全站已经启用SSL TLS1.2,如果打开缓慢请切换谷歌或者阿里DNS

牙膏挤大了?Intel CPU有重大硬件安全bug,修复后会降低最多30%性能【更新测试】

业界资讯 爱科技Blog 6个月前 (01-03) 245次浏览 0个评论

目前已知波及的CPU

1.六代至八代酷睿(Skylake,kabyLake,coffeelake)

2.Xeon E3-1200 V5/V6 系列

3.Xeon W系列

4.Xeon Scalable系列

5.Atom C3000 Series

6.Applo Lake 奔腾/ATOM E3900系列

7.赛扬N/J系列

?企业级的至强Xeon E5/E7不在列表之中。

? 这个漏洞可以被用来执行任意代码,促使个人电脑,服务器,物联网设备崩溃或者不稳定工作(底层漏洞入侵过程不可能防御

漏洞需要在本地利用,ME管理引擎支持AMT技术,所以被发起远程攻击的可能性也比较大!

相关测试,转自MOEPC

正在流传关于Intel CPU重大硬件bug的消息,该bug【现在还处于保密状态】导致的安全问题直接影响到Amazon、Google等巨型云服务商,能够直接对同一台主机内的其他虚拟机进行读写操作。

相应的补救措施正在进行中,据称修复后对硬件性能会带来最高30-35%的负面影响。

【更新去年11月的一则补丁信息:通常会有个位数的性能影响,平均5%;但最差的情况下性能会降低30%,比如有大量syscall(系统调用) 和context switch(上下文切换) 的环回网络测试
Phoronix的测试表明个别极端情况下会超过50%。

更新Phoronix对Linux补丁的性能测试,I/O,SQL等测试性能下降明显,部分项目超过50%。

x264等基本只活动于用户空间的程序则基本不变
Linux游戏性能没有变化

Page Table Isolation (PTI)正被被迅速引入Linux4.15内核标准,还被移植回了4.14。大量内核改动被放进KAISER 系列补丁,首次发布是在10月。

概念很简单,当进程在用户空间中运行时,通过尽量不在进程页表中映射Linux内核,阻止试图从非特权用户空间的代码对内核虚拟地址范围进行的识别。

抽象来讲,当用户代码在CPU中运行时,会移除内存管理硬件中内核地址空间的所有信息。

该代码已经涉及到了内核的基础 – 核心部分,而且补丁的优先级非常高,十万火急。
通常Linux内存管理的补丁,在整合前很久就会发布首个reference,然后经历无数轮测试、退回、测试、退回的轮回。

而KAISER(现在称KPTI)在3个月内就完成了整合。

【那行X86_CPU_BUG_INSECURE的flag已经足够明显…附带“CPU不安全,需要PTI”的注释】

微软从去年11月也开始进行类似功能 – ASLR/VA Isolation的开发,Windows 10 Fast Ring的用户应该很快会收到补丁。

PTI是给Intel CPU准备的,为的就是解决Intel CPU硬件bug导致的安全问题。PTI影响到虚拟内存等核心功能,因此在某些情况下会带来极大的性能损失:i7-6700【Skylake-S】降低29%性能;i7-3770S【IvyBridge-S】会损失34%性能。受影响的推测是P6架构【有speculative reference】,从PII到目前Coffee Lake所有成员,最少也是Nehalem往后的架构,并不是只有上面举例的这俩。

AMD Linux内核/软件工程师 Thomas Lendacky称AMD CPU由于架构上并不允许memory references,并不受这类bug的影响,也无需开启PTI。
【更新:AMD工程师提交的patch尚未被Linux整合,所以现在Linux补丁后默认AMD处理器也是打开PTI的,可能也会导致性能损失。
解决方法:1.等待patch被整合 2.用nopti关闭PTI】


爱科技博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明牙膏挤大了?Intel CPU有重大硬件安全bug,修复后会降低最多30%性能【更新测试】
喜欢 (2)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址