Не устанавливайте патчи от Intel для исправления уязвимостей Spectre в Linux-системах.


Intel в понедельник предупредила о том, что следует прекратить установку текущих версий патчей для Spectre (CVE-2017-5715), которые Линус Торвальдс отметил комментарием «абсолютнейший мусор».

Spectre (проверка обхода границ массива CVE-2017-5753, инъекция целевой ветви CVE-2017-5715) и Meltdown (CVE-2017-5754 — «расплавляет» разграничение доступа к страницам памяти, лечится KPTI-патчем) представляют собой уязвимости, обнаруженные исследователями в начале этого месяца во многих процессорах Intel, ARM и AMD, используемых в современных ПК, серверах и смартфонах. Они могут позволить злоумышленникам украсть ваши пароли, ключи шифрования и другую личную информацию.

С прошлой недели пользователи начали сообщать, что после установки пакета обновлений безопасности, выпущенного Intel, они столкнулись с проблемами, которых не было ранее. Например, спонтанные перезагрузки и другое «непредсказуемое» поведение системы.

Осознав эти проблемы, Intel рекомендовала OEM-производителям, поставщикам облачных услуг, производителям систем, поставщикам программного обеспечения, а также конечным пользователям прекратить установку текущих версий обновлений до тех пор, пока чип-гигант не разработает «a solution to address it».
«В настоящее время мы определили основную причину проблем для платформ Broadwell и Haswell и добились значительных успехов в разработке решения», — говорится в пресс-релизе Intel, опубликованном в понедельник.
«В минувшие выходные мы начали тестирование ранней версии обновленного патча с отраслевыми партнерами. Мы опубликуем окончательную версию, как только тестирование будет завершено».
Между тем, в открытом электронном письме Линус Торвальдс эмоционально заявляет, что он недоволен подходом Intel к защите ядра Linux от уязвимостей Spectre и Meltdown:
«Они творят безумные вещи. Они делают то, что не имеет смысла… Я в самом деле не хочу, чтобы эти мусорные патчи были бездумно отправлены… Я думаю, нам нужно что-то лучшее, чем этот мусор». — сказал Торвальдс.
Использование патчей от Intel требует, чтобы пользователи вручную включали и выключали исправление во время загрузки компьютеров, в то время как исправления безопасности для такой критической уязвимости должны применяться автоматически.

Это связано с тем, что «Indirect Branch Restricted Speculation» или IBRS — один из трёх новых аппаратных патчей, предлагаемых Intel для микрокода CPU, настолько неэффективен, что приводит к серьезному удару по производительности. Другими словами, чтобы предотвратить низкую производительность в тестах, Intel предлагает пользователям выбирать между производительностью и безопасностью.
The whole IBRS_ALL feature to me (Linus Torvalds) very clearly says «Intel is not serious about this, we'll have a ugly hack that will be so expensive that we don't want to enable it by default, because that would look bad in benchmarks».
Другими исправлениями являются Page Table Isolation (pti) против Meltdown и Indirect Branch Prediction Barriers (IBPB), также как и IBRS, против Spectre (CVE-2017-5715).

Полный текст призыва одуматься инженерам Intel от Линуса Торвальдса можно найти здесь.

Red Hat, VMware, Lenovo и другие вендоры из-за жалоб пользователей приняли решение отозвать патчи. Новые патчи Intel будут доступны в ближайшее время. Мы обновим эту новость после их выхода.

Ранее мы писали на Хабре о том, насколько медленнее будут ваша система после патчей для Spectre-Meltdown.

Стоит отметить, что до обновлений от Intel, специалисты Google выпустили программную конструкцию retpoline, созданную ими для защиты от атак Spectre и обладающую меньшими накладными расходами.

Подробнее о Retpoline

Intel опубликовала результаты тестирования производительности серверных систем


Ранее были предоставлены данные о производительности для клиентских систем, а 17 января появились результаты использования систем с обновлениями безопасности на стороне центров обработки данных. Эти результаты получены в соответствии с отраслевыми стандартами и полезны, но в конечном итоге для клиентов важнее их собственные рабочие нагрузки. На сегодняшний день протестированы серверные платформы с системами Intel Xeon Scalable (Skylake) с новейшей серверной микроархитектурой.

Как и ожидалось, результаты тестирования показывают разное влияние на производительность, которое варьируется в зависимости от конкретных рабочих нагрузок и конфигураций. Система с нагрузкой, которая включает в себя большее количество изменений привилегий пользователя/ядра будет иметь большее снижение производительности.


Результаты бенчмарков

Комментарии (54)


  1. playnet
    24.01.2018 11:55

    Intel предлагает пользователям выбирать между производительностью и безопасностью.

    Как будто это плохо. Мне дома например совершенно не нужны потери в 30%, нет там критичных данных, а fps нужны.
    Сервера — другое дело.


