Intelin prosessoreista löytynyt bugi vaatii suorituskykyyn vaikuttavan käyttöjärjestelmätason

[antero]

SpecuCheck:
GitHub - ionescu007/SpecuCheck: SpecuCheck is a Windows utility for checking the state of the software mitigations against CVE-2017-5754 (Meltdown) and hardware mitigations against CVE-2017-5715 (Spectre)

Onko tuota exenä

Missä vaiheessa tämä muuttui 3 eri haavoittuvuudeksi? Vai onko nyt vain kehitetty yhteen haavoittovuuteen 3 eri hyökkäystapaa?

edit: tuollahan tuota juttua onkin
Prosessoreiden tuoreet haavoittuvuudet julki: Meltdown ja Spectre - io-tech.fi

 

[prc]

Onko tietoa miten on Snapdragon Kryo:n laita? Ainakin SD835 Kryo 280 on joku custom A-73, mutta mites SD820 / SD821?

Osa noista Spectren hyökkäysvektoreista ilmeisesti toimii about kaikilla out-of-order coreilla, joten kannattanee olettaa niidenkin olevan haavoittuvaisia.

 

[runboy93]

Osa noista Spectren hyökkäysvektoreista ilmeisesti toimii about kaikilla out-of-order coreilla, joten kannattanee olettaa niidenkin olevan haavoittuvaisia.

Nyt vain odotellaan:
Android Security Bulletin—January 2018  |  Android Open Source Project

 

[Nuff Said]

Jos jotakuta dokumentaatiot haavoittuvuuksista kiinnostavat niin niitä voi käydä lukemassa tuolta.
https://meltdownattack.com/meltdown.pdf
https://spectreattack.com/spectre.pdf

 

[jive]

Spectren white paper oli ihan mielenkiintoista luettavaa. Meltdown on OoO toteutuksen ominaisuus, mutta toistaiseksi AMD:llä tuo ei ole toistettavissa ja ilmeisesti koskee vain yhtä ARMv8-A prossun toteutusta. Spectre on kyllä sen verran akateeminen, sille minäkin muuten hyväksyn SCA leiman, että mitenkähän mahtaa oikeasti onnistua kyseinen exploit. Se ei sinänsä ole OoO ominaisuus vaan SCA haarautumisennustamista vastaan. Teoreettisesti näillä ei ole relaatiota, mutta taitaa olla harvassa sellaiset haarautumisennustamisyksiköt, joissa OoO ei olisi oletettu.

Hyvä esimerkki tosin siitä että patternit on kaksiteräinen miekka.

 

[HEDT]

Jos Intelin lausunnon totuus tästä vielä muuttuu, on sijoittajilta tiedossa Intelille haasteita lakitupaan.

Kyllähän tässä oli medioissa (pl. Io-Tech) ihan selvää Intellin ajojahtia/ liijoittelua.

AMD vielä eilen: "Meillä on 100% turvatut prossut".

Nyt AMD: "AMD:n tiedotteessa kehutaan, miten nyt paljastuneet hyökkäysmetodit ovat todistaneet koko alan yhteistyön toimivan hyvin ja että täydellinen turvallisuus on jatkossakin vaikeasti tavoiteltava unelma".

Testatkaa Lightroomilla. Jollain isolla tietokannalla. Please.

Miten LR: lla pitäisi testata? Käytävätkö 100 000 kuvan kirjastoa (tuskin) vai 10 kuvan - Joka tapauksessa vain ko. kuvan tiedot luetaan (käyttää lisäksi GPU kiihdytystä).

 

[Mechanical Man]

Kyllähän tässä oli medioissa (pl. Io-Tech) ihan selvää Intellin ajojahtia/ liijoittelua.

AMD vielä eilen: "Meillä on 100% turvatut prossut".

Nyt AMD: "AMD:n tiedotteessa kehutaan, miten nyt paljastuneet hyökkäysmetodit ovat todistaneet koko alan yhteistyön toimivan hyvin ja että täydellinen turvallisuus on jatkossakin vaikeasti tavoiteltava unelma".

Miten LR: lla pitäisi testata? Käytävätkö 100 000 kuvan kirjastoa (tuskin) vai 10 kuvan - Joka tapauksessa vain ko. kuvan tiedot luetaan (käyttää lisäksi GPU kiihdytystä).

höpöhöpö. aikaisemmin oli vain meltdownista vuotanut tietoa. Siinä suhteessa asiasta keskusteltiin ja siinä suhteessa asia on niin, että amd on ainoa jossa haavoittuvuutta ei ole.

