OpenForum RSS: Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от атак Spectre v2 https://www.opennet.ru/openforum/vsluhforumID3/130229.html В ядре Linux 6.2 выявлена уязвимость (CVE-2023-1998), приводящая к отключению защиты от атак класса Spectre v2, позволяющих получить доступ к памяти других процессов, выполняемых в разных потоках SMT или Hyper Threading, но на одном физическом ядре процессора. Уязвимость, среди прочего, может использоваться для организации утечки данных между виртуальными машинами в облачных системах. Проблема затрагивает только ядро Linux 6.2 и вызвана некорректной реализацией оптимизаций, призванных снизить значительные накладные расходы при применении защиты от Spectre v2. Уязвимость устранена в экспериментальной ветке ядра Linux 6.3...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58981<br> Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от ат... (n00by) https://www.opennet.ru/openforum/vsluhforumID3/130229.html#200 Fri, 21 Apr 2023 12:24:20 GMT Вот именно, что от задачи зависит. Пока машина простаивает, тогда потери близки к 0. Чем выше нагрузка, чем чаще устройства генерируют прерывания, чем чаще вызывается ядро - там больше потери.<br> Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от ат... (пох.) https://www.opennet.ru/openforum/vsluhforumID3/130229.html#199 Fri, 21 Apr 2023 12:16:44 GMT В смысле? Они скорость исполнения запросов меряли. До и после. То есть совсем-совсем конкретный замер на совершенно однозначном примере. И что важно - совсем не экзотическом.<br><br>У тебя может получиться лучше или хуже - в зависимости от твоих задач, но ориентироваться на эти цифры пока сам не померяешь - можно и нужно.<br> Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от ат... (n00by) https://www.opennet.ru/openforum/vsluhforumID3/130229.html#198 Fri, 21 Apr 2023 12:01:36 GMT &gt;&gt;&gt; нет, они просто деоптимизировали ядро.<br>&gt;&gt; Для тех кому пох есть mitigations=off.<br>&gt; нету. kpti=off (еще во времена когда всех остальных троянцев не было) тестировали <br>&gt; лобастые пацаны в гугле. И намеряли аж &gt;20% потери производительности по <br>&gt; сравнению с кодом в котором просто не было еще никакого kpti. <br><br>Беда в том, что это интегральная оценка, средняя температура по больнице. Чем чаще переключает контекст, тем больше потери.<br> Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от ат... (пох.) https://www.opennet.ru/openforum/vsluhforumID3/130229.html#196 Fri, 21 Apr 2023 07:48:41 GMT &gt;&gt; Увы, но в реальном мире ценность корпоративной информации сильно преувеличена <br>&gt; Да как тебе сказать? В мире хайтека разработка стоит немеряно денег. Спереть <br><br>к счастью хайтек не дошел еще до стадии когда отрезанная голова способна разговаривать.<br><br>&gt; чужую технологию, идеи, know-how, все такое - может быть весьма выгодно. <br><br>но технически невозможно. Технология - она в головах и в налаженном взаимодействии - т.е. личных горизонтальных связях. <br>А состав с миллионами страничек со смазанным текстом плюс два состава замеченных опечаток - поможет тебе реконструировать технологию - если ты уже этот путь на 3/4 прошел сам и у тебя на самом деле есть все то же самое (включая людей). Но никак не создать с нуля.<br><br>&gt; У россиян просто ничего реально хайтечного нет - тырить нечего. Ты же <br><br>вот сейчас авторам безопастного города то обидно получилось.<br><br> Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от ат... (пох.) https://www.opennet.ru/openforum/vsluhforumID3/130229.html#195 Fri, 21 Apr 2023 07:43:55 GMT &gt; Ну можно же украсть только пароль админа ...<br>&gt; А данные потом просто уничтожить...