    1. mefest
      24.01.2018 12:03

      вы не все, а некоторые и те же игры покупают в steam. Думаю никто не захочет потерять свой аккаунт steam или слить данные кредитных карт.


      1. maxkuzubov
        24.01.2018 12:21
        -1

        выход есть — купить консоль и играть. ps4+VR куда лучше справляется в играми на самом то деле…


        1. crazylh
          24.01.2018 13:53

          Только не 4, а 3 надо брать. В 3 Cell, в 4 AMD и не факт что на нем нет уязвимости.


          1. Salabar
            24.01.2018 21:24

            У главного ядра Cell есть спекулятивное исполнение и предсказатель ветвлений, так что увы.


            1. khim
              24.01.2018 22:17

              Однако система защиты исполняется не на нём, а на отдельном SPU, специально изолированном от всей системы и имеющее даже отдельную память.


              1. kmeaw
                25.01.2018 07:36

                Изоляцией памяти занимается гипервизор, так что она не такая уж «отдельная».


                1. khim
                  25.01.2018 13:39

                  Это вы с Xbox360 перепутали. На PS3 каждое SPU имело отельные 256KB памяти, никак не связанной с основной — и когда SPU переходило в «изолированный» доступ в эту память со стороны хост-системы становился невозможен. И ровно такое ядро использовалось для защиты.


        1. rogoz
          24.01.2018 13:54

          Кстати, в консолях Spectre вполне в наличии. А если бы консоли были бы на интеле, было бы ещё веселее.


        1. GoldJee
          24.01.2018 16:32

          Можете привести пруфы или хотя бы аргументацию вашей позиции? Часто в консольных играх видим 30 FPS lock и занижение максимального разрешения. При этом в PC-версии тех же игр 60 фпс и 4к. Яркий пример: Destiny 2.


          1. VioletGiraffe
            24.01.2018 17:50

            А ещё на ПК есть моды, и на нём можно не только играть.


          1. Goodkat
            24.01.2018 22:15

            Для 60 фпс на 4К в современных игрушках нужна видеокарта, которая стоит как две консоли. А если у вас нет самого ПК для втыкания в него этой видюхи (у меня вот неигровой ноутбук), то скромный ПК обойдётся как ещё одна консоль, а игровой — как две или дороже.


            1. Gugic
              25.01.2018 02:37

              Решаемо при "правильном" ноутбуке


          1. eoffsock
            26.01.2018 18:46

            Ну кстати 30 кадров на консоли вообще не ощущается. Динамика игр другая совсем. Я играл в Destiny на консоли, дискомфорта не было. В Destiny 2 на ПК не могу играть без 60+ кадров, сразу ощущение, будто игра тормозит.


        1. YetAnotherSlava
          24.01.2018 20:57

          Игорь тонет же.


      1. freeart
        24.01.2018 17:30

        у меня визуально упала скорость ue4 движка, и нагрузка на процессор не падает ниже 30%, я бы с удовольствием отключил этот патч


        1. Taciturn
          24.01.2018 17:48

          В Linux и Windows всё легко отключается.


          1. freeart
            24.01.2018 17:50

            Спасибо! я уже подумывал перейти на amd, производительность упала в разы, температура ядер около 100 градусов. Отличные новости как кошелька.


            1. izzholtik
              24.01.2018 21:07

              У вас проблемы с охлаждением. Даже если ноутбук.


              1. AllexIn
                24.01.2018 21:41

                100 градусов нормальная температура для процессора под нагрузкой.
                Даже RPI до 100 градусов греется штатно: https://geektimes.ru/post/272060/


                1. izzholtik
                  25.01.2018 00:56

                  Категорически нет. Распберри сбасывает частоту и рисует иконку перегрева начиная с 80 градусов. Для разных моделей интелов 90-105 — температура аварийного отключения, троттлинг начинается существенно раньше.


                1. carebellum
                  25.01.2018 08:09

                  да нет, 100 — это многовато, если на постоянной основе, то привет тротлингу и деградации производительности


                  1. AllexIn
                    25.01.2018 09:59

                    Я не говорил про постоянную основу.


                    1. carebellum
                      25.01.2018 10:50

                      вы сказали, что 100 градусов на проце — это нормально для ноутбука и, судя по контексту, не должно приводить к деградации производительности


                      1. AllexIn
                        25.01.2018 10:52

                        Я говорил о том, что 100 градусов в пике на проце не говорят о проблеме охлаждения.


                        1. izzholtik
                          25.01.2018 13:25

                          С живой термопастой (даже КПТ-8) унылый стоковый кулер с радиатором в 2 пальца высотой неограниченно долго держит 60-70°C при 100% загрузке CPU + GPU на десктопном камне с 75 Вт тепловыделения. Вам стоит проверить систему охлаждения.


