Разработчики Linux и Windows работают над закрытием аппаратной уязвимости процессоров Intel

Палец разминает.

I would rather not just hard-code it in a way that we say one vendor has never and will never be affected

пишет Dave Hansen из Intel

Цитируй полностью, чтобы было ясно, о каком хардкоде идет речь:

«Does this disable it in a way that it can be turned back on via the kernel command-line?

This is a rather wide class of issues and I would rather not just hard-code it in a way that we say one vendor has never and will never be affected.»

пусь ксеоны хотя б меняют. у меня xeon

эксплуатация в «сингуларити» намного сложнее

Что заставило тебя так подумать?

Намного сложнее если соблюдать техпроцесс сборки программ под данную ОС.

Я не об этом спрашивал. Какие свойства Singularity делают эксплуатацию уязвимости более трудной?

думает когда макбук на AMD поступит в продажу.

а у нас парк серверов и рабочих станций на амд, но с амазаном конечно можно пролететь

Мне на багу пофиг, больше производительность волнует. А вот админам и мажорам будет затратно.

Согласен, но на более быстром процессоре приятнее работать, особенно с тяжеловесным софтом.

Имеется в виду это:

заменить

/* Assume for now that ALL x86 CPUs are insecure */
setup_force_cpu_bug(X86_BUG_CPU_INSECURE);

на

if (c->x86_vendor != X86_VENDOR_AMD)
setup_force_cpu_bug(X86_BUG_CPU_INSECURE);

Патч меняет всего две строки и проще пареной репы,
но прошла уже неделя а он до сих пор не смёржен...

Если AMD не подвержены багу cpu_insecure ,
зачем их замедлять вслед за Штеудом? :(

Патч меняет всего две строки и проще пареной репы,
но прошла уже неделя а он до сих пор не смёржен...

Есто разница между «не смержен» и «разрабы из Intel мешают».

Если AMD не подвержены багу cpu_insecure, зачем их замедлять вслед за Штеудом? :(

nopti

с амазаном конечно можно пролететь

Говорят, Xen не подвержен.

да ладно, сейчас же никто не делает intel_cpu при загрузке на интеле или amd_cpu на амд.

Как я понял, и производительность сетевого стека будет тоже уменшина. С 30Gbps до 8-11Gbps, как в OpenBSD?

как узнать, включён ли у меня этот pti?

если без прямого доступа в буффер контроллера сети то да хотя от операций с памятью это всё равно не спасает так что х.з.

Ошибка проектирования всех процессоров Intel, выпущенных за последние 10 лет

У меня на даче для таких случаев есть Pentium 4 2003 года, надо только с него плесень стереть.
А при Сталине «Intel 8080» такого не было! :)

Кто, КТО эти уроды, которые постоянно ищут уязвимости в моем ДОРОГОМ Intel процессоре?! Им что, заняться больше нечем, руки некуда приложить?! Минус 30% производительности, а вернуть 30% стоимости моего компа они не хотят, нет?! Куда все катится...

Нет. Это рыночные отношения. Будь добр занести 20 труб за новый проц от АМД.

Посмотреть в конфиге ядра CONFIG_PAGE_TABLE_ISOLATION. Вероятно, в dmesg оно тоже пишет.

один из них публично не одобряет корректирующий патч а другие способствуют его игнору.
+ CEO Intel продал свои акции, ещё в ноябре причём

Я говорю про сеть между контейнерами и виртуалками.

Пришло время откопать труп Singularity?

Что это, разработка от МС?

В конфиге такого нет, дмесг ничего не сказал про CONFIG_PAGE_TABLE_ISOLATION.

Спасибо.

один из них публично не одобряет корректирующий патч

Если это утверждение сделано на основе приведенной тобой цитаты, оно неверно.

а другие способствуют его игнору.

Это просто утверждение без доказательств.

+ CEO Intel продал свои акции, ещё в ноябре причём

А это вообще не имеет отношения к Linux.

скорее да чем нет т.к. это операции с памятью, кешем. стек реализуется программно по большей части

В dmesg если что-то и будет, то «включаем kpti»

Да, да, даже с учётом этого профита от 32 битной ОС не получишь

Мы говорим про глубокий энтерпрайз, где 64 Гб памяти это небольшой кеш, или про обычные домашние задачи, когда на глаз 32 бита от 64 не отличаются вообще никак, даже если в первом случае используется только 3,5 гектара из установленых 8?

Вообще рано паниковать. Выйдут исправления и потестим )

ну вот, а говорили, что третья мировая будет из-за нефти :)

Обычно их делают по остаточному принципу. Хорошо ещё если слабый APU засунут в дешёвую платформу от Celeron\Atom, так могут и засунуть самый мощный и минимальную дискретку рядом. Кажется ещё раньше видел что AMD хуже перегрев переносили, но не могу уже найти.

приводит к падению производительности приложений от 5 до 30%

Блиииин..
Надеюсь будет вариант оставить дыру, но не убавлять производительность?

А то вспоминается как угорали над эпплом, который замедляет старые девайсы.
А тут такое.

