Intelin prosessoreista on löytynyt merkittävä suunnitteluvirhe ja tietoturvauhka, joka vaatii käyttöjärjestelmiltä kernelitason päivitystä. Vaikka ongelma havaittiin vasta nyt, se on olemassa kaikissa Intelin moderneissa prosessoreissa.
Intelin prosessoreista löytyvä bugi aiheuttaa parhaillaan päänvaivaa kehittäjille. Rautatason ongelma on niin vakava, ettei sitä voida tämänhetkisten tietojen mukaan korjata esimerkiksi mikrokoodipäivityksellä, vaan se vaatii käyttöjärjestelmien päivityksen kernelitasolla ongelman kiertämiseksi.
Toistaiseksi ongelman tarkka kuvaus on vielä salaista tietoa, mutta io-techin toimituksen tietojen mukaan kyse on tavasta, jolla Intelin prosessorit käsittelevät virtuaalimuistia, mikä voi johtaa suojatun kernelimuistin tietojen vuotamiseen käytännössä minkä tahansa ohjelman avustuksella. Ongelman korjaukseksi käyttöjärjestelmien on otettava käyttöön Kernel Page Table Isolation -ominaisuus eli PTI, joka eristää kernelimuistin täysin käyttäjätason muistiavaruudesta. Korjaus on näennäisesti ehkä yksinkertaisen kuuloinen, mutta todellisuudessa se on merkittävä muutos ja voi hidastaa useita toimintoja huomattavasti. Jotain korjauksen luonteesta kertonee myös se, että The Registerin mukaan Linux-kehittäjät kutsuivat bugin korjausta yhdessä välissä nimellä Forcefully Unmap Complete Kernel With Interrupt Trampolines, eli lyhyesti FUCKWIT.
Vaikka ongelman tarkka kuvaus on edelleen salainen, AMD:n Tom Lendackyn viesti Linux-kernelin kehittäjien mailiketjuun vihjaa, että ongelma olisi tavassa jolla Intelin prosessorit ennakoivat tulevia tehtäviä nopeuttaakseen toimintaansa. Ilmeisesti näissä tapauksissa saatetaan jättää turvatarkistukset väliin, jolloin ennakkoon suoritettava komento saattaa päästä lukemaan esimerkiksi kernelimuistia vaikkei sillä pitäisi olla mitään asiaa korkeampia oikeuksia vaativiin muistiosoitteisiin. AMD:n prosessoreissa tätä ei pääse tapahtumaan, vaan ne estävät esimerkiksi käyttäjätason prosessien pääsyn korkeampia oikeuksia vaativiin tietoihin myös ennakoivan suorituksen osalta. Samaan viittaa myös tietoturvaekspertti Anders Foghin aiemmat testit asian tiimoilta.
Linux-puolella on saatu jo julki ensimmäinen päivitys, jonka on tarkoitus korjata ongelma Intelin raudalla. Ongelmattomasta päivityksestä ei voida puhua, sillä tällä hetkellä päivitys pakottaa PTI:n käyttöön myös AMD:n prosessoreilla, vaikkei ongelma koske niitä lainkaan. Tämän myötä suorituskykyongelmat koskevat kyseisellä päivityksellä myös AMD:n prosessoreita.
Korjaus vaikuttaa kokoonpanon suorituskykyyn eniten raskaissa I/O-tehtävissä eli kotikäyttäjien ei tarvinne olla niistä huolissaan. Phoronixin alustavien testien mukaan Linux-alustalla esimerkiksi pelisuorituskyvyssä ei ole nähty eroa ennen ja jälkeen päivityksen.
Datakeskuksissa tilanne on kuitenkin toinen ja The Registerin raportin mukaan keskimääräinen suorituskykytappio synteettisissä testeissä saattaisi olla jopa 5 – 30 prosenttia, mutta sivusto ei tarjoa väitteelle lähdettä tai todisteita. AnandTechin Ian Cutressin mukaan ensimmäiset todelliset tulokset puhuvat alle puolen prosentin erosta. Phoronixin ajamat tiedostojärjestelmää rasittavat testit puhuvat myös sen puolesta, että tietyissä tehtävissä erot voivat olla erittäin suuria.
Windows-puolella ainakin alustavan päivityksen julkaisun odotetaan tapahtuvan seuraavan Patch Tuesdayn yhteydessä eli vajaan viikon kuluttua 9. tammikuuta. Myös Applen macOS-käyttöjärjestelmä tulee tarvitsemaan päivityksen, mutta sen aikataulusta ei ole toistaiseksi tietoa.
