Offizieller Linux-Thread

crack-king

Administrator
Team-Mitglied
systems, systems, systems, systems, systems, systems
Ist nicht zu 100% passend, aber ich wollte den Thread mal wiederbeleben :D

Intel Memory Leak

Es hat sich herausgestellt, dass Intel in seinen CPUs einen dicken Bug hat der den Zugriff auf den Kernelspeicher ermöglicht. Das große Problem: Der Fix bedeutet dass es Leistungseinbußen gibt. Man geht von bis zu 30% und mehr aus. Hängt letztlich von der Workload aus.

AMD reibt sich gerade die Hände :D

Das beeinflusst sogar Cloudprovider wie Amazon, Google oder Microsoft, da das meiste auf Intel CPUs läuft.

Nur um es klarzustellen: Das betrifft alle: Linux, Windows, Apple, Cloud, whatever mit ner Intel CPU läuft :D (Zum Glück hat Sony auf AMD gesetzt) :D
 
Zuletzt editiert:
systems, systems, systems, systems, systems, systems
PSN-Name: Steiner84
Spielt gerade: auf Zeit
ach was so tragisch ist es nicht. die ersten Benchmarks die ich dazu kenne sind alle sysnthetisch die die krassen drops haben. Reale Szenarien gehen deutlich glimpfliger ab. Datenbanken scheinen noch am härtesten betroffen zu sein mit 5-10% einbußen unter windows.

Spiele sind davon zum großen Teil eh nicht betroffen.

---------- Beitrag um 08:34 Uhr hinzugefügt ---------- Vorheriger Beitrag um 08:24 Uhr ----------

hier ne vernümftig zusammengeschriebene zusammenfassung der Sachlage:
https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

es gibt 3 Bugs, der von dem aktuell geredet wird betrifft wohl nur alle Intel CPU seit 1995 (:ugly:)
die beiden anderen bugs betreffen alle großen Hersteller (AMD, ARM) und sind wohl erheblich schwerer zu fixen (anpassungen an Anwendungen nötig)
 
systems, systems, systems, systems, systems, systems
PSN-Name: Steiner84
Spielt gerade: auf Zeit
naja gut das ist jetzt spekulation..

PoC
[ame]https://twitter.com/misc0110/status/948706387491786752[/ame]

---------- Beitrag um 11:08 Uhr hinzugefügt ---------- Vorheriger Beitrag um 10:49 Uhr ----------

Red Hat has tested complete solutions, including updated kernels and updated microcode, on variants of the following modern high volume Intel systems: Haswell, Broadwell, and Skylake. In each instance, there is performance impact caused by the additional overhead required for security hardening in user-to-kernel and kernel-to-user transitions. The impact varies with workload and hardware implementation and configuration. As is typical with performance, the impact can be best characterized by sharing a range between 1-20% for the ISB set of application workloads tested.
In order to provide more detail, Red Hat’s performance team has categorized the performance results for Red Hat Enterprise Linux 7, (with similar behavior on Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 5), on a wide variety of benchmarks based on performance impact:
Measureable: 8-12% - Highly cached random memory, with buffered I/O, OLTP database workloads, and benchmarks with high kernel-to-user space transitions are impacted between 8-12%. Examples include Oracle OLTP (tpm), MariaBD (sysbench), Postgres(pgbench), netperf (< 256 byte), fio (random IO to NvME).
Modest: 3-7% - Database analytics, Decision Support System (DSS), and Java VMs are impacted less than the “Measureable” category. These applications may have significant sequential disk or network traffic, but kernel/device drivers are able to aggregate requests to moderate level of kernel-to-user transitions. Examples include SPECjbb2005 w/ucode and SQLserver, and MongoDB.
Small: 2-5% - HPC (High Performance Computing) CPU-intensive workloads are affected the least with only 2-5% performance impact because jobs run mostly in user space and are scheduled using cpu-pinning or numa-control. Examples include Linpack NxN on x86 and SPECcpu2006.
Minimal: Linux accelerator technologies that generally bypass the kernel in favor of user direct access are the least affected, with less than 2% overhead measured. Examples tested include Intel DPDK (VsPERF at 64 byte) and Solarflare OpenOnload (STAC-N). We expect similar minimal impact for other offloads.
NOTE: Because microbenchmarks like netperf/uperf, iozone, and fio are designed to stress a specific hardware component or operation, their results are not generally representative of customer workload. Some microbenchmarks have shown a larger performance impact, related to the specific area they stress.
https://access.redhat.com/articles/3307751

