään mikrokoodipäivityksellä tukkimaan, se tarkoittaa sitten sitä, että käyttikseltä EI tarvita MITÄÄN muutoksia, nuo virtuaalimuistimappaykset voi jättää ennalleen.

Totta, muistin väärin.
Tuossa kuvassahan tuo lukee, spectre päivitys on windowsissa läsnä, muttei käytössä ilman bios päivitystä.
windows OS support present = true, enabled = false

 

[spede]

Ubuntuun oli nyt viimein saapunut Meltdown-tilkitty kerneli, jonka sitten ajoin NASsiin (Haswell Pentium G3200) sisään. Tulos:

Olisi edes käyttökone, mutta kun nassiin ole näppäimistöä saati näyttöä normaalisti kytkettynä niin ketuttaa urheilla näiden päivitysten kanssa.

 

[rick_james]

Joo-o, pitää varmaan alkaa selvittelemään mitä kaikkea mitigation toimenpitetä tarjolla speksien kokoonpanoon. Niitä kuitenkin on, ja työstetään. Eikö peräti Googlekin jotain värkkää.

Heittäkää toki joku source jos on tiedossa.
Ei sillä etteikö päätös olisi yllättävä.

Joku heitti redditin puolella, että lataa Intelin sivuilta uusimman mikrokoodin (joka on kyllä Linuxiin tarkoitettu vaikka sama se taitaa olla Windowsillekin?) ja esim. VMware CPU Microcode Driver:lla laittaa sen sisään. Itsellä ei ole tietotaitoa tarpeeksi, että voisin sanoa onko tuo turvallista tai järkevää, enkä itse ole tuota uskaltanut vielä kokeilla, joku paremmin asiasta tietävä voisi valaista hieman.

Tuolta mikrokoodi:
Download Linux* Processor Microcode Data File

Tuolla se sisään:
VMware CPU Microcode Update Driver

Ilmeisesti tuo VMwaren systeemi asentaa sen aina bootissa, että se pitää olla siis asennettuna aina?

Tosiaan en voi suositella tekemään tuota, kun en tiedä mahdollisia seurauksia, enkä ota mitään vastuuta, jos prossusta tulee entinen. En edes tiedä antaako tuo päivitetty mikrokoodi vanhemmille prossuille mitään uutta.

 

[Stephen Elop]

Alkuperäinen kirjoittaja Stephen Elop: ↑
Käsittääkseni meltdownin tukkiminen vaatii windows päivityksen lisäksi uuden mikrokoodin

Ei vaadi...

Nyt tässä systeemissä on vissiin mennyt lainaukset vähän väärin... Ainakaan en itse muista että olisin kirjoittanut Meltdowin vaativan myös mikrokoodipäivityksiä. No joo ei liity asiaan...Jatkakaa.

 

[JiiPee]

 

[hkultala]

Alkuperäinen kirjoittaja Stephen Elop: ↑
Käsittääkseni meltdownin tukkiminen vaatii windows päivityksen lisäksi uuden mikrokoodin

Nyt tässä systeemissä on vissiin mennyt lainaukset vähän väärin... Ainakaan en itse muista että olisin kirjoittanut Meltdowin vaativan myös mikrokoodipäivityksiä. No joo ei liity asiaan...Jatkakaa.

ohoh.

korjasin.

Olin ehkä meinannut alkaa vastaamaan johonkin viestiisi, jättänyt sen kirjoittamisen kesken, ja myöhemmin vastannut tuohon niin sinne jääänyt to alku tuosta.

 

[TenderBeef]

No ohhoh, Acerin tuelta pamahti tällainen viesti:

laitteenne ei ole alttiina Spectre- ja Meltdown-haavoittuvuuksille. Listan mahdollisesti vaarassa olevista laitteista löydätte osoitteesta Intel Security Vulnerabilities Regarding Intel® Management Engine (ME), Intel Server Platform Services (SPS), and Intel Trusted Execution Engine (TXE)

Koneeni todellakin on haavoittuvainen.. tuo linkki on Intel Management Engine haavoittuvuuksista. Hyvin pelaa Acerin support. zeezus.

 

[JiiPee]

No ohhoh, Acerin tuelta pamahti tällainen viesti:


Koneeni todellakin on haavoittuvainen.. tuo linkki on Intel Management Engine haavoittuvuuksista. Hyvin pelaa Acerin support. zeezus.

Vaikuttaa varsin asiantuntevilta tunareilta jotka tuon on julki pistäneet..