Lähteet: The Register & Reddit
Toki uhka kasvaa kun haavoittuvuutta yritetään hyödyntää hyödyntää. Yleensä haavoittuvuudet pyritään paikkaamaan oli se uhka tai ei.
Vaikutus nähdään vasta myöhemmin, mutta voin melkein luvata ettei firestrike tuloksesta lähde 30% pois. 😀
30% voi olla pahimmillaan, no kannattaa aina varautua pahimpaan, mutta voi myös odottaa 5% vähennystä.
Peli nopeudessa tulee huomioida jotkut "raja tapaukset" tai edge cases niinkuin jenkit niitä kutsuu, veikkaampa että esim Arma 3 tulee ottamaan hittiä tästä.
90% kaikista vuodoista on korjattu lauseella, älä käytä internet exploreria. Varmaan myös tässä 🙂
Minulta menee nyt kyllä sinun pointtisi ohitse aivan tyystin.
Minun ainoa kommenttini tässä on ollut se, että mielestäni uutisesta puuttui selkeäsanainen maininta siitä että kyseessä ei ole pelkkä bugi, vaan suuri tietoturvauhka. Minusta sen sisällyttäminen uutiseen oli merkityksellistä sen sisällön kannalta.
@Sampsa tämän asian korjasi ja nyt minusta kyseessä on erittäin hyvä ja selkeä uutinen asiasta.
Se onko tätä aukkoa kukaan, vielä, käyttänyt ei ole asian kannalta merkittävää. Sen laajuus, sen aiheuttama riski, sekä sen vaativat korjaustoimenpiteet sensijaan ovat.
En usko että ie:n käyttö on ongelmana datakeskusten koneissa. 😀
Mutta joo. Eiköhän me jossain kohtaa saada jotain selitystä siihen miten homma oikein meni. Voi kyllä olla että Intelin puolelta ei moista selitystä tulla koskaan saamaan
Nyt toki keskustellaan koti koneista, täällä on varmaan aika vähän datakeskuksien ylläpitäjiä kysymässä neuvoa.
Laajuus ja vaaditut korjaustoimenpiteet ovat ainakin historiallisen suuria. Siihen nähden voisi riskienkin olevan aika isoja.
Toki ja korjaaki jo valmiina olevat paikkaukset windowsissa ja linuxissa ongelmaa, vai tuleeko tästä loputon paikkauskohde.
Toki ja korjaaki jo valmiina olevat paikkaukset windowsissa ja linuxissa ongelmaa, vai tuleeko tästä loputon paikkauskohde.
FireStrike tuskin tekee system caleja sen jälkeen kun on ladannut tekstuurit ynnä muut levyltä (ennen benchmark runia) ja syöttänyt ne GPU:lle.
Eniten hittiä ottavat tuotantosoftat jotka käyttävät tietokantoja yms. Jos nyt jotain benchmarkkeja halutaan haeskella tällein enempi kuluttaja hömpötyksiin keskittyneellä foorumilla niin erilaiset filesystem/disk benchmarkit varmaan ottavat nokkaansa kohtuullisen kovasti. Tosin nekään ei välttämättä ota selkäänsä, jos niiden CPU käyttöaste testin aikana on hyvin matala, voi olla niin että CPU kuorma kasvaa hieman mutta luku/kirjoitus nopeudet pysyvät samana.
Nähtäväksi jää.. Jos osaisin ennustaa en toki koodi orjana duunia tekisi vaan ostelisin bittirahoja ja osakkeita kokopäivätyökseni. 😉
Siis miten tämä nyt vaikuttaa käytännössä? Jossain sanottiin että esim pelien pyörittäminen ei vaikeutuisi. Miten tämä on mahdollista?
Mielenkiinnolla odotan millaiset vaikutukset käytännön suorituskyvyssä yleisimmissä tehtävissä. Kai @Sampsa ajaa ainakin suppeat testit ennen ja jälkeen päivityksen?:think:
Missä Windows insider käyttäjät? kokemuksia?
Ongelma ei ole se cpu:lla suoritettava koodi vaan muisti/levy accessit. Esimerkkinä tietokannat. Vaikuttaa toki peleihinkin, mutta niissä harvemmin I/O on pullonkaulana.
