Linux vypol ochranu proti Spectre príliš znižujúcu výkon

Značky: kauza Meltdown a SpectreLinuxIntel

DSL.sk, 26.11.2018

Vývojári linuxového jadra v piatkových aktualizáciách stabilných verzií odstránili štandardne zapnutú ochranu proti útoku typu Spectre V2 mechanizmom STIBP, ktorá príliš znižovala výkon.

Zraniteľnosti v moderných CPU a útoky typu Spectre a Meltdown boli zverejnené na začiatku roka. Druhý variant útoku Spectre zneužíva ovplyvnenie špekulatívneho vykonávania nepriamych skokov na špekulatívne vykonanie útočníkom vybratých inštrukcií, ktoré dokážu postranným kanálom cez cache prezradiť dáta z obsahu pamäti cudzieho procesu.

Ako sme informovali v tomto článku, v pripravovanej verzii 4.20 bolo štandardne na Intel CPU zapnuté využitie mechanizmu STIBP. Ten sprístupnil Intel cez aktualizácie mikrokódu, pričom mechanizmus umožňuje zakázať ovplyvňovať predpovedanie skokov druhým vláknom na rovnakom jadre.

Testy Phoronixu u viacerých záťaží ale ukázali výrazný negatívny dopad na výkon aj v desiatkach percent.

Po návrhu hlavného správcu jadra Linusa Torvaldsa sa vývojári dohodli, že aplikovanie STIBP bude štandardne vypnuté a bude ho možné zapnúť voľbou na príkazovom riadku jadra, bude štandardne povolené pre procesy vyžadujúce bezpečnosť a zároveň si jeho použitie budú môcť vyžiadať jednotlivé aplikácie.

Okrem štandardného zapnutia STIBP do zatiaľ vývojovej verzie 4.20 bola ale zmena už zapracovaná tiež do stabilných verzií LTS jadier 4.14 a 4.19. Teraz v piatok ale ich správca Greg Kroah-Hartman vydal nové verzie 4.19.4 a 4.14.83, ktoré opäť štandardné zapnutie STIBP odstraňujú, upozorňuje Phoronix.


Najnovšie články:



Diskusia:

tutmaci Od: Tukos | Pridané: 26.11.2018 9:28 Som zvedavy ci sa uchyti RISCV Odpovedať Známka: 10.0 Hodnotiť:

zap ci vyp Od: hana.g2 | Pridané: 26.11.2018 9:40 mam tomu teraz rozumiet tak ze to bude std vypnute ale procesy vyzadujuce bezpecnost si to vyziadaju, alebo si to musim zapnut a aj napriek tomu to bude pouzivane iba procesmi ktore si to vyziadaju...nejako som to nerozkodoval :-) Odpovedať Hodnotiť:

Re: zap ci vyp Od: Trt_trt | Pridané: 26.11.2018 9:59 Ano Odpovedať Známka: 10.0 Hodnotiť:

Re: zap ci vyp Od: Tatko Fura | Pridané: 26.11.2018 10:42 Ked ti ide o bezpecnost (na stroji spustas aj untrusted kod), tak HT na Inteloch musis vypnut tak-ci-tak. Ked ti ide o vykon, tak HT nechas zapnute a spominana zaplata uz nebude zbytocne spomalovat. Odpovedať Hodnotiť:

ultraradikalny optimizmus Od: syntaxterrorXX. X | Pridané: 26.11.2018 10:36 Najväčšia prča by bolo zistenie, že výrazný negatívny dopad na výkon aj v desiatkach percent vyvstáva len v kombinácii s ošetrovaním nejakej kvôli spätnej kompatibilite priekazne udržiavanej prkotiny. Odpovedať Známka: -4.3 Hodnotiť:

Re: ultraradikalny optimizmus Od: fghfhj | Pridané: 26.11.2018 10:43 nie, v podstate sa jedna o eliminaciu vykonnostneho efektu hyperthreadingu , kedze Intel pouziva zdielanu cache pre obe vlakna (AMD nie) .. inak povedane, je to defacto to iste, ako ked vypnes hyperthreading Odpovedať Známka: 7.1 Hodnotiť:

Re: ultraradikalny optimizmus Od reg.: milan.ko | Pridané: 26.11.2018 11:34 * udržiavajúcej Odpovedať Známka: 10.0 Hodnotiť:

Re: ultraradikalny optimizmus Od: syntaxterrorXX. X | Pridané: 26.11.2018 12:20 Captainsm skill increased +7. Expert politic level unlocked. Odpovedať Známka: 3.3 Hodnotiť:

5znak Od: XMen | Pridané: 26.11.2018 10:44 Neodstranil ale vypol. Ochrana je tam stale pre paranoikov, ktory si ju mozu zapnut. Odpovedať Známka: 10.0 Hodnotiť:

zap ci vyp Od: hana.g2 | Pridané: 26.11.2018 10:52 dakujem, pride mi to ako ked napisem na nas firemny support, kde popisem komplexny problem a odpoved je jedno slovo, ktore priekazne nejde globalne aproximovat, v tomto pripade to nastastie ako tak islo...:-) Odpovedať Hodnotiť:

Re: zap ci vyp Od: Janko Zygelitki | Pridané: 26.11.2018 12:08 a "pride ti to" ako? mailom, postou alebo samochodom? Odpovedať Hodnotiť:

Re: zap ci vyp Od: amd-man | Pridané: 26.11.2018 13:15 Raz do mesiaca a odstavi ho to od krmelca na tri dni. Odpovedať Známka: 10.0 Hodnotiť:

Re: zap ci vyp Od: amd-man | Pridané: 26.11.2018 13:14 Ta, samozrejme, ked Ti dojde query ako: "ten soft mi nahodis cez deployment policies, alebo sa musim kvoli nemu jebat o dve poschodia vyssie?", spravna odpoved je vzdy a stale "ano". Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár