Intel en problemas: serio bug afectaría a sus CPU y obligaría a parche que baja el rendimiento

Se incorporó
4 Marzo 2005
Mensajes
7.832
Antes de que los que usan CPU Intel entren en pánico y corran en círculos al leer el titular, hay que decir que la información todavía no es tan clara y probablemente afecte a los CPU en ciertos escenarios no tan comunes.

Pero vamos por partes.

Lo primero que se supo es que Intel estaría tratando de corregir secretamente una vulnerabilidad que afecta a la gran mayoría de sus CPUs recientes (algunos hablan desde Sandy Bridge) y que comprometería la seguridad permitiendo acceder a datos desde una máquina virtual a otra dentro del mismo equipo. Proveedores de servicios de “nube” como Amazon, Google y Microsoft estarían entre los “peces grandes” afectados.

Al ser un problema de hardware, la solución pasa por software, y ya se estaría trabajando en un parche para Linux que permitiría aislar y evitar la vulnerabilidad. Otros SO, como Windows, también estarían trabajando en ello. ¿El problema? Bueno, el parche vendría de la mano con una merma en el rendimiento, que incluso podría llegar hasta el 30%. Acá estoy replicando la información de las notas, que se basan en rumores e información sin confirmar. Por lo mismo, ese 30% sería el peor escenario y, probablemente, bajo ciertas circunstancias muy particulares. Lo más probable es que para usos comunes como juegos, conversión de video, etc., el rendimiento no se vea afectado. Como usuario actual de Intel, realmente espero que así sea.

Un segundo punto es que los CPU AMD no tienen esa vulnerabilidad. ¿Y acá cuál es el problema? Bueno, al parecer el parche de Linux bajaría el rendimiento a TODOS los CPUs por igual, incluyendo a los de AMD. Por lo mismo, AMD estaría haciendo esfuerzos para salir limpio del tema, lo que me parece justo. De hecho, si la merma en rendimiento de verdad afecta el día a día de empresas como Amazon, Google o similares, tal vez la posibilidad de migrar a AMD en su próxima actualización sea mayor. Ello porque no creo que la vulnerabilidad de los CPU de Intel sea corregida muy pronto, ya que al ser de hardware es probable que los CPU que saquen este año igual la traigan porque mantienen la misma arquitectura.

Por último, un detalle que en otras circunstancias no llamaría tanto la atención es que hace unos días el CEO de Intel vendió varias de sus acciones de la compañía. En realidad fueron muchas acciones. De hecho, habría vendido lo más que pudo para quedar con lo mínimo que se le exige para poder seguir siendo CEO de Intel. ¿Coincidencia? No lo creo.


Fuentes:


Bug en CPUs Intel:
https://www.techpowerup.com/240174/intel-secretly-firefighting-a-major-cpu-bug-affecting-datacenters
http://www.guru3d.com/news-story/new-hardware-vulnerability-found-in-intel-processors.html

Parche que afecta a CPUs AMD:
https://www.techpowerup.com/240187/...from-unwarranted-intel-vt-flaw-kernel-patches

CEO de Intel vendiendo acciones:
https://www.fool.com/investing/2017/12/19/intels-ceo-just-sold-a-lot-of-stock.aspx
 

Dark Zeppelin

Fundador :yao
Se incorporó
21 Mayo 2006
Mensajes
9.604
Uff leyendo toda la mañana, cuento corto Spectre es una mierda. La pifia esta en el branch predictor de los cpus (cualquier cpu moderna usa eso) así que en teoría todo el hardware moderno actualmente en uso es vulnerable.
Cambiar el diseño de esa cosa es tema no menor, asi que probablemente los lanzamientos de este año y el proximo se retrasen, para mas remate es pieza fundamental para "ganar" rendimiento en las cpu.
Ta feo todo este asunto
Este post le da en el clavo a la falla, yo estoy full pega, aca saco la cabeza.
Pero acá hay cabros super master para dar la noticia. ad hoc
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.409
Demo del bug en funcionamiento