---------- Beitrag um 11:13 Uhr hinzugefügt ---------- Vorheriger Beitrag um 11:08 Uhr ----------

patches von MS:
http://www.catalog.update.microsoft.com/Search.aspx?q=2018-01

---------- Beitrag um 11:35 Uhr hinzugefügt ---------- Vorheriger Beitrag um 11:13 Uhr ----------

https://support.microsoft.com/en-us...o-protect-against-the-speculative-execution-s
 
systems, systems, systems, systems, systems, systems
PSN-Name: Steiner84
Spielt gerade: auf Zeit
alter was eine scheiße MS sich da wieder zusammenkackt.
Man hat jetzt alle Updates draußen. Aber installieren....

Zunächst einmal werden die updates über windows update nicht sofort installiert. Es ist nämlich nötig das AV Hersteller zuerst seine Suite patcht und einen reg key setzt. Anhand dieses Keys entscheided Win Update dann ob dir der Patch angeboten wird oder nicht. Soweit so gut, jedenfalls hängt bei mir aktuell erstmal alles an McAffee (oh wait, die gehören ja zu, na, ach ja, Intel! - ok ja, mittlerwiele nur noch zur Hälfte - dennoch)
Wenn das soweit ist kann man patchen. Dann soll man laut MS prüfen ob der patch in effect ist. mit einem Powershellbefehl der nur auf PS V5 läuft. Powershell wird aber nicht über Windows Update verbreitet und ein aktuelles up to date Win Server 2012 R2 hat, na was wohl, kein V5. Natürlich wird das in den Anweisungen mit keinem Wort erwähnt. Also manuell installieren vorher....

Hat man das alles geschafft kommt imo der größte klopper. Damit der PAtch auch wirklich was tut muss man noch 2 reg keys setzen. Mit der Begründung der Performanceeinbußen und das man das vorher testen soll.
Ich wiederhole: Wir sehen uns einer der fundamentalsten, schwerwiegensten Sicherheitslücke aller Zeiten gegenüber und der Patch dazu ist (nach erfolgter Inmstallation! immernoch nur) Opt-In? Really?
Die paar Fälle in denen jemand entscheidet dass ihm 5% mehr leistung wichtiger sind als dieser Patch, die könnten wohl auch mit Opt-Out leben.

---------- Beitrag um 15:33 Uhr hinzugefügt ---------- Vorheriger Beitrag um 14:34 Uhr ----------

AV Liste:
https://docs.google.com/spreadsheet...tckQxYiuirADzf3cL42FQ/htmlview?sle=true#gid=0

---------- Beitrag um 16:05 Uhr hinzugefügt ---------- Vorheriger Beitrag um 15:33 Uhr ----------

[ame]https://twitter.com/GossiTheDog/status/948877694271451137[/ame]

---------- Beitrag um 16:10 Uhr hinzugefügt ---------- Vorheriger Beitrag um 16:05 Uhr ----------

wens interessiert hier noch ein MS Webcast zum Thema

https://attend-noam.broadcast.skype...cqxcbeifngunmhxrkunq3icrcfdv6cwq4mcq&rid=NOAM
 

crysmopompas

I am a bot ¯\_(ツ)_/¯
systems, systems, systems, systems, systems, systems, systems, systems, systems, systems, systems
Spielt gerade: GT7 | 60fps FTW
FUUUUUUUUUUCK. Jetzt kann ich alles wegschmeißen und muß meinen Pentium MMX wiederbeleben X(X(X(

oder einen von den ersten Atoms kaufen ~notsure~


  • of CPU’s most likely immune to Spectre

  • Old X86

    All old 8/16bit x86 and clones
    WinChip
    VIA C3
    386 and clones
    486 and clones
    Pentium 1 (Non Pro) and clones




