查看: 21784|回复: 236
intel所有CPU都有严重的漏洞？linux已经出补丁了性能损失5-50%
对所有英特尔CPU中潜在的大规模漏洞的猜测目前引起轰动，因为解决这个硬件问题需要对操作系统进行重大改革，这会对性能产生负面影响。 AMD CPU不受影响。
Linux内核的开发人员近几周对内核的虚拟内存子系统进行了重大修改。 Linux内核的核心部分的不小的变化通常需要数月或数年的讨论。 就好像这还不够，这些大的补丁不仅内嵌在即将到来的Linux内核4.15版本中，而且还被移植到已经发布的内核4.9和4.14中，并声明为“稳定”。 细心的观察者越来越意识到，这种特别的喧嚣一定是有道理的，特别是在节日期间。
英特尔CPU显然有巨大的差距
根据最近的报告，这些补丁防止在所有Intel CPU中利用大规模安全漏洞。 显然，通过利用硬件缺陷，一个进程可能会导致英特尔CPU预取内存区域，然后在没有进一步控制的情况下访问它，而不具有必要的权限。 具体来说，似乎有一种非特权进程可以访问内核的内存空间的方式。 对于像亚马逊和谷歌这样的云计算提供商来说，这样做是特别危险的，他们想要防止虚拟机的崩溃。 此外，内核的地址空间布局随机化（ALSLR）安全技术可以被用作深层防御。
对于Linux有一个解决方法
的Linux开发人员在英特尔CPU这个硬件错误的，现在建的解决方法称为内核页表隔离（PTI或KPTI）确保内核的内存区域不再映射到进程的存储区。使用PTI，一个进程只能看到自己的内存区域，不能再处理内核的内存区域，所以显然很容易的访问控制已经不再重要了。
小题外话：所有进程只能用虚拟内存地址（“虚拟内存”），从0开始它是内核，在RAM（或交换或交换文件），自由空间的处理任务，并在运行这些虚拟地址比较处理成物理地址。因此，可以同时执行多个进程而不能够读取或覆盖彼此的存储区域。为了确保这种抽象不会对性能产生不利影响，每个CPU都有一个称为转换后备缓冲区（TLB）的专用缓存。
虽然PTI听起来像一个简单的解决方案，有一个巨大的难题：如果内核内存没有映射到进程的地址空间中，每个调用内核函数提供的（系统调用）需要清空所有重要的性能翻译旁视缓冲区。通常情况下，只有在进程更改期间才需要刷新TLB，也就是说，内核每隔几毫秒暂停进程并继续执行下一个进程。最终，Linux开发人员预计PTI的性能损失将达到5％左右，但是在某些基准测试中，它可能会接近50％：
This is bad: performance hit from PTI on the du -s benchmark on an AMD EPYC 7601 is 49%.
— grsecurity (@grsecurity) December 31, 2017
AMD处理器不受影响
AMD系统的基准只能被视为该补丁的第一个例子，因为AMD的第一个解释显示，自己的处理器不受漏洞的影响。
AMD processors are not subject to the types of attacks that the kernel page table isolation feature protects against.&&The AMD microarchitecture does not allow memory references, including speculative references, that access higher privileged data when running in a lesser privileged mode when that access would result in a page fault.Disable page table isolation by default on AMD processors by not setting the X86_BUG_CPU_INSECURE feature, which controls whether X86_FEATURE_PTI is set.Tom Lendacky, AMD
微软也正在开发一个补丁
由于这个漏洞是由Intel CPU中的一个硬件错误引起的，不仅Linux，而且Windows也受到这个问题的影响，尽管它由于开放的开发模式而已经公开。 此外，微软也在一段时间内也有类似的隔离功能，就像程序员在11月中旬发现的那样（“KAISER”是KPTI的前任）：
Windows 17035 Kernel ASLR/VA Isolation In Practice (like Linux KAISER). First screenshot shows how NtCreateFile is not mapped in the kernel region of the user CR3. Second screenshot shows how a 'shadow' kernel trap handler, is (has to be). pic.twitter.com/7PriLIJHe1
— Alex Ionescu (@aionescu) November 14, 2017
----------------
ComputerBase 已要求就所称的硬件错误发表意见。
似乎只有最近的三代受影响吧？
什么情况，dell去年12月初的补丁已经打上了，这事还没完？
意思是不管你现在修没修以后有没有新的，操作系统干脆把cpu供起来以绝后患？
grsecurity
@grsecurity
This is bad: performance hit from PTI on the du -s benchmark on an AMD EPYC 7601 is 49%.