Enviado desde mi X5PRO mediante Tapatalk
en ese punto se ve que está leyendo la memoria dentro de un mismo sistema (instancia )
me interesaría ver qué se necesita para explotar la vulnerabilidad desde una instancia virtual y que lea datos de una instancia virtual diferente, o algo parecido xD

Enviado desde mi TA-1039 mediante Tapatalk
 
Upvote 0

dertio.barcos

Dragon Trainer
Se incorporó
10 Noviembre 2014
Mensajes
1.839
en ese punto se ve que está leyendo la memoria dentro de un mismo sistema (instancia )
me interesaría ver qué se necesita para explotar la vulnerabilidad desde una instancia virtual y que lea datos de una instancia virtual diferente, o algo parecido xD

Enviado desde mi TA-1039 mediante Tapatalk
Ha de ser mas complicado hacerlo ya que tienes que romper barrera y barrera para asi poder obtener los datos, el como lo hacen ha de segir siendo un secreto para que no abusen del xploit antes del parche

Pero ha de segir la misma tonica, buscat la direccion donde se aloja la informacion, obteniendo esto y con la funcion vt-x activa pueden hacer que la maquina virtual quede en continuidad con la otra vm y variando el valor pueden obtener la ejecucion de la segunda maquina, ya que recuerden usan recursos fisicos aunque sea virtual

Enviado desde mi X5PRO mediante Tapatalk
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.409
Ha de ser mas complicado hacerlo ya que tienes que romper barrera y barrera para asi poder obtener los datos, el como lo hacen ha de segir siendo un secreto para que no abusen del xploit antes del parche

Pero ha de segir la misma tonica, buscat la direccion donde se aloja la informacion, obteniendo esto y con la funcion vt-x activa pueden hacer que la maquina virtual quede en continuidad con la otra vm y variando el valor pueden obtener la ejecucion de la segunda maquina, ya que recuerden usan recursos fisicos aunque sea virtual

Enviado desde mi X5PRO mediante Tapatalk
claro, ya lo había pensado y sin tener mucha información de la otra instancia, solo queda buscar una forma de escanear y armar una lista de objetivos (como cuando se escanean puertos abiertos para pasar al siguiente paso ), a ver qué se averigua más adelante que esto tiene para rato :'(

Enviado desde mi TA-1039 mediante Tapatalk
 
Upvote 0

Dark Zeppelin

Fundador :yao
Se incorporó
21 Mayo 2006
Mensajes
9.604
Ha de ser mas complicado hacerlo ya que tienes que romper barrera y barrera para asi poder obtener los datos, el como lo hacen ha de segir siendo un secreto para que no abusen del xploit antes del parche

Pero ha de segir la misma tonica, buscat la direccion donde se aloja la informacion, obteniendo esto y con la funcion vt-x activa pueden hacer que la maquina virtual quede en continuidad con la otra vm y variando el valor pueden obtener la ejecucion de la segunda maquina, ya que recuerden usan recursos fisicos aunque sea virtual

Enviado desde mi X5PRO mediante Tapatalk
claro, ya lo había pensado y sin tener mucha información de la otra instancia, solo queda buscar una forma de escanear y armar una lista de objetivos (como cuando se escanean puertos abiertos para pasar al siguiente paso ), a ver qué se averigua más adelante que esto tiene para rato :'(

Enviado desde mi TA-1039 mediante Tapatalk
El gran problema es que a partir de la tercera y cuarta VM por al branch predictivo, el riesgo la vulnerabilidad se dispara. Y por lo que me informé un servidor corporativo corre mínimo 6 u ocho.
PD: Da el tema para una magníficas tesis de auditoria de sistemas y seguridad informática.
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.409
bueno, para debian ya salió el parche del kernel, indicando los cambios que implica y algo del porque habría un impacto en el rendimiento


- -------------------------------------------------------------------------
Debian Security Advisory DSA-4078-1 [email protected]
https://www.debian.org/security/ Yves-Alexis Perez
January 04, 2018 https://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package : linux
CVE ID : CVE-2017-5754

Multiple researchers have discovered a vulnerability in Intel processors,
enabling an attacker controlling an unprivileged process to read memory from
arbitrary addresses, including from the kernel and all other processes running
on the system.

