Názory k článku Jak se zranitelnosti Spectre a Meltdown projevily v českých datacentrech?

Článek je starý, nové názory již nelze přidávat.

• Podle hodnocení
• Podle vláken
• Nejnovější

• 17. 1. 2018 9:40

  anonym (neregistrovaný) ---.net.upcbroadband.cz

  ty patche jsou zatim spis dalsi problem nez reseni, vetsina vyrobcu je poradne neotestovala a problemy maji snad vsichni
  https://kb.vmware.com/s/article/52345

  https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00039784en_us&hprpt_id=HPGL_ALERTS_1997698&jumpid=em_alerts_us-us_Jan18_xbu_all_all_1422961_1997698_ServersMoonshotSystemsSynergy_critical__/

  https://support.lenovo.com/cz/cs/solutions/len-18282

  atd atd ....

  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 1. 2018 13:34

  Damir (neregistrovaný) ---.vshosting.cz

  Update probíhá automatizovaně, individuálně s klienty řešíme čas rebooty serveru, protože u některých klientů restart serverů způsobí výpadek. Po restartu kontrolujeme stav všech služeb. Tato "drobná práce" násobená tisíci generuje velké množství práce. Ano, můžeme to řešit jako jiné firmy - říkat, že uděláme minor update a tím je to vyřešené (= reálně se to neřeší), a nebo to prostě hromadně všechno porestartovávat a nezájem. Nicméně my známe naše klienty, víme, že jim na serverech běží produkční systémy, a proto s nimi restart serveru koordinujeme tak, aby jim to nezpůsobilo žádný problém.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 1. 2018 13:36

  Damir (neregistrovaný) ---.vshosting.cz

  Update probíhá automatizovaně, individuálně s klienty řešíme čas rebooty serveru, protože u některých klientů restart serverů způsobí výpadek. Po restartu kontrolujeme stav všech služeb. Tato "drobná práce" násobená tisíci generuje velké množství práce. Ano, můžeme to řešit jako jiné firmy - říkat, že uděláme minor update a tím je to vyřešené (= reálně se to neřeší), a nebo to prostě hromadně všechno porestartovávat a nezájem. Nicméně my známe naše klienty, víme, že jim na serverech běží produkční systémy, a proto s nimi restart serveru koordinujeme tak, aby jim to nezpůsobilo žádný problém.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 1. 2018 10:48

  P2010 (neregistrovaný) ---.net.upcbroadband.cz

  Možná by bylo vhodné upozornit, že OS část patche na Spectre není aktivní, dokud není zároveň provedena aktualizace CPU mikrokódu (zpravidla updatem BIOSu, ale jsou i jiné cesty). Takže plno testů nedává moc smysl.

  Potvrdilo se, že ty opravy Intelu jsou moc narychlo a už je musel stahnout, protože to způsobovalo chyby.

  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 1. 2018 11:16

  Jirka B. (neregistrovaný) 193.165.179.---

  Díky za zajímavý vhled do toho, jak fungují česká datacentra.

  "Tyto zranitelnosti jsou obecně významným problémem pro virtualizovanou infrastrukturu. [...] Z tohoto důvodu jsme do infrastruktury nasadili patche implementující KPTI."

  No teda. Chápu, že technické podrobnosti těchto zranitelností většině lidí unikají. Nicméně od provozovatelů datacenter bych očekával, že si nastudují alespoň základy. Mít virtualizovanou infrastrukturu a "chránit" se tím, že nasadí PTI, tedy fix na Meltdown, který nelze použít k útoku z VM na hypervisor nebo na jiné VM, nezní zrovna profesionálně.

  Co se týče několikrát zmíněného dopadu na výkon - pokud mají nasazeno jen PTI, tak není divu, že dopad na výkon nepozorují. Ta pravá legrace nastane, až nasadí opravy na Spectre variant 2, která se jich týká nejvíc. Teda, pokud se Intel uráčí vydat updaty mikrokódu. které fungují. Ale je dobře, že alespoň část datacenter s nutností nového hardware počítá a dopad na výkon na svých strojích sleduje.