1:08 PM - Dec 31, 2017
真的么，intel有内奸么
AMD又轻易领先intel 50%？恭喜转帖机呀
大概情况是由于intel的CPU在speculative prefetch的时候没有考虑权限问题， 导致用户态的程序可以通过prefetch旁路从内核获取一定信息获知内核空间的KASLR分布，从而给进一步攻击创造条件。
的确是硬件逻辑里的问题，让你光考虑性能吧不顾权限吧
而分开内核态和用户态的页表直接废掉了linux一直以来采用的“优越”设计，即共用页表避免切换页表导致的TLB重载带来的性能损失。
一夜回到解放前啊
本帖最后由 bill基 于
01:24 编辑
什么情况，dell去年12月初的补丁已经打上了，这事还没完？
这个好像不是ME漏洞
看了原帖，大概是x86发展几十年来面临的一种新的内核攻击方法，系统出补丁防范风险，但补丁要降性能
理论上说至今为止所有x86的U全部都要一起背锅，只是农企不知道是有远见还是运气好瞎猫碰上死耗子，目前的翻身U（zen系）天然免疫这种攻击
开年大新闻
所以x86除了zen都中枪了么
突然就全系列降性能，肯定是为了卖新U.才公布的啦(?˙ー˙?)才怪
上次美军漏洞的核武库的后续没了吗？
对于4代以前的cpu，一个5%就等于一代白升，真好
历史上Outel对于巴格就是报了三十个，修复四五个，其他的下个步进还有
对于4代以前的cpu，一个5%就等于一代白升，真好
历史上Outel对于巴格就是报了三十个，修复四五个，其他的下 ...
修一个bug是有可能引入好几个新bug的，如果影响不大那不动他就是最佳选择
—— 来自 Xiaomi MI 6, Android 7.1.1上的
AMD:我躺得好好的谁给我翻过来的
RE: intel所有CPU都有严重的漏洞？linux已经出补丁了性能损失5-50%
对于4代以前的cpu，一个5%就等于一代白升，真好
历史上Outel对于巴格就是报了三十个，修复四五个，其他的下 ...
一般软修复性能影响不大的肯定就慢处理了，这个到5%了我觉得应该下一版就要直接改的。
好像说win10的新预览版已经强制修复这个问题了?有没有小白鼠测试一下性能损失?
—— 来自 samsung SM-G9550, Android 8.0.0上的
v1.3.2.1-fix-play
听说是美国时间星期三发布那个补丁？
如果微软不给7和xp推这个补丁的话，不是7和xp就直接是肉鸡了……
不过我看原来的 Linux 修复内容说，先给所有的 cpu 都强制这个，果断时间，等大家都收到更新了，再把那些 cpu 没这个问题的再白名单掉，不知道 intel 的 cpu 被命中率是多少……
主贴不是去年ME那个后门“bug”来着，这次这个是这两天刚被踢爆的
一些评测：
贴吧讨论：
补丁可以开关：
更多评测正在到来中
顺带一提amd提出的不给amd cpu应用这个补丁的请求尚未被接受（据网友说），也就是说所有x86 cpu都会遭重，即使用的是没这个bug的cpu（amd cpu）
Funny fact: the most recent Intel cpu which is guaranteed not to have this bug (as it lacks speculative execution) is the original Pentium
喷了，outel受影响的范围是：586以后所有。。。
主贴不是去年ME那个后门“bug”来着，这次这个是这两天刚被踢爆的
一些评测：
更多评测正在到来中
顺带 ...原来不是躺着翻身/而是躺着中枪啊
Funny fact: the most recent Intel cpu which is guaranteed not to have this bug (as it lacks speculat ...哈？？？
Funny fact: the most recent Intel cpu which is guaranteed not to have this bug (as it lacks speculat ...