                          1. AllexIn
                            25.01.2018 13:27

                            А откуда вы взяли вот эти вот уточнения про 75Вт?
                            Добавьте еще, что если проессор не разгонялся, например. Чем не допущение?


                            1. izzholtik
                              25.01.2018 13:43

                              Если процессор разогнан, то очевидно, что он больше не обязан укладываться в указанные допуски по энергопотреблению и выделению тепла. Возможно, K-серии являются исключением, но вряд ли любители разгона будут воспринимать всерьёз подобные ветки с хабра.
                              75 Вт — потому что у меня и дома, и на работе уже несколько лет процессоы с 75 Вт TDP, лол. Причём на работе — в одном корпусе с древней 150-ваттной видеокартой, постоянно загруженной под завязку отрисовкой курсора.
                              И да, вот данные с моего рабочего компа под 100% загрузкой ЦП:


                              1. AllexIn
                                25.01.2018 13:44

                                А какое имеет значение что у вас дома или на работе?


                                1. izzholtik
                                  25.01.2018 13:48

                                  А, ну ок, можете убивать железо дальше.


                                  1. izzholtik
                                    25.01.2018 17:31

                                    Спасибо за карму.


                                1. rogoz
                                  25.01.2018 13:53

                                  AllexIn скажите модель процессора.


                                  1. AllexIn
                                    25.01.2018 14:01

                                    Какого процессора? У меня ничего до 100 градусов не греется.
                                    Последний раз я сталкивался с 100 градусами в полностью исправном устройстве — лет 7 назад. Это был один из макбуков в unibody корпусе. В те времена была беда с охлаждением и много брака было. Но они и без брака под нагрузкой до сотни разогревались.


                                    1. rogoz
                                      25.01.2018 16:40

                                      Потерял я нить разговора, надо было freeart спрашивать.


                                      1. freeart
                                        25.01.2018 18:54

                                        communities.intel.com/thread/54032?start=30&tstart=0 Он у меня на такой температуре работает уже 4 года и мне не особо интересно решать эту проблему, поэтому я не участвую в таких дискуссиях. Как умрет куплю 8-е поколение, но он все умереть никак не может, даже при 110 не уходит в троттлинк, у меня уже впечатление что это программная проблема прошивки или датчика. Я не могу ее перепроверить, т.к. это температура ядер внутри металлической коробки.


                                1. izzholtik
                                  25.01.2018 17:36
                                  -1

                                  НИКАКОЙ процессор не может работать при таких температурах. Хоть супер-про-оверклокерский, хоть ноутбучный, хоть китайский, хоть распаянный на распберри, у которой есть ровно одно назначение — быть впаренной лоху.
                                  Я описал свой личный опыт. У вас есть что-то, кроме пустых слов?


                                  1. AllexIn
                                    25.01.2018 17:40

                                    Гугл вам в помощь.
                                    Гуглить по запросу: MacBook Unibody overheat

                                    Часть ответов будет про «мне попался бракованный», а вторая «мне сказали в сервисе что всё норм, работает при 100 градусах круглыми сутками, пока всё норм».

                                    Ваше личное мнение — это конечно круто, но при чем тут оно вообще?

                                    ПЛюс почему вы настаиваете на «НЕ МОЖЕТ РАБОТАТЬ». Речь шла о «Может разогреваться до таких температур при полностью работоспособной системе охлаждения».


                                    1. izzholtik
                                      25.01.2018 18:10

                                      Если СО допускает нагрев до критических температур, значит, она неисправна или неправильно спроектирована.
                                      Я проверял поведение десктопных атомов под перегревом. После 95 стабильно отваливается Ethernet и начинаются артефакты на встроенной графике, ближе к 100 зависают.
                                      Мне плевать, что в какой-то старой эппловской модели процессор был в постоянном перегреве.
                                      Вы — пустослов. Вы не можете ничего, кроме как придираться к словам. Приведите спецификации процессоров, в которых 100°C — нормальная температура, а троттлинг начинается хотя бы от 110.


                1. Frankenstine
                  25.01.2018 17:19

                  У меня Core i5 шестого поколения не греется выше 60. По крайней мере без разгона.


            1. kalininmr
              24.01.2018 21:39

              неужто прям в разы?
              у меня заметно, конечно, но не настолько.
              i5 шестой серии


      1. ProFfeSsoRr
        25.01.2018 10:04

        Такой сценарий не про эти уязвимости. Они опасны в датацентрах в первую очередь, на хостингах всяких. Дома учетку от Steam вряд ли таким путем угонять будут.


    1. Djaler
      24.01.2018 12:13

      Как раз таки в играх потерь в производительности практически нет.