  A VSHosting, který podle článku aktualizuje "tisíce serverů ručně", to je taky něco.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 1. 2018 14:20

  Jirka B. (neregistrovaný) 193.165.179.---

  Stále ještě nerozumím tomu, proč tento update vyžaduje jiný přístup než jiné záplaty na local root exploity (v případě update jádra OS) a než jiné záplaty na VM escape (v případě update hypervisoru). Mám jisté pochybnosti o tom, že podobné tanečky provádíte u každého update kernelu a qemu/Hyper-V/VMware. Přitom z pohledu uživatele je to totéž. Dokonce pravděpodobnost útoku je zde menší než u jiných exploitů z posledních let.

  Nebo je to kvůli mediální bublině okolo? Ale ta je spíš způsobená tím, že jde o technicky velice zajímavou novou třídu problémů. Dopad na zákazníka není větší než u "klasických" bezpečnostních problémů.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 1. 2018 20:57

  Jirka B. (neregistrovaný) 193.165.179.---

  On CPUman není úplně mimo. Bez ohledu na to, zda a kdy vydá Intel nový mikrokód pro Sandy a Ivy Bridge, na těchto dvou mikroarchitekturách budou pravděpodobně díky jednodušším branch prediktorům celkem spolehlivě fungovat retpolines. A ty nový mikrokód nepotřebují a s velkou pravděpodobností budou na těchto mikroarchitekturách výrazně rychlejší než vylévání branch target bufferu a zakazování predikce indirect branchingu (což je to, co přidává nový mikrokód).

  Tvrzení, že pocítí dopady méně než modernější mikroarchitektury, je ale přehnaně silné. Na Skylake jsou sice retpolines trochu oříšek, ale zatím nic nenasvědčuje tomu, že neřešitelný. Navíc díky odlišnému návrhu procesoru jsou tam zmiňované obezličky v hardware levnější. Takže přestože je teoreticky možné, že procentuální dopad na výkon bude na Sandy Bridge o pár procentních bodů menší než u Skylake, v absolutních číslech se to moc neprojeví.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 1. 2018 18:00

  CPUman (neregistrovaný) 190.10.8.---

  S tím výkonem je to pravda. A paradoxní je, že starší procesory, které nebudou mít update mikrokódu pocítí menší snížení výkonu, než ty moderní s mikrokódem.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 1. 2018 19:09

  P2010 (neregistrovaný) ---.net.upcbroadband.cz

  Bude, zkuste si o tom něco přečíst.

  Ne, nestačí.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 18. 1. 2018 7:53

  CPUman (neregistrovaný) 185.220.101.---

  Ano zjednodušil jsem to. A protože ty modernější architektury mají lepší IPC nejen kvůli vylepšené predikci, budou zřejmě v absolutních číslech pořád rychlejší. A předpokládám, že se objeví i další levnější způsoby obcházení problému, ale bohužel taky i další možnosti útoku.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 18. 1. 2018 15:07

  Jiri Kosina (neregistrovaný) ---.suse.com

  > nelze použít k útoku z VM na hypervisor nebo na jiné VM

  A ze to plati obecne nezavisle na hypervisoru si myslite z jakeho duvodu?

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 19. 1. 2018 10:47

  Intelgate (neregistrovaný) 89.24.126.---

  Všude se mluví o tom co to způsobí za trable, ale mně by zajímalo, kdy konečně naběhnou evropští právníci na Intel a budou po něm, resp. USA, požadovat odškodnění v řádu alespoň jedné miliardy dolarů. Vždyť to ovlivní téměř celý počítačový svět! O tom jsem ještě úvahu nečetl.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 19. 1. 2018 13:53

  Jiri Kosina (neregistrovaný) ---.suse.com

  > A to ještě někdo používá?

  Asi byste se divil kdo vsechno :)

  > o se snad týká jen paravirtualizace, ne?

  Sitauce u Xenu je trochu slozitejsi, to neni tak jednoduchy svet jako KVM :)

  Viz https://xenbits.xen.org/xsa/advisory-254.html

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 1. 2018 18:02

  P2010 (neregistrovaný) ---.net.upcbroadband.cz

  Co je starší? Intel 2nd gen Sandy Bridge mít bude.