вообще, для пользы дела надо программистов обучать на компах с памятью 1 гигабайт и процом 1 гигагерц. когда они научатся правильно управлять ресурсами - можно давать больше :)

Давно пора внедрять стандарты. Но это затормозит развитие и сильно увеличит стоимость разработок.

А так полностью согласен. 4 ядерные проц с 4 гигами оперативы еле тянет мобильный браузер.

Это начала работать программа замедления старых устройств. Как у эппл, только не у эппл. Скоро остальные крупные игроки подтянутся.

Какие свойства Singularity делают эксплуатацию уязвимости более трудной?

Насколько помню, там все работает в режиме ядра и защита средствами языка, а не хардварная. Работало. Давно новостей не было.

Но... Кругом в госах

не, госы - это священная корова же! там не то, что сертифицировано, безопасно и недорого. там - то, с чего можно получить максимальный откат. продавить что-то в госы - это надо как минимум лоббирование в думе, и ввалить на взятки неслабо.

в зене как раз всё предельно просто.

я давно говорю что все эти процессороделы, что штеуд, что амд, что армы и мипсы, скачут вокруг схемы томасулло. вот как её в 67м году придумали - так они ничего нового родить не могут. скотинко может(но я один и у меня нет мешка денег ,а то б уже) а они в принцие не могут. так вот, в ryzen они под вопли про «элементы исскусственного интеллекта» вхерачили в проц блок для «ускорения» бенчмарков. он как бы узнает код бенчмарков и впихивает «подсказки» чем заменить те или иные инструкции чтоб перло быстрее. но этот блок стал «узнавать» код gcc и всё начало падать.

я wasm ваще не разрешаю. ибо не нужен. большинство сайтов, на которые я хожу, к счастью работают вообще без скриптов. я иногда даже из консольных браузеров читаю что-нибудь :)

Какие свойства Singularity делают эксплуатацию уязвимости более трудной?

Насколько помню, там все работает в режиме ядра и защита средствами языка, а не хардварная

Это означает, что обходить защиту вообще не нужно и эксплуатация проще.

Ну ты то придумал, да?) ты то нас спасёшь.

да не включай эту фичу. чтоб ею воспользоваться, тебе вирус надо собрать сперва.

вообще там шина данных не влияет.

на 32битах очень серьёзно жмет малое колво регистров - это даже в моем проце как плюс в режиме эмуляции будет, ибо в самых простых функциях в начале идет дрючево стека mov-mov-mov-mov.... а у мну уже сразу работа.

Зачем эти наркоманы ставят везде 4к и ультры? Они же CPU тестируют.

Мода такая. Ни чё не поделаешь...

А чё там с акциями intel :D ?

а ты читал по ссылке текст?

то что там описано, пока еще не уязвимость. это намек что какая-то херня идет «не так». но вот сама движуха втихаря означает, что исследователи копнули дальше и нашли реальную дыру.

мое предположение:

недавно был баг с падением ocaml где на коротких циклах с 8битными регистрами штеудопроцы выполняли некорректные инструкции на ровном месте. я думаю, что эти два бага совместили - читают данные из ведра и тут же крутят много 8битных команд.

Вот я расчитал:

# Это новененький и самый дорогой проц от intel
> 80/100*30
24
> 80-24
56
# Это скорость виртуальной машины через tap без vhost и dpdk и без jumbo frame.
> 2/100*30
0,6
> 2-0,6
1,4
# Это скорость сетевых карт (Gbps)
> 1/100*30
0,3
> 1-0,3
0,7
# Это скорость сетевых карт (Mbps)
> 100/100*30
30

Для Электроника Д3-28 была ОС ВТ-МХТИ с прекрасным компилятором ЯВУ, вобравшим в себя элементы из фортрана, си и паскаля. Так что Вы тоже «слишком много кушать».

продавить что-то в госы - это надо как минимум лоббирование в думе, и ввалить на взятки неслабо

Да я понимаю. Шо такое ГД, кагбэ слегонца представляю =)

Просто тут кагбэ хоца ш шоп по уму было, хоть когда-нибудь. Не, мосх вполне себе понимает всю полноту невозможности даже в среднесрочной перспективе, но временами за державу всё-таки обидно.

Или что там от неё осталось, я не знаю =)

По факту: есть СУБД. Вполне себе импортозамещённая. Скачивал демку специально, тыкал палочкой. Вполне адекватный продукт. На гиге достаточно отзывчив. Казалось бы, покупай и владей. Всем хорошо. Но нет, мы должны отвалить кучу бабла на буржуйский продукт, чтобы потом подсадить всю отрасль на иглу, параллельно громко болтая про проклятые санкции и «наш ответ Чемберлену».

Акции Интел у кого надо акции Интел. =)

ясно, спасибо

Подразумевается, что это формально невозможно, исходя из свойств самого языка. зы. я тут не спорщик, читал только когда-то про нее.

у меня живут несколько хостов хайпер-ви, можно замерить iperf-ом до и после пачки апдейтов от «вендора», которые не за горами, производительность сети для контейнеров в разных конфигурациях, не обновляя ядра. но если честно лень )