      1. freeart
        24.01.2018 19:13

        Вот мое наблюдение: игры которые используют физику, поиск пути, много динамического освещения проседают единовременно по фпс в момент, когда много интеракций, а в целом такое не отразится на тестах, но когда играешь, это раздражает. там падение avg будет 1%, но визуально на долисекунды подвисает. Ничего не утверждаю, и основываюсь на своих впечатлениях после патча на мощном конфиге компа


    1. Litlman
      24.01.2018 13:01

      Для большинтсва домашний комп поважнее рабочего, а то и есть одно целове…


  1. Taciturn
    24.01.2018 14:51

    По сути заголовок конечно правильный, но впечатление создаётся не очень верное. Обновления микрокода не являются специфическими именно для Linux, там их чуть проще самостоятельно заменить, не более.


  1. focuspocus
    24.01.2018 16:11
    +1

    там David Woodhouse все же написал ответочку. интересующимся советую ознакомиться со всей веткой. retpoline на skylake не панацея, как оказалось. Негодование Линуса понятно, но тут либо ждать, либо латать, используя лучшие доступные варианты. И еще, видимо, нужно писать развернутые комменты к патчам;)


  1. praeivis
    24.01.2018 16:12

    Кто не видел та самая ветка где «Линус Торвальдс отметил комментарием «абсолютнейший мусор»»: lkml.org/lkml/2018/1/21/192


  1. Alexsandr_SE
    24.01.2018 16:54

    Сейчас даже обновление виндовс привносит большие спонтанные проблемы. Обновлять биос в такой ситуации вообще не решаюсь.


    1. sebres
      25.01.2018 20:46

      И прально.
      82% (по записи) это прекрасно, а вот как например с этим жить:


      | AVG / Med |  Request-Time |   Req-Time *P |        Speed |     Speed *P | Regr. |
      | --------- | ------------- | ------------- | ------------ | ------------ | ----- |
      | Average   | 0.013872 ms/# | 0.031127 ms/# |  72087 #/sec |  32126 #/sec | 44,6% |
      | Median-Lo | 0.001306 ms/# | 0.002305 ms/# | 765898 #/sec | 433853 #/sec | 48,1% |
      | Median-Hi | 5.216570 ms/# | 10.83760 ms/# |    191 #/sec |     92 #/sec | 56,7% |

      Это среднее/медианы по логу за тест-день от одного сильнонагруженого сервера (микро-сервисинг) до и после… На той же самой тестовой нагрузке, после отката баз и всего сопутствующего. И окончания с отставанием в 25 минут (после update).
      Ну и изменение в LA там видно как на ладони и все 24-и ядра загружены под 100% (там где раньше добрый такой запас "прочности" был).
      И это еще чисто исполнение (т.е. обвязка в виде RPC не измеряется)...


      А самое противное, что задержка выросла с 0.1-0.2 сек до 0.7-1.5 сек, при максимально допустимой в 3 сек. Что означает — плюс новый сервер (и вероятно не один) в ближайшем будущем.


      Ох чувствую выручка подрастет у Интелей скоро (акций прикупить что-ли)...


      ПС. как и что они тестируют? single threaded? одно и тоже действие в цикле (без паразитной нагрузки от других операций, вымывания кэша и всего сопутствующего)?


      1. khim
        25.01.2018 23:14

        Без дисковых операций, прежде всего. Всякие Гуглы-Яндексы всё «самое ценное» хранят в памяти и ходить на диск им не нужно.

        У вас же — почти что самый ужасный случай: масса переключений контекста и I/O. Коечно производительность просядет!


        1. sebres
          26.01.2018 10:48

          хранят в памяти и ходить на диск им не нужно.

          Нужно, нужно… да и писать надо "иногда" (хотя бы в логи).


          У вас же — почти что самый ужасный случай: масса переключений контекста и I/O

          Не, массовый контекст-свич появился как раз после "пропатчивания" (параметры системы расчитаны как раз так чтобы редко переключатся), а IO в массе своей здесь не мерялось (только несколько потоков пишут bulk асинхронно), но видимо увеличивает "паразитную" нагрузку (ибо оно есть и в логгере, и в RPC-обертке, конечно).


          Конечно просядет

          Оно "обещалось" 82% по записи (и 98% read/write), вот и где оно спрашивается...


  1. cynovg
    24.01.2018 18:03

    обнаруженные исследователями в начале этого месяца

    В начале месяца эти уязвимости были опубликованы, а обнаружены пол года назад. На пример, о этом написано в Вики.


  1. wikipro
    26.01.2018 08:24
    +1

    Извините за дилетантский вопрос, а российские Эльбрус и Байкал подвержены этим ошибкам ?


    1. prospero78su
      26.01.2018 09:11

      Это те, которые на самом деле сделала Sun Microsystems, а наши только лицензию на них купили, и которые в Тайване делаются? )))