This specific attack has been named Meltdown and is addressed in the Linux
kernel for the Intel x86-64 architecture by a patch set named Kernel Page Table
Isolation, enforcing a near complete separation of the kernel and userspace
address maps and preventing the attack. This solution might have a performance
impact, and can be disabled at boot time by passing `pti=off' to the kernel
command line.

We also identified a regression for ancient userspaces using the vsyscall
interface, for example chroot and containers using (e)glibc 2.13 and older,
including those based on Debian 7 or RHEL/CentOS 6. This regression will be
fixed in a later update.

The other vulnerabilities (named Spectre) published at the same time are not
addressed in this update and will be fixed in a later update.

For the oldstable distribution (jessie), this problem will be fixed in a
separate update.

For the stable distribution (stretch), this problem has been fixed in
version 4.9.65-3+deb9u2.

We recommend that you upgrade your linux packages.

For the detailed security status of linux please refer to
its security tracker page at:
https://security-tracker.debian.org/tracker/linux

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: https://www.debian.org/security/

Enviado desde mi TA-1039 mediante Tapatalk
 
Upvote 0
Se incorporó
4 Marzo 2005
Mensajes
7.832
Yo no pude bajar el parche de Windows anoche, me salía error al intntar ingresar a la página.

----------

Algunos dicen que en windows no bastaría sólo con bajar el parche, también habrá que actualizar firmware para activar la protección (?).
En Guru3D actualizaron los benchmarks que habían hecho ayer con un nuevo firmware que salió para la placa madre ASUS y ahoa sí notan un mayor deterioro en el rendimiento con SSD nvme, e incluso un poco también con SSD SATA.
 
Última modificación:
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.409
y ya tenemos actualizacion disponible en los mirrors de Debian

The following packages are currently pending an upgrade:

linux-compiler-gcc-6-x86 4.9.65-3+deb9u2
linux-headers-4.9.0-5-amd64 4.9.65-3+deb9u2
linux-headers-4.9.0-5-common 4.9.65-3+deb9u2
linux-headers-amd64 4.9+80+deb9u3
linux-image-4.9.0-5-amd64 4.9.65-3+deb9u2
linux-image-amd64 4.9+80+deb9u3
linux-kbuild-4.9 4.9.65-3+deb9u2
linux-libc-dev 4.9.65-3+deb9u2

========================================================================

Package Details:

apt-listchanges: Reading changelogs...
apt-listchanges: Changelogs
---------------------------

--- Changes for linux (linux-compiler-gcc-6-x86 linux-kbuild-4.9 linux-libc-dev) ---
linux (4.9.65-3+deb9u2) stretch-security; urgency=high