Nämä kaksi spectre varianttiahan olivat pysyneet kannen alla. Niiden suhteen siis keskustelua ei edes käyty.

ILmeisesti nyt vielä on niin, että meltdown on se pontentiaalisin käytettäväksi.

 

[-SD-]

 

[runboy93]

AMD vielä eilen: "Meillä on 100% turvatut prossut".

RPi 3 BCM2837 (A-53) on ainakin 100% turvallinen näitä ongelmia vastaan.

Edit: Aijai, Tinker Board on A-17 :/

 

[Sothis]

Hardware Unboxed on jo ehtinyt testaamaan Windowsin korjauspätsin i7-8700K:lla.

 

[HEDT]

höpöhöpö. aikaisemmin oli vain meltdownista vuotanut tietoa. Siinä suhteessa asiasta keskusteltiin ja siinä suhteessa asia on niin, että amd on ainoa jossa haavoittuvuutta ei ole.

Nämä kaksi spectre varianttiahan olivat pysyneet kannen alla. Niiden suhteen siis keskustelua ei edes käyty.

Kyllähän nuo on jo olleet pidempään aikaa tiedossa.
Sekä aina on ollut haavoittuvuuksia ja tule olemaankin.

 

[antero]

Hardware Unboxed on jo ehtinyt testaamaan Windowsin korjauspätsin i7-8700K:lla.

Miten se näyttää että coffee lake kärsii eniten?
Peleissä ei ole juuri eroa. Voisiko olla joku cache virhe testissä?

Tosin testi ei ole todellinen koska se ajettu huippumallilla, pitäisi olla i3 coffelakesta esim.
Silloin erot oli varmaan selvemmat normaali käyttäjälle.

Kyllähän nuo on jo olleet pidempään aikaa tiedossa.
Sekä aina on ollut haavoittuvuuksia ja tule olemaankin.

ehkä 12tuntia yleisessä tiedossa.

 

[juha88]

RPi 3 BCM2837 (A-53) on ainakin 100% turvallinen näitä ongelmia vastaan.

Edit: Aijai, Tinker Board on A-17 :/

Lelut leluina, ei kai kukaan käytä toiminto- tai tietoturvakriittisissä kohteissa.

 

[juha88]

”A *competent* CPU engineer would fix this by making sure speculation doesn't happen across protection domains. Maybe even a L1 I$ that is keyed by CPL.

I think somebody inside of Intel needs to really take a long hard look at their CPU's, and actually admit that they have issues instead of writing PR blurbs that say that everything works as designed.

.. and that really means that all these mitigation patches should be written with "not all CPU's are crap" in mind.

Or is Intel basically saying "we are committed to selling you shit forever and ever, and never fixing anything"?

Because if that's the case, maybe we should start looking towards the ARM64 people more.

Please talk to management. Because I really see exactly two possibibilities:

- Intel never intends to fix anything

OR

- these workarounds should have a way to disable them.

Which of the two is it?

-Linus Torvalds”

LKML: Linus Torvalds: Re: Avoid speculative indirect calls in kernel

 

[halcyon]

Hardware Unboxed on jo ehtinyt testaamaan Windowsin korjauspätsin i7-8700K:lla.

Tiivistelmä:

- Jos asennat Meltdown-haavoittuvuutta koskevan pätsin KB4054022, ja olet käyttänyt "Reset This PC -toimintoa", voi asennus kilahtaa 99% kohdalle. Eli backupit / image kuntoon ensin.

- Windows 10:ssä 8700K raudalla, Meltdown-paikon jälkeen peleissä, rendaus, pakkaus, excel, hyötysovelluksissa erot ovat virhemarginaalin sisällä, eli ei hidastumista/nopeutumista.

- Ainoa selkeä toistettava ero oli SSD-levyllä 4K Random Read tulosten putoaminen ~20% luokkaa.

- Nämä eivät ole kaikki testit, tämä KB4054022 ei ole ainoa pätsi (lisää tulee varmaan liittyen Spectreen, joka on tutkijoiden mukaan kasa erilaisia haavoittuvuuksia ja niihin liittyviä hyökkäysvektoreita).

Muualta poimittuna isoilla tietokanta- ja virtualisointikuormilla, etenkin jos on paljon syscall-funktiokutsuja, käytössä on nyt juuri julkaistu pätsätty Linux-ydin, hidastus voi olla huomattavaa (sitä ~ -30% - -50% luokkaa pahimmillaan, mitä toistaiseksi olen nähnyt.

Kaikki varmasti vielä muuttuu ja elää.