Riippuu ihan siitä kuinka useasti pitää vaihtaa suoritus kontekstia. Servereissä ja virtualisointi vehkeissä tätä tapahtuu huomattavasti useammin vs normi käyttäjän PC.
Pelkkä pelin CPU intensiivisyys ei vielä välttämättä vaikuta. Jos peli tekee system caleja tjsp jotka menevät "user space" käskyjen sijaan kernel spaceen, vaikutusta tulee.
Kiitoksia, tämähän selvensi. Erittäin vittumaiselta kuullostaa mut onneksi kotikäyttäjää vähemmän haittaa.
Vistassahan taisi näyttisajurit siirtyä userspacen puolelle, joten luulisi, ettei peleissä tule droppia.
Joko jenkeissä on joukkokanteet viriämässä? 😀
Toivottavasti saavat Kernel päivityksen fiksattua niin, ettei AMD kärsi päivityksestä.
Ajattelin että itsekin osallistun Suomessa joukkokanteeseen jos tiedot pitävät paikkaansa.
Johan amd julkaisi sen hauskan oneliner patchin. 😀
Njoo tuossa varmaankin kyse on siitä että on paljon helpompi(==nopeampi) lyödä kategorisesti liinat kiinni ja aukoa solmuja paremmalla ajalla alustakohtaisesti. Sanamuoto on myös että vanhemmat prossut kärsivät enemmän, ei että uudemmat kärsivät vähemmän. Kese lienee siitä että PCID pitää emuloida vanhemmilla raudoillo, jolloin kerroksien väliin tulee entistä enempi phläskiä.
Itse näkisin tämän (http://people.oregonstate.edu/~jangye/assets/papers/2016/jang:drk-bh.pdf) perusteella, että Intelin prosessorit Haswell-sukupolvesta eteenpäin kärsivät tästä ongelmasta. Tästä kielii sekin, että TSX-NI -laajennukset on joillain prosessoreilla otettu pois käytöstä mikrokoodipäivityksillä.
AMD lappu vajaassa 10% nousussa ennen pörssin aukeamista 😀
Jeh ainakin E5 v2 Xeonista on mystisesti kyseinen ominaisuus kadonnut.
Intel's CEO Just Sold a Lot of Stock
Jos tää liittyy aiheeseen niin kova mylläys on tulossa.
JS ei ainakaan selaimessa mielestäni pääse suorittamaan sellaisia toimintoja joilla tätä voisi exploitata kun aika rajattu mitä siellä kuitenkin loppujen lopuksi voidaan suorittaa. Jossain node.js tms sitten voi olla eri asia, mutta se meneekin sitten server-siden puolelle.
Tietysti jos selaimen JS enginessa on joku remote code execution bugi joka antaa suorittaa jotain muuta koodia, niin sitten tilanne voi olla eri.
Eiköhän me tätä aktiivisesti tulla seuraamaan, uutisoimaan ja testaamaan :tup:
Testatkaa Lightroomilla. Jollain isolla tietokannalla. Please.
Jospa viimein saadaan jotain uusia tuulia x86 arkkitehtuuriin. Onhan tuo jo aikansa jäänne.
Insider buildeissa tosiaan ollut fixi jo sisällä jonkunaikaa. Itse ajelin pari peli benchmarkkia FCU:n ja Insiderin välillä, ja eroja ei juurikaan näkynyt. Alla arvot joita sain.
Intelin vastaus Opteronille? 🙂
Eli tuleeko vaikuttamaan myös nykyisiin ja tuleviin Amd-prossuihin?
Hyvä uutinen, saapahan punikit taas bensaa myllyynsä kuinka on maailman parhautta omistaa Ryzen/Vega.
Mutta eihän kukaan kerro että täällä Suomessakinkymmenet/sadat ja maailmalla varmaan kymmenet/sadat -tuhannet pelaajat ovat palanneet Intelin leiriin tuosta maailman mullistavasta prossusta josta vuosi sitten vauhkoivat he, sama ralli oli punikeilla Vegasta jo vuosi ennen julkkaria, lapio tolkulla paskaa mutta silti fanittavat…miljoonat olivat vaihtamassa vihreestä punaiseen leiriin kesällä koska vihree maksaa liikaa…pysykää nyt ***ke** siellä masteri-punaisessa leirissä ja vinkukaan kun ei kulje peleissä…
Joku järki nyt käteen, nyt puhutaan prosessoreista ja käytät termiä punikki?