* x86: setup PCID, preparation work for KPTI.
- x86/mm/64: Fix reboot interaction with CR4.PCIDE
- x86/mm: Add the 'nopcid' boot option to turn off PCID
- x86/mm: Disable PCID on 32-bit kernels
- x86/mm: Enable CR4.PCIDE on supported systems
* [amd64] Implement Kernel Page Table Isolation (KPTI, aka KAISER)
(CVE-2017-5754)
- kaiser: add "nokaiser" boot option, using ALTERNATIVE
- kaiser: align addition to x86/mm/Makefile
- kaiser: asm/tlbflush.h handle noPGE at lower level
- kaiser: cleanups while trying for gold link
- kaiser: delete KAISER_REAL_SWITCH option
- kaiser: disabled on Xen PV
- kaiser: do not set _PAGE_NX on pgd_none
- kaiser: drop is_atomic arg to kaiser_pagetable_walk()
- kaiser: enhanced by kernel and user PCIDs
- kaiser: ENOMEM if kaiser_pagetable_walk() NULL
- kaiser: fix build and FIXME in alloc_ldt_struct()
- kaiser: fix perf crashes
- kaiser: fix regs to do_nmi() ifndef CONFIG_KAISER
- kaiser: fix unlikely error in alloc_ldt_struct()
- kaiser: KAISER depends on SMP
- kaiser: kaiser_flush_tlb_on_return_to_user() check PCID
- kaiser: kaiser_remove_mapping() move along the pgd
- KAISER: Kernel Address Isolation
- x86_64: KAISER - do not map kernel in user mode
- kaiser: load_new_mm_cr3() let SWITCH_USER_CR3 flush user
- kaiser: merged update
- kaiser: name that 0x1000 KAISER_SHADOW_PGD_OFFSET
- kaiser: paranoid_entry pass cr3 need to paranoid_exit
- kaiser: PCID 0 for kernel and 128 for user
- kaiser: stack map PAGE_SIZE at THREAD_SIZE-PAGE_SIZE
- kaiser: tidied up asm/kaiser.h somewhat
- kaiser: tidied up kaiser_add/remove_mapping slightly
- kaiser: use ALTERNATIVE instead of x86_cr3_pcid_noflush
- kaiser: vmstat show NR_KAISERTABLE as nr_overhead
- kaiser: x86_cr3_pcid_noflush and x86_cr3_pcid_user
- KPTI: Rename to PAGE_TABLE_ISOLATION
- KPTI: Report when enabled
- x86/boot: Add early cmdline parsing for options with arguments
- x86/kaiser: Check boottime cmdline params
- x86/kaiser: Move feature detection up
- x86/kaiser: Reenable PARAVIRT
- x86/kaiser: Rename and simplify X86_FEATURE_KAISER handling
- x86/paravirt: Dont patch flush_tlb_single
* Bump ABI to 5.

-- Yves-Alexis Perez <[email protected]> Thu, 04 Jan 2018 12:12:40 +0100

--- Changes for linux-latest (linux-headers-amd64 linux-image-amd64) ---
linux-latest (80+deb9u3) stretch-security; urgency=high

* Update to 4.9.0-5

-- Salvatore Bonaccorso <[email protected]> Thu, 04 Jan 2018 12:57:17 +0100
 
Upvote 0

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.880
y ya tenemos actualizacion disponible en los mirrors de Debian

Puta que son movidos los socios de Debian. Estos culiados de redHat todavía no liberan la actualización.

UPDATE
Estos locos de RedHat son la cumbia: ya liberaron actualizaciones para las últimas versiones de RedHat 6 y RedHat 7. Pendiente está RedHat 5.
 
Upvote 0

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.880
Cuando RedHat no libera los parches / Cuando te enteras de que RedHat si liberó los parches.

0ZI4zHi.jpg
 
Upvote 0

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.880
Me voy a mandar una noticia cortita sobre este problema y como afecta esto a diversos entornos y plataformas. Les pediré que me ayuden con correcciones técnicas.
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.409
Me voy a mandar una noticia cortita sobre este problema y como afecta esto a diversos entornos y plataformas. Les pediré que me ayuden con correcciones técnicas.
dale, ahi veremos entre todos que se puede ir puliendo

para centos 7 y 6 tambien deberia estar saliendo el parchesito ?
voy a revisar por aca si alguno de los centos lo recibe

saludos
 
Upvote 0

Veemon

El Espia que Espia
Miembro del Equipo
MOD
Reviewer
Se incorporó
15 Mayo 2011
Mensajes
1.330
Cuando se confirme la salida a windows, tengo el crystal Benchmark a manito
 
Upvote 0
Subir