2018年1月2日,英特尔曝出的CPU设计漏洞事件:
详解 Intel 漏洞怎么拿到内核数据的(附视频演示)
事件一经曝光,就迅速引起业内硬件同行、操作系统厂商、云供应商的迅速反应。如果不能从硬件层面修复该漏洞,那么将意味着只能在操作系统层面操作,要么就必须更换新的CPU芯片。
1月22日,多家权威科技媒体报道称,Spectre 漏洞阴影余波荡漾,Linux 操作系统安装修复程序后频频出包。Linux 之父 Linux Torvalds 周一在Linux群组论坛公开炮轰,英特尔提供给 Linux 的 Spectre 修复程序是完全无用的垃圾(complete and utter garbage)。
此前Torvalds就公开评论Intel不承认自己的CPU有问题,而“在公关稿里混淆视听,说他们的产品是按照设计正常工作”。此次,由于英特尔迟迟没有解决芯片设计漏洞的问题,Linux Kernel 4.15版本不得不推迟上线,让怒不可遏的Torvalds再次怒怼英特尔。
“IBRS就是完全的垃圾”
Torvalds在与亚马逊工程师David Woodhouse探讨Linux Kernel邮件列表中提到:我确实想今天发布Linux Kernel 4.15版,但事实显然让我觉得不太满意。因为他们告诉我,还有一些网络修复工作还未完成,Laura Abbott 发现并修复了一个非常微小的引导错误,并于昨日才开始进入开发周期,所以我无法告诉大家我们的4.15版本是否可行。
……这应该很容易解决。修复 Meltdown和IBRS的部分都没有做好,完全不能让人接受。
……有些人并没有在讲真话!为了不明不白的原因,有人正在将完全的垃圾发布出来!我很抱歉我需要直白地指出这一点……
……这货究竟在干什么?现在的方案实际上忽略了许多更糟的问题,也就是说整个硬件接口实际上是由低能人错误设计出来的……
……我们已经知道在现有的硬件 IBRS 的开销非常大,而且是完全的垃圾。有理智的人没人会这样来使用,因为成本太高了。我认为我们需要比这个垃圾更好的东西。
“英特尔的新增补丁都是多余的”
为了修补Spectre漏洞,英特尔提供的间接分支限制推测(indirect branch restricted speculation, IBRS)功能会造成系统性能大幅降低。Torvalds 认为,“IBRS_ALL功能显示,英特尔并没有认真看待此事…他们自己不想启用此功能,因为性能会十分难看,将责任推到别人身上。因此英特尔将垃圾推给我们。”他说。
Linux Torvalds 认为英特尔在修补 Spectre 上的做法相当糟,采用间接分支限制推测会造成系统性能大幅下滑,因此英特尔不打算启用这项功能,却将责任推诿至他人身上,等于试图将垃圾推给他人。
实际上,关于此次漏洞如何修复,Torvalds有着自己的看法:“首先需要解决Meltdown漏洞的问题,因为它是影响英特尔芯片的关键因素,而不是一刀切全面展开,这使得用户或管理员必须启动整套修复程序。”
同时,Torvalds还指出,在现有的解决方案中新增的补丁完全是多余的,或者说没用的,例如Google Project Zero团队使用的“retpoline”技术已经缓解了漏洞问题,为什么英特尔还要多加一层保护呢?
因此,Torvalds推测,英特尔的主要技术IBRS,即“间接分支限制预测”效率太低,根本无法普及,最终导致了性能降低。结果,它使得有关Meltdown漏洞的修复变得不那么必要,并让补丁变得越来越复杂。
漏洞修复补丁问题频发
Torvalds 应该不是唯一一个对 Spectre修复程序感到气愤的人。光是 Linux 阵营,本月初 Red Hat 曾经释放出包含英特尔包含 Spectre 漏洞修补机码的更新,却分别造成用户系统性能大幅震荡甚至无法开机,上周只好再释放出拿掉机码的更新,要用户自己找CPU及服务器厂商负责。Ubuntu也发生类似的事。
此外,Windows释放出的Spectre、Meltdown更新也让AMD Opteron、Athlon和AMD Turion X2 Ultra CPU的Windows电脑无法开机一度撤回,上周修正后再又重新发布。Linux/AMD组合则尚未听到问题。
Intel 发声:暂时别更新补丁
随后英特尔方面声明称:“我们非常重视行业合作伙伴的反馈意见。我们正在积极与包括Linus在内的Linux社区同行进行合作,因为我们正在寻求解决方案。”
很快,以 Intel 数据中心业务总裁 Navin Shenoy 名义发出新的公告,公告称:
目前经确认导致 Broadwell 和 Haswell 两个 CPU 平台频繁重启的原因,请包括 OEM 制造商、系统集成商、云服务供应商、个人用户暂停更新安全漏洞补丁,新的补丁正在测试当中,将会在本周末释放。
Intel放出了关于两大安全漏洞的专题页面,当事情有了新进展,就会不定期在页面上更新内容,包括一些新的公告、漏洞研究分析、性能有影响测试等等 。
Intel还让大家别再更新旧版的安全补丁了,因为频繁重启足以影响到你日常使用,安心地等待本周到来的新补丁吧。
转载自公众号「开源中国」,内容整合自:iThome、CSDN、expreview
更多相关文章阅读
用 Python 开发一个企业级的监控平台
用 Python 代码自动抢火车票
携程运维自动化平台,上万服务器变更也可以很轻松
智能运维就是 由 AI 代替运维人员?
看腾讯运维应对“18岁照片全民怀旧”事件的方案,你一定不后悔!
运行无间:阿里巴巴运维保障体系的一种最佳实践
芳华永在!一个老运维的20年奋斗史
饿了么异地双活数据库实战
运维版《成都》,听哭了多少人...
阿里万亿交易量级下的秒级监控
IT 运维的救赎——顺丰运维的理想践行
想近距离了解腾讯 SNG 团队的运维体系?
来第九届 GOPS 全球运维大会吧。
2018年4月13日-14日的深圳。
为期2天的大会,19个精彩专场,涵盖 AIOps、运维自动化和 DevOps 众多技术领域。
点击阅读原文,进入大会官网