—— 来自 Xiaomi Redmi Note 4, Android 7.1.2上的
v1.3.2.1-fix-play
所以说AMD的U到底是个什么情况，美国贴吧说AMD也被强制查重了，官方怎么说的？
—— 来自 Xiaomi Redmi Note 4, Android 7.1.2上的
v1.3.2.1-fix-play
意思是,haswell也跪了么
lpc2103 发表于
所以说AMD的U到底是个什么情况，美国贴吧说AMD也被强制查重了，官方怎么说的？
—— 来自 Xiaomi Redmi No ...
现在是对所有x86 CPU无区别aoe
迟点才会把amd的放到白名单
电脑反正要升级了还好，群晖的nas咋办……
zmw_831110 发表于
意思是,haswell也跪了么
上至古董586下至最新的8700k。。。你说呢？
所以说AMD的U到底是个什么情况，美国贴吧说AMD也被强制查重了，官方怎么说的？
—— 来自 Xiaomi Redmi No ...
说是硬件原理上amd cpu就不会被这个套路攻击到，但是为了安全考虑所有x86 cpu先一起遭重了再说，这个补丁可以通过参数开关（pti/nopti kernel commandline switch）
这个bug 2016年发现的，现在踢爆只是因为linux核心开始实装补丁了
（我不太会英语更不懂linux或硬件
Powered byCPU的漏洞，你补上了吗？CPU的漏洞，你补上了吗？U大侠百家号CPU漏洞问题的热度仍高潮不断，不过无论是Intel自身还是微软、AMD、苹果等，都在为漏洞的问题作出更多的解释，以此让用户不必担心。那么关于这次的CPU漏洞，是否同此前的勒索病毒一样可怕呢？相关企业对此作出了哪些措施？对于个人又有什么危害？漏洞的发现2017年年底，Google Project Zero安全团队发现了两个漏洞，这是由于Intel处理器的架构设计缺陷导致的，一个叫“Meltdown”，另一个叫“Spectre”，并且这个漏洞的影响范围极大，只要是1995年后生产的电脑或者服务器CPU都会受到影响。也就是说基本上全世界超过95%的电脑都会有这两种漏洞。漏洞的作用Meltdown漏洞可以直接打破核心内存的保护机制，从而允许恶意代码直接访问敏感内存。Spectre漏洞则是通过篡改其他应用程序的内存，从而欺骗他们去访问核心内存的地址。产生的原因在Intel及其他现代化的CPU中，在底层都有用到推测执行指令，这类指令有很高的访问权限，可以访问到不应该或者不允许访问的内核，而这两个漏洞就是利用了这些指令去完成一些恶意操作。漏洞的影响如果有人编写了恶意程序，并利用这两种漏洞的话，那么他就可以进入个人电脑、移动设备或者云服务器上的内核部分，从而可以获得一些非常重要的隐私数据，这对大型企业、数据中心和服务商都有极大的安全隐患，虽然我们的个人信息也会被窃取，但是受到这种针对个人的威胁的概率相对较小。即使可以通过推送补丁的方式来修复漏洞，但是这些补丁很有可能会导致设备的性能下降。幸运的是，到目前为止，还没有人利用这两种漏洞进行过恶意攻击。哪些CPU有漏洞Intel：1995年之后推出的所有X86 CPU都会受到影响AMD：AMD的X86处理器架构在设计上与Intel有差异，所以只有其中一个对AMD处理器有轻微影响。ARM（ARM是专做移动级CPU的厂商）：Crotex R7、R8、A9、A15、A17、A57、A72、A73、A75都会受影响。厂商的“救赎”Intel在漏洞被发现后就不断表示会联合其他厂商对过去五年内发布的90%的产品进行补丁更新，并且多次说明这些补丁不会对设备的性能造成太大影响，对于个人用户或者游戏玩家而言，这个影响更是微乎其微。AMD官方表示Spectre漏洞可通过补丁进行修复，并且几乎不影响性能，而且因为处理器架构设计不同，Meltdown漏洞不会对AMD处理器有任何影响。至于微软、苹果等，都已经推出了Meltdown漏洞的更新补丁，而他们的浏览器也都进行相应的版本升级。不过目前还没有针对Spectre漏洞的补丁放出。个人如何防护
1、升级浏览器互联网时代，恶意攻击90%以上都是通过联网进行，因此浏览器是一道非常重要的城墙，目前微软已经更新了新版Edge和IE浏览器并进行漏洞封堵，而谷歌和苹果也将对Chrome 64和Safari浏览器提供安全补丁，所以大家近期最好随时查看下自己使用的浏览器是否有新版本可以更新。
2、升级系统如果你是使用Win10系统的话，建议在最近完成几次系统更新，目前微软已经为Win10推送了安全补丁更新（KB4056890），而苹果对自家的iOS和macOS系统已经做出了针对Meltdown漏洞的补救措施，大家可以看下自己使用的系统是否为最新版本。