 

[8540]

Tosiaan, jos microcode päivitys ajetaan sisään käyttistasolta niin se täytyy olla aina asennettuna. Toinen vaihtoehto on päivittää BIOS. BIOS määrää alkuperäisen microcoden, jonka sitten bootloaderi yliajaa, eli jos microcode myöhemmin poistetaan, palautuu toiminta siihen mitä BIOS:ssa on, koska käyttis ei osaa ylikirjoittaa microcodeosiota BIOS:sta....

Linuxilla Intelin microcode päivityksen voi asentaa useimmiten asentamalla paketin intel-ucode (joka siis sisältää kaikki Intelin microcodepäivitykset ja pitäisi olla joka paketinhallinnasta saatavissa, Debianilla näkyy olevan nimellä intel-microcode ja löytyy non-free reposta, joka täytyy ensin ottaa erikseen käyttöön), AMD:n microcode on linux-firmware paketissa mukana, joka on peruspaketti ja aina asennettu, eli vain Intel-käyttäjien tarvitsee asentaa erikseen. Microcoden .img pitää olla bootloaderissa ennen Linux .img:ea jotta se tulee käyttöön, mutta GRUB tekee tämän automaattisesti, kun sen config vain päivitetään intel-ucoden asentamisen jälkeen. Eli asentaa vain paketin intel-ucode ja päivittää GRUB:n. Jos käyttää jotain muuta bootloaderia kuin GRUB:ia niin silloin käsittääkseni pitää manuaalisesti värkätä bootloaderin sekaan tuo intelin microcodepäivitys. grub.cfg:n initrd kohdan tulee näyttää siis tältä:

initrd /intel-ucode.img /initramfs-linux.img

Käsittääkseni version 2 "Spectre" vaatii microcodepäivityksen OS päivityksen lisäksi, kun OS päivitys riittää versioihin 1 (myös "Spectre") ja 3 ("Meltdown"). Ja tätä Intel ei siis aio tuottaa yli 5 vuotta vanhoihin prosessoreihin. Tosin Spectre on kuulemma hankala toteuttaa ja täten ei riitä ainoaksi syyksi normikäytössä lähtä ostamaan uutta rosessoria.

Ubuntuun oli nyt viimein saapunut Meltdown-tilkitty kerneli, jonka sitten ajoin NASsiin (Haswell Pentium G3200) sisään. Tulos:

Olisi edes käyttökone, mutta kun nassiin ole näppäimistöä saati näyttöä normaalisti kytkettynä niin ketuttaa urheilla näiden päivitysten kanssa.

Tuon takia itse huolin NAS:iin vain hardwarea joka tukee IPMI:ä. Helppo vaikkapa biossia säädellä netin ylitse. Maksaa yleensä hieman enemmän kun löytyy vain serverikäyttöön tarkoitetuilta emolevyiltä. Mutta on se vaan niin paljon helpompi hallita ja värkätä, ettei voi kuin suositella...
Itsellä ei ainakaan Arch:ssa mitään ongelmia ole ollut fiksatussa kernelissä (4.14-sarja), mutta Ubuntu tietääkseni muokkaa kerneliä runsaamminpuoleisesti? Enkä ole huomannut mitenkään koneenkaan hidastuneen. Onko kellään havaintoja onko missään mittailtu ja julkaistu artikkelia kuinka päivitys on tiputtanut suorituskykyä ja missä tilanteissa? Käsittääkseni tuo suorituskyvyn tippuminen on varsin riippuvainen tilanteesta.

Itsellä kun NAS:ssa FreeNAS käyttiksenä, niin saanee vielä odotella päivitystä. FreeBSD (josta FreeNAS siis tehdään/muokataan) kun sai tiedon koko ongelmasta vasta joulukuun lopussa:

4 January: About the Meltdown and Spectre attacks: FreeBSD was made aware of the problems in late December 2017. We're working with CPU vendors and the published papers on these attacks to mitigate them on FreeBSD. Due to the fundamental nature of the attacks, no estimate is yet available for the publication date of patches.

Kun Linuxpuolelle tämä tieto tuli jo marraskuussa, esim. Ubuntu on ilmoittanut saaneensa tiedon tästä NDA:n alaisena "jo" 9 päivä marraskuuta. Sitä en tiedä saiko kernel porukka jo ennen tätä tietoonsa (tai saiko esim. Microsoft tai Apple tietää jo ennen tätä), mutta FreeBSD on aika pahassa jälkijunassa... Ihme ettei kukaan heille ilmoittanut aikaisemmin...