    Hat man das alles geschafft kommt imo der größte klopper. Damit der PAtch auch wirklich was tut muss man noch 2 reg keys setzen. Mit der Begründung der Performanceeinbußen und das man das vorher testen soll.
    Ich wiederhole: Wir sehen uns einer der fundamentalsten, schwerwiegensten Sicherheitslücke aller Zeiten gegenüber und der Patch dazu ist (nach erfolgter Inmstallation! immernoch nur) Opt-In? Really?
    Gilt das nicht nur für den Fall eines installierten "Virenscanners" von Drittanbietern.
    Die paar Fälle in denen jemand entscheidet dass ihm 5% mehr leistung wichtiger sind als dieser Patch, die könnten wohl auch mit Opt-Out leben.
    Für 5% mehr Leistung zahlen manche sehr viel Geld. Das einfach ohne Nachfrage wegzupatchen sehe ich durchaus problematisch.
    Wie kann ich denn den Patch definitiv abschalten? :ugly: Das Anbieten einzelner Patches hat MS ja eingestellt, von den Zwangsupdates bei W10 mal ganz abgesehen.



    11 Tage zeit zum Patchen - wie großzügig:
    [ame]https://twitter.com/bsdimp/status/950056316642275328[/ame]



    Matthew Dillon sagte:
    Meltdown is an Intel-specific bug. AMD is immune. Some ARM cpus might
    also be vulnerable but DragonFly doesn't run on ARM so... What Meltdown is
    is basically a FULL KERNEL MEMORY disclosure bug. An unprivileged user
    program can essentially discern the contents of all of kernel memory on an
    Intel CPU. The bug works because Intel CPUs will do speculative reads
    across protection domains, allowing the user program to massage the memory
    and branch prediction cache to cause a speculative read of kernel memory
    (even though it crosses the protection domain) followed by a speculative
    conditional execution. Timing can then be used to scan for and distinguish
    the contents of kernel memory.

    DragonFlyBSD master now has a commit to fix this issue. It is not
    considered 100% tested yet, but it is in the tree and has been tested
    fairly well. Unfortunately, the only mitigation possible is to remove the
    kernel memory mappings from the user MMU map, which means that every single
    system call and interrupt (and the related return to userland later) must
    reload the MMU twice. This will add 150ns - 250ns of overhead to every
    system call and interrupt. System calls usually have an overhead of only
    100ns, so now it will be 250nS - 350nS of overhead on Intel CPUs.


    The mitigation is automatically enabled on Intel CPUs, and disabled on AMD
    CPUs. A new sysctl can be used to manually enable or disable the
    mitigation:

    sysctl machdep.isolated_user_pmap

    -- PERFORMANCE EFFECTS ON SYSTEMS --

    Nominal program execution will lose around 5% of its performance with this
    mitigation. e.g. compiles, utilities, etc.
    Not too bad.

    Any system-call-heavy or interrupt-heavy program will lose between 10% and
    30% of its performance. This can include databases, high-speed storage
    operations, very high-speed network operations (e.g. 10GBe or faster), and
    virtualized operations.

    -- ADDITIONAL WORK --

    I will again look into using PCID to further mitigation the problem. We
    currently do not use PCID because it doesn't really improve performance.
    But when this mitigation is enabled, PCID might reduce the impact
    somewhat. Linux kernel programmers are saying that using PCID can reduce
    the impact by 50% (e.g. 5%->30% becomes 3%->15% performance loss). But it
    should be noted that Linux's mitigation is a bit more involved than ours so
    it is unclear whether the same optimization will improve DragonFlyBSD's
    performance when running with this mitigation.