Olenpa tyytyväinen, että jätin isomman päivityksen odottamaan, tuo Spectre näyttää siltä, että aivan triviaalisti sitä ei paikata ilman sivuvaikutuksia, ainakaan nopeasti. Ja jos (ainakin teoriassa) riittää, että hyökkäys ajetaan selaimen sisällä (vaikka Chromessa, hiekkalaatikon sisässä) JavaScriptillä, eikä käyttäjän tarvitse olla kirjautuneena admin-tunnuksin, niin hyökkäyksen datasiirtohitaudesta huolimatta, tuolla voidaan lukea ja ajaa mielivaltaisesti (joskin vielä tunnetuilla vektoreilla, rajoitetusti).

 

[runboy93]

Because if that's the case, maybe we should start looking towards the ARM64 people more.

Nyt on kunnon puhetta.

 

[halcyon]

Lelut leluina, ei kai kukaan käytä toiminto- tai tietoturvakriittisissä kohteissa.

“Poikani, kunpa tietäisit, miten vähällä järjellä tätä maailmaa hallitaan.”
-- Axel Oxenstierna

Maailma on täynnä erilaisia reikiä, aina Siemensin sentrifugaattoria ohjaavista sulautetuista järjestelmistä optisiin sensoreihin ja mekaanisiin kytkimiin. Ja se koodi on niissä toteutettu rautatasolla, ilman päivitysmahdollisuutta.

Ystäväni isä suunnitteli ydinvoimaloiden sähkö- ja ohjausjärjestelmiä erään maan ydinvoimaloissa (ei Suomessa). Hänen tarinansa ovat aika legendaarisia, niistä sitten joskus lisää, kun voimalat eivät enää ole aktiivikäytössä :-D

 

[antero]

”A *competent* CPU engineer would fix this by making sure speculation doesn't happen across protection domains. Maybe even a L1 I$ that is keyed by CPL.

I think somebody inside of Intel needs to really take a long hard look at their CPU's, and actually admit that they have issues instead of writing PR blurbs that say that everything works as designed.

.. and that really means that all these mitigation patches should be written with "not all CPU's are crap" in mind.

Or is Intel basically saying "we are committed to selling you shit forever and ever, and never fixing anything"?

Because if that's the case, maybe we should start looking towards the ARM64 people more.

Please talk to management. Because I really see exactly two possibibilities:

- Intel never intends to fix anything

OR

- these workarounds should have a way to disable them.

Which of the two is it?

-Linus Torvalds”

LKML: Linus Torvalds: Re: Avoid speculative indirect calls in kernel

Toki niin käy että ei intel mitään voi vanhoja prossuja korjata. Se on helppo sanoa että arm on turvallinen, koska se on kertakäyttö prossu. Tähän asti niitä on käytetty max 4-5v. Ei ole silloin niin paljon tiedossa olevia tietoturva ongelmia kuin kauemmin ja yleisimmin käytössä olevilla. Jos windows laitetaan arm:n alkaa ongelmia löytyä enemmän, uskon että ARM on oikonu paljon enemmän suorituskykyä parantaakseen.

Why Linux pioneer Linus Torvalds prefers x86 chips over ARM processors


Hyvin mies aina seilaa sopivassa myötävirtauksessa että lausunnot kuulostaa viisailta.

 

[Heicci]

No onneksi intellin pr ymmärtää tämän paremmin kuin täällä.
2/3 mitre tunnisteen saaneesta haavoittuvuudesta koskee myös amd:tä, joten... Totuuden saa aina kertoa.

Unohtamatta Intelin Management Engineä? Sekin vain odottaa aukkojen todentamista jolloin paska taas vyöryy. Väittäisin että ME aukkojen etsintä saa uusia voimia tästä meltdown/spectre huumasta.

ME:stä löydettiin juuri aukko johon on emolevyvalmistajilta tullut korjauspäivityksiä.
Tosin ainakin oman Maximus VIII Rangerin tuo päivitys paskoi totaalisesti, boottaaminen hidastui tai ei onnistunut lainkaan, ja lepotilasta ei palautunut ollenkaan. Oli pienen työn takana saada edellinen versio takaisin kun sitä ei missään erikseen ollut jaossa. Ja biosista ei pysty kytkemään ME:tä pois käytöstä.

Intel Chip Flaws Leave Millions of Devices Exposed

 

[HEDT]

ehkä 12tuntia yleisessä tiedossa.

En puhunut mistään ns. "yleisestä tiedosta", VAAN AMD: sta (myös heillä on sisäpiirin tietoa). Silti:

AMD vielä eilen: "Meillä on 100% turvatut prossut".