3、升级设备固件设备固件的升级一般都需要到厂商官网去查看，如果你是用笔记本的话就到相应的品牌官网查看是否有固件更新，而台式机的话，可以到硬件厂商官网查看。
4、安全软件假如你不使用上述浏览器也不想更新系统，更不懂如何更新固件的话，最简单最有效的方法就是安装安全软件了，不管你们认为他们有多流氓，在信息安全这一块，毕竟是专业的，而且目前市面上已经有三款安全软件做出了一键修复CPU漏洞的攻击，包括360、腾讯电脑管家、金山。更多精彩内容欢迎关注百家号：U大侠本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。U大侠百家号最近更新：简介:硬件配置推荐，装机指导，电脑故障解决分析作者最新文章相关文章Intel发布漏洞CPU完整名单：1到8代酷睿全部中招
　　近日，安全研究人员报告了Meltdown和Spectre两个漏洞，Intel、ARM、AMD等CPU产品纷纷遭受影响，一旦BUG被理用，将造成用户敏感资料的泄露，带来严重后果。　　到底究竟有哪些Intel处理器受波及?现在官方给出了一份详细清单——　　可以看到，1～8代的所有酷睿i3/5/7/9处理器、所有的Xeon至强处理器、大量的Atom处理器以及赛扬奔腾均受到影响，只有IA-64架构的安腾、少量Atom、奔腾/赛扬G系等没事。　　其中，最早可以追溯到2009年的45nm老酷睿i7，看来所谓的1995年之后所有处理器都被波及，是夸张了。　　按照Intel的官方承诺，到下周末，Intel发布的更新预计将覆盖过去5年内推出的90%以上的处理器产品，至于更早的，则还需要几周的时间才能完全惠及到。　　按照国内某知名杀软的研究结论，攻击者可以通过CPU数据缓存侧信道攻击的方式进行利用，实现越权读取高权限保护的内存信息(例如内核布局信息泄漏、云服务器隔离保护绕过、浏览器密码信息泄露等)。　　漏洞影响严重且非常广泛，同时考虑到该类型漏洞属于CPU设计逻辑缺陷，很难进行修复，目前各大系统厂商在通过升级补丁形式进行修复，主要方法是KPTI("内核页表隔离")分离用户空间和内核空间的页表，但是可能会造成系统性能的损耗，目前的对比测试性能降低最少5%。
责任编辑：xgq
禁止发表不文明、攻击性、及法律禁止言语
请发表您的意见（游客无法发送评论，请
还可以输入 140 个字符
热门评论网友评论只代表同花顺网友的个人观点，不代表同花顺金融服务网观点。
以下为热门自选股
代码|股票名称
同花顺财经官方微信号
手机同花顺财经
专业炒股利器
同花顺爱基金关于关闭 x86 CPU 漏洞修补以获取性能提升的讨论
· 5 天前 · 1538 次点击
起因：我的笔记本漏洞修补后 I/O 性能下降接近 4 倍！！（测试数据在下面）导致 虚拟机（ KVM ）卡顿、VIM 偶尔卡住、编译性能下降等等
发行版：Ubuntu 16.04 LTS
CPU：Intel(R) Core(TM) i7-7500U CPU @ 2.70GHz
我听到风声，立刻在未打补丁的内核上进行的 IO 性能测试
测试方法是
time dd if=/dev/zero of=/dev/null bs=1 count=
大致就相当于疯狂的执行
次系统调用，结果是
bytes (100 MB, 95 MiB) copied, 19.3005 s, 5.2 MB/s
real 0m19.303s
user 0m4.728s
sys 0m14.572s
升级到 4.10.x 内核后，测试结果惨不忍睹
bytes (100 MB, 95 MiB) copied, 73.8429 s, 1.4 MB/s
real 1m13.846s
user 0m30.031s
sys 0m43.879s
我通过向内核命令行传入 nopti 参数，关闭 KPTI （内核页表隔离），禁用了修补，成功使性能还原
我自以为万事大吉了，可是万万没想到啊，前几天升级了 4.13.x 内核，速度又卡出翔啊，退回 4.10.x 内核一切正常
今天想到了测试了下，测试和之前一样了 1m14s ！！！
但是 PTI 确实被禁用了（内核日志明确指出），我随后找到了这个
在 4.10.x 内核（禁用 PTI ）测试结果如下
CVE- [bounds check bypass] aka 'Spectre Variant 1'
* Kernel has array_index_mask_nospec:
* Checking count of LFENCE instructions following a jump in kernel:
(only 5 jump-then-lfence instructions found, should be &= 30 (heuristic))