    I should note that we kernel programmers have spent decades trying to
    reduce system call overheads, so to be sure, we are all pretty pissed off
    at Intel right now. Intel's press releases have also been HIGHLY
    DECEPTIVE.
    In particular, they are starting to talk up 'microcode
    updates', but those are mitigations for the Spectre bug, not for the
    Meltdown bug. Spectre is another bug, far more difficult to exploit than
    Meltdown, which leaks information from other processes or the kernel based
    on those other processes or kernel doing speculative reads and executions
    which are partially managed by the originating user process. Spectre does
    NOT involve a protection domain violation like Meltdown, so the Meltdown
    mitigation cannot mitigate Spectre.

    These bugs (both Meltdown and Spectre) really have to be fixed in the CPUs
    themselves. Meltdown is the 1000 pound gorilla. I won't be buying any new
    Intel chips that require the mitigation. I'm really pissed off at Intel.


    -- DRAGONFLY-STABLE --

    This work is now in master. It needs significantly more testing before I
    can move it to -stable and I'm not even sure I CAN move it to -stable
    easily. I will be looking into that on the weekend.

    -Matt
    http://lists.dragonflybsd.org/pipermail/users/2018-January/313758.html



    Hier noch eine Erklärung: https://www.heise.de/newsticker/mel...ectre-sind-ein-Security-Supergau-3935124.html



    Epic sagte:
    Attention Fortnite community,

    We wanted to provide a bit more context for the most recent login issues and service instability. All of our cloud services are affected by updates required to mitigate the Meltdown vulnerability. We heavily rely on cloud services to run our back-end and we may experience further service issues due to ongoing updates.

    Here is a link to an article which describes the issue in depth.

    The following chart shows the significant impact on CPU usage of one of our back-end services after a host was patched to address the Meltdown vulnerability.

    https://www.epicgames.com/fortnite/forums/news/announcements/132642-epic-services-stability-update



    [ame]https://twitter.com/chanian/status/949457156071288833[/ame]


    Mich wundert, daß Intel an der Börse kaum Schaden genommen hat. Fast alle CPUs der letzten 10+ Jahre sind evtl. für die Tonne. Gigantische Schadensersatzforderungen möglich.

    ---------- Beitrag um 02:42 Uhr hinzugefügt ---------- Vorheriger Beitrag um 02:27 Uhr ----------

    Den Vortrag hatte ich mir vor einem Jahr angeschaut - jetzt top aktuell :ugly:
    [ame]https://www.youtube.com/watch?v=iS8YPDuZbKM[/ame]
    https://fahrplan.events.ccc.de/congress/2016/Fahrplan/events/8044.html



    @Topic
    Meltdown and Spectre Linux Kernel Status
 
Zuletzt editiert:

Planet

50% water, 50% air, the glass is always full!
PSN-Name: PlanetJumble
gar nichts wird passieren.
Da wäre ich nicht so sicher. Wir reden hier (u.a.) von den USA, wo man sich nach 7 Jahren auf bis zu $65 Schadenersatz durch einen Vergleich geeinigt hat, weil die PS3 irgendwann kein Krüppellinux mehr fahren konnte. Hat keine Sau genutzt, aber es ist ja offenbar massive Schäden entstanden, die jahrelang vor Gericht und mit zig Anwälten durchdiskutiert werden mussten.

Hier sprechen wir davon, dass eine von Intel dominierte Serverlandschaft massive Performance-Einbußen hinnehmen muss. Alle Benutzer sind wirklich betroffen, zwischen milde und heftig. Das wird die nächsten Jahre noch etliche Anwälte glücklich machen.

EDIT: haha! *fistbump*
 
systems, systems, systems, systems, systems, systems
PSN-Name: Steiner84
Spielt gerade: auf Zeit
hieran sieht man schön wie sehr das die Techfirmen fickt:
https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/CVE-2017-5715-and-hyper-v-vms

Virtual machines will not see the updated firmware capabilities until they go through a cold boot. This means the running VMs must completely power off before starting again. Rebooting from inside the guest operating system is not sufficient.
Habe ich noch nie gesehen dass sowas teil der offiziellen strategie ist.
 
Top