Nyt AMD: "AMD:n tiedotteessa kehutaan, miten nyt paljastuneet hyökkäysmetodit ovat todistaneet koko alan yhteistyön toimivan hyvin ja että täydellinen turvallisuus on jatkossakin vaikeasti tavoiteltava unelma".


Lähde, että ovat olleet pidemmän aikaa tietoisia asiasta:

Reading privileged memory with a side-channel - 酷辣虫

We reported this issue to Intel, AMD and ARM on 2017-06-01

 

[Cirrus]

AMD vielä eilen: "Meillä on 100% turvatut prossut".

Seuraavaksi varmaankin kerrot missä amd sanoi "Meillä on 100% turvatut prossut".

 

[antero]

En puhunut mistään ns. "yleisestä tiedosta", VAAN AMD: sta (myös heillä on sisäpiirin tietoa). Silti:

AMD vielä eilen: "Meillä on 100% turvatut prossut".

Nyt AMD: "AMD:n tiedotteessa kehutaan, miten nyt paljastuneet hyökkäysmetodit ovat todistaneet koko alan yhteistyön toimivan hyvin ja että täydellinen turvallisuus on jatkossakin vaikeasti tavoiteltava unelma".


Lähde, että ovat olleet pidemmän aikaa tietoisia asiasta:

Reading privileged memory with a side-channel - 酷辣虫

We reported this issue to Intel, AMD and ARM on 2017-06-01

Asia selvä, mutta pitää muistaa että pörssiyritysten lausunnot ei ole koskaan suunnattu käyttäjille, vaan pörssille.

Asia kyllä oli "To be clear, the security research team identified three variants targeting speculative execution. The threat and the response to the three variants differ by microprocessor company, and AMD is not susceptible to all three variants. Due to differences in AMD's architecture, we believe there is a near zero risk to AMD processors at this time"

 

[Stephen Elop]

Intel pomon olisi myös pitänyt tietää, että haavoittuvuus ei koske kilpailijan tuotetta.

Tosin voi olla että CES2018 tapahtumassa Intel pomoa ei nähdä, vaan herralla on muita "kiireitä", mikäli hänen piti tapahtumaan edes tulla alunperinkään.

 

[halcyon]

Kyllä Spectre-haavoittuvuuskategoria lienee jotain, mitä ei heti noin vain pätsätä:



IBM:n SecurityIntelligence:ssä kohtuuhyvä yhteenveto:

CPU Vulnerability Can Allow Attackers to Read Privileged Kernel Memory and Leak Data

 

[antero]

Kyllä Spectre-haavoittuvuuskategoria lienee jotain, mitä ei heti noin vain pätsätä:



IBM:n SecurityIntelligence:ssä kohtuuhyvä yhteenveto:

CPU Vulnerability Can Allow Attackers to Read Privileged Kernel Memory and Leak Data

Tarkoittaa että prosessorin rakennetta pitää muuttaa radikaalisti, ohjelmisto pätsi "onnistuu" kyllä.
Mutta kuten spekuloin itsekseni, tuleeko tästä uusi "flash" eli päivitettävä korjauksia tämän tästä.
Intel on luvannut korjattuja prosessoreita tämän vuoden aikana.

 

[hkultala]

Arm Processor Security Update – Arm Developer

Cortex-A53 ei ole ainakaan listalla?

Chip architecture - is the Pi vulnerable? - Raspberry Pi Forums

Cortex-A53 ole out of order-prosessori, vaan in-order-mopo.

In-order-prosessoreissa spekulatiivisen suorituksen toiminta on todella paljon rajoitetumpaa kuin out-of-order-prosessoreissa, joten nämä hyökkäykset ei onnistu in-order-prosessoreilla.

ARMeista OoOEta tekee Cortex A9, A12, A15, A17, A57, A72, A73 ja A75.

 

[hese_e]

Asia selvä, mutta pitää muistaa että pörssiyritysten lausunnot ei ole koskaan suunnattu käyttäjille, vaan pörssille.

Sitähän ne kieltämättä on. Pörssi reagoikin odotetusti. The Register esitti jo käännöksensä Intelin pressitiedoteesta, muutama poiminta:

"
Intel and other technology companies have been made aware of new security research describing software analysis methods that, when used for malicious purposes, have the potential to improperly gather sensitive data from computing devices that are operating as designed.

Translation: When malware steals your stuff, your Intel chip is working as designed. Also, this is why our stock price fell. Please make other stock prices fall, thank you."

"
Intel believes these exploits do not have the potential to corrupt, modify or delete data.