Punikki – Wikipedia
Ketjun lukemallahan tuo selviää
Itselläni i5-4460 jolla toimii nykytilanteessa pelit vielä ihan hyvin mutta jos tuosta lähtee kunnolla suorityskykyä pois niin ei hyvä juttu. AMD:n kannalta taas äärimmäisen hyvä juttu.
Itse veikkaan ettei 99 % tavallisista käyttäjistä huomaa hidastumista ollenkaan,jollain sopivalla testillä varmaankin näkyy mutta ei käytännössä.Samoin veikkaan että pörssikurssit on muutaman viikon kuluttua suurin piirtein hässäkkää edeltävällä tasolla,ei AMD prossu muutu yhtään paremmaksi siitä mitä se oli viikko sitten.
Kyllä tällä tulee olemaan myös pitempiaikaisiakin vaikutuksia suursijoittajien silmissä:
Kotikäytössä reikien paikkausten nopeuspenalty tuskin tulee olemaan merkityksellinen, mutta palvelinpuolella IO-puoli on kovassa käytössä.
Ja siellä liikkuu suuret rahat ja tämä nostaa AMD:n houkuttelevuutta uusia hankintoja tehdessä.
Muuttuuhan AMD:n prossu selvästi paremmaksi ostokseksi tämän myötä.
Todellakin muuttuu. Riippuu tietysti täysin miten tuo nyt lopulta tulee vaikuttamaan suorituskykyyn.
Ongelmaa ei ole AMD:n prossuilla, mutta ainakin ensimmäinen versio Linux-pätsistä jostain syystä kohtelee AMD:n prosessoreita kuin niissä olisi sama ongelma. Eiköhän loppujen lopuksi päästä tilanteeseen että ei koske millään tasolla AMD:n prossuja.
Piti paikkaansa ehkä joskus IE6:n aikaan vielä :facepalm:
Skylakella olivat testejä tehneet ja siellä nähtiin 17-23% alentuneet tehot tietokanta toiminnoissa ja monessa muussa. Kyllä täytyy sanoa että itseäni uhkaa kun on alta vuoden vanha 7700k käsissä. Ketuttaisi kyllä lievästi jos siitä sattuisi oikeasti tehoja tipahtamaan tämän johdosta. Mitenköhän on, onkohan korvauksien paikkaa tai tuotepalautusten mahdollisuutta? Ryzeni alkoi näyttämään aika houkuttelevalta jos tommoinen pudotus tapahtuu hintaan nähden intelille.
On selaimen sandboxista karkailevia javascript-exploitteja ollut ennenkin. Rowhammer.js tulee ensimmäisenä mieleen. Toinen julkaistu metodi on ASRL-muistiavaruuteen hyökkääminen välimuistin kautta: media.ccc.de – ASLR on the line
Kannattaa laittaa lähde mukaan niin voidaan vetää analyysi noista sun lukemista testeistä.:tup:
Jos tekkiläisillä on AMD-prossu ja uusi päivitetty Linux-kerneli käytössä, tuon hidastavan muutoksen saa pois käytöstä nopti kerneli parametrillä
Kernel parameters – ArchWiki
Jännää myös kun Inteliähän on maailma täynnä jokaisessa serverihallissa ja vastaavassa ja jos niiden laskentakapasiteetista lähteekin pois 10-20% niin ei kuulosta hyvältä.
Väittivät, että AMD:n patch on hyväksytty RC7 versioon kernelistä.
Sinänsä AMD:n patch on kyllä hyvin tyly kuitti Intelin suuntaan: Jos ei ole AMD -> merkitse CPU turvattomaksi.
Tosiaan. Tulikohan lainaus oikein, en osaa vielä käyttää. Yritän tuossa katsoa uudestaan mistä noista luin, mutta tuota Registerin artikkelia ja siinä lainattuja Postgresql:n postauksia ja noita muita linkkejä luin ja kävin sitten katsomassa sql alan foorumeita. Siinähän itseasiassa onkin he lainanneet isolla tuossa twitter postauksessaan tuota 17-23% uhkakuvaa ja postauksessa olin lukevinani että 6000 sarjan skylakella oli ajettu. Itselle ei kuulosta kovin kivalta. En usko tosin, että oikean elämän skenaariossa iskee samalla tavalla, mutta kyllä näillä on kerrannaisvaikutuksia käyttäjiin ja varmasti myös osassa normaaleja operaatioita ja pelejä. Odotan kyllä innolla ja toivon että ei olisi mitään näin vakavaa.