<br><br>И вот чо? Вон несколько недель назад таможенное оформление того - и чо, ну и посидишь еще месяцок без подгузников. Фура простоит на границе не неделю а месяц - подумаешь, чуть подтухнет капусточка и баклажаны - они и были не очень. Прошлой весной таких историй было - вообще мильен с тыщами. Кто-то стер данные мираторга, вместе с бэкапами (и кажется вместе с админами, впрочем, конечно, кажется, не было там никаких админов давно, один затраханный эникей).<br>И что - помогло это остановить поток их тухлятины? Заполнили накладные вкривь-вкось карандашом и поехали.<br><br>Тем более что у ветконтроля тоже что-то там поудаляли и он в это время решил тоже не работать. Чума там какая-то... да кого она колебет когда погибла колекция прона за десять лет?<br><br>&gt; Фин.информация сама по себе денег может стоит и мало, но без неё <br>&gt; фирма долго не продержится, ну если это не ИП на 2 <br>&gt; васяна <br><br>наоборот - только в ипы2васяна информация может н Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от ат... (пох.) https://www.opennet.ru/openforum/vsluhforumID3/130229.html#194 Fri, 21 Apr 2023 07:16:20 GMT &gt;&gt; нет, они просто деоптимизировали ядро.<br>&gt; Для тех кому пох есть mitigations=off.<br><br>нету. kpti=off (еще во времена когда всех остальных троянцев не было) тестировали лобастые пацаны в гугле. И намеряли аж &gt;20% потери производительности по сравнению с кодом в котором просто не было еще никакого kpti. То есть совершенно чудовищную регрессию. И... пипл схавал и добавки просит.<br><br>Потом правда обо...сь и само это исследование гугль удалил - но ссылки на него ты еще мог бы найти если бы умел что-то кроме чатгопоты.<br><br>Т.е. проблема в том что ядро изуродовали _необратимо_ - ниасилив в условную компиляцию. Миллион каких-то фич, фичек и фитюлек, больщую часть которых ты даже навряд ли сможешь объяснить и они известны разьве что сотрудникам интела - пожалуйста, в виде параметров KConfig, а вот это ненужное счастье - даром и всем, чтоб никто не ушел.<br><br>&gt; в АКТУАЛЬНОЙ версии ядер фиксы неслабо оптимизированы<br><br>ссылок на результаты теста _в_сравнении_с_неизуродованным_ядром_ а не с =off - разумеется не будет, потому ч Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от ат... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/130229.html#193 Thu, 20 Apr 2023 20:30:21 GMT &gt; нет, они просто деоптимизировали ядро.<br><br>Для тех кому пох есть mitigations=off. Но в этом случае ты уже не имеешь права жаловаться если тебя расхакали сперев ключи и так далее.<br><br>&gt; во вполне реальном сценарии - postgres - гугловые инженеры намеряли 20% потерю <br>&gt; производительности.<br><br>Если ты как обычно мерял в эпоху царя гороха - в АКТУАЛЬНОЙ версии ядер фиксы неслабо оптимизированы. А ты сиди с своим супер-стабильным энтерпрайзом и докупай сервера. Толстых энтерпрайзных котов по сценарию вообще не парит сервера докупать.<br><br>Ну и если у тебя реально постгр, на физической машине, и там больше ничего нет, см. выше.<br><br>&gt; нем кучи стремных мест в угоду белкам-истеричкам.<br><br>Эти белки истерички называются облаками и хостингами. И им совсем не в кассу чтобы вон те кастомеры разломали соседей или даже хост.<br><br>&gt; (Отдельно передаем привет надмозгу додумавшемуся проверять глобальную переменную в самых <br>&gt; узких местах с запрещенными прерываниями пол-миллиона раз в секунду) <br><br>В такой ситуации там должен быть жестки Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от ат... (пох.) https://www.opennet.ru/openforum/vsluhforumID3/130229.html#192 Thu, 20 Apr 2023 20:08:51 GMT Когда ты узнаешь с какой офигенной скоростью он там работает - ты расхочешь его собирать ;-)<br><br> Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от ат... (Электрон) https://www.opennet.ru/openforum/vsluhforumID3/130229.html#191 Wed, 19 Apr 2023 22:32:01 GMT https://www.phoronix.com/review/alder-lake-mitigations/3<br>И это Alder Lake, где уже в железе что могли пофиксили. Чем старее - тем хуже.<br>