Translation: Look, over here! Scary words! And we deny them! And you'll forget that this is about stealing information, not tampering with it."

"
Recent reports that these exploits are caused by a “bug” or a “flaw” and are unique to Intel products are incorrect.

Translation: Pleeeeeease, pleeeeease do not sue us for shipping faulty products or make us recall millions of chips."


Meltdown iskee kyllä datakeskuksiin ikävästi ja on vain intelin riesa. Tuo Spektre onkin jännepi tapaus.

 

[antero]

Jotenki sopii yhteen Intelin tavoitteena 300 Miljardin arvo neljässä vuodessa ja vialliset prosessorit.
Tähän asti melko tasaista ja nyt alkaa nousu.

Inside Intel's $300 billion, five-year plan

 

[user9999]

Nyt on Windows 10 updatessa jaossa:
https://support.microsoft.com/en-ca/help/4056892/windows-10-update-kb4056892

 

[hkultala]

Miten se näyttää että coffee lake kärsii eniten?
Peleissä ei ole juuri eroa. Voisiko olla joku cache virhe testissä?

Tuossa oli hyvin levy-IO-intensiivinen benchmark, ja coffee lakella käytössä paljon nopeampi SSD kuin kaby lakella.

Eli ilman patchiä tilanne oli enemmän levyrajoitteinen, coffee lake- koneen nopea SSD pääsi oikeuksiinsa, ja se oli paljon kaby lakea nopeampi.

Patchin kanssa tilanteesta tuli enemmän CPU-rajoitteinen jolloin coffe lake-koneen nopeasta SSDstä ei ollut niin paljoa hyötyä -> pudotus suurempi.


Tuossa ei siis käytännössä oikeasti vertailtu eri CPUita vaan eri levyjä, nopean levyn kanssa vaikutus suurempi

 

[user9999]

Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
https://support.microsoft.com/en-us...or-it-pros-to-protect-against-speculative-exe

 

[santsikuppi]

Tuleeko tämä vaikuttamaan peliservereihin, onko odotettavissa tehon laskua niissä? Ja näkyykö se pelaajille millään lailla?

 

[Kizmo]

Mukava haavoittuvuus tuo intelin meltdown

 

[AION]

Vaikka tämä sivusto nyt keskittyykin enemmän tietokoneella pelaamiseen ja perus hyötysoftiin niin aika monella kuitenkin täällä on serveri puolellekkin intressejä, oli ne sitten jotain koti virityksiä, pelipalvelimia tai duuni intressejä.

Näin ollen, jos @Sampsa sen näkee asialliseksi ja aikaa riittää, niin tätä voisi kyllä testata ihan oikeallakin virtualisointi ympäristöllä. Itse en ymmärtänyt tuosta Phronoxin testistä mitään kun kaveri ajaa yhtä VM:ää per serveri.

Hyvä testi imho olisi laittaa jou perus 8+ core pulkka jollain 32+ muistilla ja vaikka parilla SSD levyllä, iskeä siihen vaikka joku 10 2GB palvelinta ja jokaiseen niihin joku webbi softa. Sitten joku SQL palvelin esmes 10GB muistilla ja noihin palvelimiin joku webbi serveri ja sitten rakennella clientti, joka paukuttelee vaikka jotain 50 requestia per sekunti noihin palvelimiin ja katsoa, että kuinka paljon tämä korjaus hidastaa average response timejä.

Jos apua tarvii tuollaisen pystyttämiseen niin voin kirjottaa ton webbi palvelimen softan esmes Spring bootilla ja tuon clientin Javalla. Sitten tekeekö ton itse virtualisoinnin vaikkapa VMWarella tms on toinen kysymys.

Myös ton yhden ison SQL:n sijaan voisi laittaa noihin kaikkiin web palvelimiin embedded kannan.

 

[antero]

Vaikka tämä sivusto nyt keskittyykin enemmän tietokoneella pelaamiseen ja perus hyötysoftiin niin aika monella kuitenkin täällä on serveri puolellekkin intressejä, oli ne sitten jotain koti virityksiä, pelipalvelimia tai duuni intressejä.

Näin ollen, jos @Sampsa sen näkee asialliseksi ja aikaa riittää, niin tätä voisi kyllä testata ihan oikeallakin virtualisointi ympäristöllä. Itse en ymmärtänyt tuosta Phronoxin testistä mitään kun kaveri ajaa yhtä VM:ää per serveri.