VULNERABLE
(Kernel source needs to be patched to mitigate the vulnerability)
CVE- [branch target injection] aka 'Spectre Variant 2'
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support:
* Currently enabled features
* IBRS enabled for Kernel space:
* IBRS enabled for User space:
* IBPB enabled:
* Mitigation 2
* Kernel compiled with retpoline option:
* Kernel compiled with a retpoline-aware compiler:
* Retpoline enabled:
VULNERABLE
(IBRS hardware + kernel support OR kernel with retpoline are needed to mitigate the vulnerability)
CVE- [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Kernel supports Page Table Isolation (PTI):
* PTI enabled and active:
* Running as a Xen PV DomU:
VULNERABLE
(PTI is needed to mitigate the vulnerability)
在 4.13.x 内核上（禁用 PTI ），发现了以下问题
修复 Spectre Variant 2 的 IBRS 处于启用状态，
Spectre Variant 1 中的 LFENCE instructions following a jump in kernel:
(68 jump-then-lfence instructions found, which is &= 30 (heuristic)) 之前只有 5，现在是 68
我找到了这个：
，于是根据所说，传入 noibrs 参数成功禁用 IBRS 修补，测试性能结果如下
bytes (100 MB, 95 MiB) copied, 26.1775 s, 3.8 MB/s
real 0m26.178s
user 0m5.396s
sys 0m20.745s
性能回升一些，但仍未达到最初的状态，我估计应该是 LFENCE instructions following a jump in kernel 达到 68 导致的，如何把这个值改回 5，没有找到有关资料，即使需要重新编译内核我也想这个改回去，但不想降回旧内核。
大家怎么看
9 回复 &| &直到
09:00:37 +08:00
& &5 天前 via Android
那就自己编译吧，其实锁定旧内核也没什么区别吧。。。
看法嘛，IO 性能降四倍是个什么表述？ IO 用时多这么些不应该啊，而且那只是极限情况平时问题不大吧，自己笔记本这个补丁不打问题也不大吧。。。
@ 问题是我不知道如何才能将这个值改回 5 啊，内核编译选项里并没有找到，网上也没有找到有用的信息，只好求助各位了。
是真的能感觉出不如之前流畅了，很难受的，要不然我也不会为了无关紧要的性能牺牲安全不是
强迫症又想用新内核，唉。。
& &5 天前 via Android
去看 git 记录，改了哪些地方，改回来
还是 gentoo 方便,想怎么改就怎么改啊
对了 openbsd 在 2006 年已经补了.
@ 啥？ 2006 年就发现问题了？可啪！
@ 看不出是什么地方修改的，我这水平恐怕只能一个补丁编译一次一个补丁编译一次地试出来是哪个提交导致的，天哪
而且独立主线内核之外再维护一套补丁的难度太大了，内核一更新我就可能需要跟进，这个值好象是内核执行某种跳转的次数，恐怕无法通过给用户一个编译选项，只能通过折中形式“硬编码”到内核中，这样看来我还是退回旧内核吧
@ 06 年？！这安全性还真不是吹的啊，佩服
看走眼了,是 2007 年,不过也是远古巨坟
& · & 580 人在线 & 最高记录 3541 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.0 · 61ms · UTC 22:58 · PVG 06:58 · LAX 14:58 · JFK 17:58? Do have faith in what you're doing.