  Jistě že pocítí, protože budou trvale nebezpečné :-)

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 18. 1. 2018 7:47

  CPUman (neregistrovaný) 185.220.101.---

  Zkuste si o tom něco přečíst vy, přehledně třeba na: https://github.com/speed47/spectre-meltdown-checker

  Je smutné vidět kolik nesmyslů a polopravd se okolo tohoto problému šíří.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 18. 1. 2018 17:28

  Jirka B. (neregistrovaný) 193.165.179.---

  To je hodně dobrá otázka :-)

  Docela by mě zajímalo, který hypervisor (v kombinaci s ovladači ve virtualizovaném OS, předpokládám) mapuje něco zajímavého (a co) do adresního prostoru aplikací běžících ve VM. Velmi rád se v tomhle nechám opravit, přiznávám, že tuto variantu jsem nezkoumal a spokojil se s vyjádřeními, že se to neděje.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 19. 1. 2018 2:06

  Jiri Kosina (neregistrovaný) 91.219.246.---

  Xen.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 19. 1. 2018 10:58

  

  bez přezdívky

  Jako všichni právníci žijící v Evropě?

  Úvah je plný internet, doporučuji se po nich podívat.
  Jinak: http://www.tomshardware.com/news/meltdown-lawsuits-intel-defective-chips,36233.html

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 19. 1. 2018 12:37

  Jirka B. (neregistrovaný) 193.165.179.---

  A to ještě někdo používá? ;-)

  Ale teď vážně: to se snad týká jen paravirtualizace, ne? A jak by proti tomu mohlo pomoct PTI na kernelu v dom0? (Z článku: "Z tohoto důvodu jsme do infrastruktury nasadili patche implementující KPTI.")

  Uznávám, že samotný holý výrok "Meltdown [...] nelze použít k útoku z VM na hypervisor" není formulován šťastně a v případě paravirtualizace neplatí. Nicméně tak, jak to bylo myšleno, tedy v plném kontextu "nasazení (k)PTI k ochraně hypervisoru před Meltdown z VM je zbytečné" to stále platí. Tedy aspoň prozatím, možná se objeví nějaké další zranitelnosti, ale ty budou stejně dost pravděpodobně vyžadovat další patche. Nebo máte ještě jiný příklad?

  Díky za debatu!

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 23. 1. 2018 9:12

  Klik je cvik (neregistrovaný) 84.19.86.---

  Vypadá to i na falešné záplaty Spectre a Meltdown pro běžné uživatele , ve skutečnosti je to malware ...

  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 24. 1. 2018 12:20

  PavelM (neregistrovaný) 2001:718:1001:----:----:----:----:----

  To byl fake. Žádný útok se nekonal, někdo se chtěl přiživit na těch jménech ala Bondovky.

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 25. 1. 2018 12:56

  kyssling (neregistrovaný) ---.vltavinleas.cz

  Že jsou to víceméně PR řeči (minimálně od výroků lidí z datacener) jsem tušil, ale před časem nenapsal ...

  Mohli by prosím redaktoři Lupy vydat aktualizovaný článek a zeptat se správců datacenter (z tohoto článku) jestli fakt nahrávali tehdy záplaty (a nyní tedy mají značné problémy) nebo si jen honily triko-lhali a maximálně testovali (viz : https://www.zive.cz/clanky/intel-varuje-datacentra-neinstalujte-nase-zaplaty-na-spectre/meltdown-zpusobuji-restarty/sc-3-a-191483/default.aspx případně https://www.root.cz/zpravicky/intel-vyzyva-neinstalujte-nase-zaplaty/)

  Děkuji !

  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 18. 1. 2018 18:36

  CPUman (neregistrovaný) ---.schokomil.ch

  Tak nové útoky na sebe nedaly dlouho čekat: https://skyfallattack.com/

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 1. 2018 18:11

  CPUman (neregistrovaný) 2604:8b40:1:----:----:----:----:----

  Ano Sandy a Ivy mít mikrokód nebude, protože stačí záplaty v SW, které berou míň výkonu než mikrokód a záplata v SW pro novější CPU, které doplácí na to, že mají speculative execution zase o něco "lepší".

  •   Zobrazit celé vlákno
  •   Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

• 17. 1. 2018 11:27

  mgr.pavel (neregistrovaný) ---.cust.nbox.cz

  "Aktualizujeme tisíce serverů ručně." - copak oni pro správu pro tisíců serverů nemají nějaký centralizovaný system management nástroj? :-o Pěkní amatéři.

  •   Zobrazit celé vlákno