Hyvä testi imho olisi laittaa jou perus 8+ core pulkka jollain 32+ muistilla ja vaikka parilla SSD levyllä, iskeä siihen vaikka joku 10 2GB palvelinta ja jokaiseen niihin joku webbi softa. Sitten joku SQL palvelin esmes 10GB muistilla ja noihin palvelimiin joku webbi serveri ja sitten rakennella clientti, joka paukuttelee vaikka jotain 50 requestia per sekunti noihin palvelimiin ja katsoa, että kuinka paljon tämä korjaus hidastaa average response timejä.

Jos apua tarvii tuollaisen pystyttämiseen niin voin kirjottaa ton webbi palvelimen softan esmes Spring bootilla ja tuon clientin Javalla. Sitten tekeekö ton itse virtualisoinnin vaikkapa VMWarella tms on toinen kysymys.

Myös ton yhden ison SQL:n sijaan voisi laittaa noihin kaikkiin web palvelimiin embedded kannan.

Vaikuttaa liian hankalalta sivuston resursseihin nähden. Mikään ei estä sinua tekemästä testiä ja julkaisemasta sivustolla. Selkeästi sinulla enemmän osaamista sillä alueella.

 

[AION]

Vaikuttaa liian hankalalta sivuston resursseihin nähden. Mikään ei estä sinua tekemästä testiä ja julkaisemasta sivustolla. Selkeästi sinulla enemmän osaamista sillä alueella.

Totta tuo mutta kun ei perkele ole oikeen rautaa. Just duuni loppumassa nykysessä firmassa niin ei viitsi näiden rautaa käyttää ja sitten taas uudessa duunissa ei varmaan viitti ekalla viikolla alkaa säätämään

Ja himassa ei oikein oo kun toi mopo pelikone niin sillä ei varmaan pääse mihinkään järkevään skenaarioon

 

[Kautium]

Vaikka tämä sivusto nyt keskittyykin enemmän tietokoneella pelaamiseen ja perus hyötysoftiin niin aika monella kuitenkin täällä on serveri puolellekkin intressejä, oli ne sitten jotain koti virityksiä, pelipalvelimia tai duuni intressejä.

Näin ollen, jos @Sampsa sen näkee asialliseksi ja aikaa riittää, niin tätä voisi kyllä testata ihan oikeallakin virtualisointi ympäristöllä. Itse en ymmärtänyt tuosta Phronoxin testistä mitään kun kaveri ajaa yhtä VM:ää per serveri.

Hyvä testi imho olisi laittaa jou perus 8+ core pulkka jollain 32+ muistilla ja vaikka parilla SSD levyllä, iskeä siihen vaikka joku 10 2GB palvelinta ja jokaiseen niihin joku webbi softa. Sitten joku SQL palvelin esmes 10GB muistilla ja noihin palvelimiin joku webbi serveri ja sitten rakennella clientti, joka paukuttelee vaikka jotain 50 requestia per sekunti noihin palvelimiin ja katsoa, että kuinka paljon tämä korjaus hidastaa average response timejä.

Jos apua tarvii tuollaisen pystyttämiseen niin voin kirjottaa ton webbi palvelimen softan esmes Spring bootilla ja tuon clientin Javalla. Sitten tekeekö ton itse virtualisoinnin vaikkapa VMWarella tms on toinen kysymys.

Myös ton yhden ison SQL:n sijaan voisi laittaa noihin kaikkiin web palvelimiin embedded kannan.

Tuollaisen vertailutestin tekeminen olisi järkevää vasta kun on päivitys olemassa myös sille hypervisorille, eikä pelkästään virtuaalikoneille. Hypervisoriksi kannattaa mielestäni valita suosituin, eli VMware, mutta sille ei ainakaan vielä ole tarjolla päivitystä. HyperV:llä olisi toki hieman helpompi testata kun se tulee käyttiksen mukana, mutta sitten testi ei vastaa suoraan oikeaa tuotantoympäristöä.

 

[AION]

Tuollaisen vertailutestin tekeminen olisi järkevää vasta kun on päivitys olemassa myös sille hypervisorille, eikä pelkästään virtuaalikoneille. Hypervisoriksi kannattaa mielestäni valita suosituin, eli VMware, mutta sille ei ainakaan vielä ole tarjolla päivitystä. HyperV:llä olisi toki hieman helpompi testata kun se tulee käyttiksen mukana, mutta sitten testi ei vastaa suoraan oikeaa tuotantoympäristöä.

Totta. Voishan sitä jonkun KVM:n tms viritellä mutta toi VMWare ois paras. Eiköhän sieltä toki se päivitys jossain vaiheessa tule...

 

[user9999]

Totta. Voishan sitä jonkun KVM:n tms viritellä mutta toi VMWare ois paras. Eiköhän sieltä toki se päivitys jossain vaiheessa tule...

VMwarella jotain jo.
VMSA-2018-0002

 

[Kaotik]

Ongelma tuon Spectren kanssa on vain se, että sitä ei kernel päivityksellä korjata. Se on kaikkien nykyprosessorien arkkitehtuuriin sisältyvä "ominaisuus", oli valmistaja kuka tahansa. Meltdownia, joka koskee Inteliä ja joitain ARM-ytimiä, korjataan kernel-päivityksellä. Spectren korjaaminen vaatii arkkitehtuurin uudelleensuunnittelua. Sen "hyvä" puoli on, että onneksi se on varsin vaikeasti hyödynnettävissä Meltdowniin.

Sami Riitaoja tuolla aiemmin mainitsi saman asian, mitä pohdiskelin eilen nukkumaan mennessä itsekseni. Tuo Meltdown rautabugihan ei mihinkään poistu millään kernel-päivityksellä ja haavoittuvuus sinällään siis säilyy edelleen. Päivityksen jälkeen on vain luotettava siihen softaan, eli käyttikseen, että homma todellakin toimii 100%:n turvallisesti. Jos ylläpitäisin jotain pirun kriittistä järjestelmää, en olisi edelleenkään täysin rauhallisin mielin tietäen, että se Meltdown on edelleen olemassa.

Käsittääkseni Spectrestä puolet (variantti 1) korjataan nimenomaan noilla softapäivityksillä ja esimerkiksi AMD:n kohdalla kukaan ei ole sitä variantti 2:sta onnistunut vielä demonstroimaan niiden prossuilla vaikka se teoriassa ilmeisesti onkin haavoittuva

 

[hkultala]

AV-softat taas loistaa

https://support.microsoft.com/en-us...garding-the-windows-security-updates-released

El jotkut 3rd party-antivirus-softat tekee jotain temppuja jotka ei toimi näiden patchien kanssa, ja kaataa koneen.

Ja tämän takia patchejä ei oletuksena asennetakaan kaikille.


Tämä taas entisestään vahvistaa sitä pointtia, että nykyään käyttäjällä, joka yhtään tietää mitä tekee (eikä ole ajamassa jokaista pornosivun tai phishing-mailin tarjoamaa exe-tiedostoa) odotusarvo AV-sofiten aiheuttamille ongelmille on suurempi kuin odotusarvo AV-softien ehkäisemille ongelmille.

 

[AION]

Käsittääkseni Spectrestä puolet (variantti 1) korjataan nimenomaan noilla softapäivityksillä ja esimerkiksi AMD:n kohdalla kukaan ei ole sitä variantti 2:sta onnistunut vielä demonstroimaan niiden prossuilla vaikka se teoriassa ilmeisesti onkin haavoittuva

Näin ainakin AMD selittää, että ykkösen voi korjata softalla:
An Update on AMD Processor Security | AMD

Ja sitten taas tuohon kakkoseen nimenomaan oli nuo päivitykset, josta Linus otti taas kierroksia. Katsoo sen threadin ekan postin:
LKML: Andi Kleen: Avoid speculative indirect calls in kernel

"This is a fix for Variant 2"

 

[AION]

AV-softat taas loistaa

https://support.microsoft.com/en-us...garding-the-windows-security-updates-released

El jotkut 3rd party-antivirus-softat tekee jotain temppuja jotka ei toimi näiden patchien kanssa, ja kaataa koneen.

Ja tämän takia patchejä ei oletuksena asennetakaan kaikille.


Tämä taas entisestään vahvistaa sitä pointtia, että nykyään käyttäjällä, joka yhtään tietää mitä tekee (eikä ole ajamassa jokaista pornosivun tai phishing-malin tarjoamaa exe-tiedostoa) odotusarvo AV-sofiten aiheuttamille ongelmille on suurempi kuin odotusarvo AV-softien ehkäisemille ongelmille.

Onkohan noi perus AV - softia vai näitä next-generation softia, esmes Sylance tai Traps... Ois kiva tietää.

 

[Sulava]

VMwarella jotain jo.
VMSA-2018-0002

Mainitsemisen arvoista että VMware ei tarvitse erillistä korjausta Meltdownille.

A third issue due to speculative execution, Rogue Data Cache Load (CVE-2017-5754), was disclosed along the other two issues. It does not affect ESXi, Workstation, and Fusion because ESXi does not run untrusted user mode code, and Workstation and Fusion rely on the protection that the underlying operating system provides. Lähde

 

[Kaotik]

Pistetääs tähän väliin muistutus kaikille, että olemme ohjanneet lähes kaiken aiheeseen liittyvän uutisoinnin keskustelut tähän yhteen ja samaan ketjuun.
Aiheen uutiset löytyvät etusivulta tagilla KPTI
Tähän mennessä julkaistut uutiset:
Intelin prosessoreista löytynyt bugi vaatii suorituskykyyn vaikuttavan käyttöjärjestelmätason päivityksen - io-tech.fi
Linus Torvalds kommentoi Intelin bugin suorituskykyvaikutusta - io-tech.fi (Oma kommenttiketjunsa)
ARM julkaisi tiedotteensa koskien prosessoreiden tuoretta tietoturva-aukkoa - io-tech.fi
Intel antoi virallisen lausunnon prosessoreidensa tietoturvauhasta - io-tech.fi
Microsoft julkaisi KPTI-päivityksen prosessoreiden tuoreeseen tietoturva-aukkoon - io-tech.fi
Prosessoreiden tuoreet haavoittuvuudet julki: Meltdown ja Spectre - io-tech.fi (Oma kommenttiketjunsa)
AMD julkaisi oman tiedotteensa koskien Meltdown- ja Spectre-tietoturvauhkia - io-tech.fi

 

[rick_james]

https://support.microsoft.com/en-hk...or-it-pros-to-protect-against-speculative-exe

Siitä testaamaan päivityksen jälkeen. Kiinnostaa tietää onko AMD:n prossun omaavissa systeemeissä tuo korjaus käytössä.

E: Ilmeisesti korjaus vaatii Microsoftin mukaan vielä prossun firmware/mikrokoodipäivityksiä

"Customers who only install the Windows January 2018 security updates will not receive the benefit of all known protections against the vulnerabilities. In addition to installing the January security updates, a processor microcode, or firmware, update is required. "

 

[vmovapd]

Testasin pikaisesti PTI:n vaikutusta Ryzenillä kun oli backportattu 4.14.11:een ja enabloin sen mielenkiinnosta.

Reippaasti säikeitä synkronoivalla koodinpätkällä niin pienellä datasetillä, että 16 säiettä dippaa joka tapauksessa luokkaa 7 kertaa hitaammaksi yhteen säikeeseen nähden, oli vain 0-3 % luokkaa hitaampi PTI:llä. Datasetillä, joka oli 16 säikeellä lähes yhtä nopea kuin yhdellä, hidastui ~8 %. Tuosta reilu kuusi kertaa enemmän laskentaa vaativa setti (reilu 2,5x single thread - nopeus) hidastui reilu 4 %. Tuosta 16 kertaa enemmän laskentaa vaativa pysyi ~1 % pinnassa.

Ffmpeg:llä enkoodaus x264:lla SD-filu pienellä bitratella ei hidastunut (prossu idlasi ~1/3 suoritinajasta), mutta systime näkyi kasvaneen 25 % (kuitenkin alle prosentti koko suorittimen käyttöajasta).

 

[Kautium]

VMwarella jotain jo.
VMSA-2018-0002

Tiedote on uusi, mutta mm. VMware ESXi 6.0:lle tuo suositeltu paikkaus on julkaistu jo 2017 marraskuussa. Joko ovat tienneet siellä sisäpiirin kautta jo siinä vaiheessa jotain, tai sitten onnistuivat tekemään paikkauksen tuurilla tulevaisuutta varten.

VMware Knowledge Base

Edit. Typo

 

[user9999]

Tiedote on uusi, mutta tuo suositeltu paikkaus on julkaistu jo 2017 syyskuussa. Joko ovat tienneet siellä sisäpiirin kautta jo siinä vaiheessa jotain, tai sitten onnistuivat tekemään paikkauksen tuurilla tulevaisuutta varten.

Eiköhän vmware ole tiennyt tuon olemassa olon. Samaan tapaan kuin Apple paikannut osittain High Sierran jo 6.12.2017. Nyt sitten vasta ilmoittavat asiasta.

Haavoittuvuus 001/2018: Meltdown- ja Spectre -hyökkäykset hyödyntävät prosessorien ongelmia
Myös useat muut valmistajat, kuten VMWare, Citrix, Google, Mozilla ja F5 ovat julkaisseet päivityksiä.

 

[Asmola]

Näemmä omakin Windows löysi päivityksen tuohon Meltdowniin, ainakaan 3DMark Firestrikessä ei mitään vaikutusta suorituskykyyn (jos jotain kiinnostaa). Nuo <1% erot menee tässä testissä virhemarginaaliin:

Result