ty patche jsou zatim spis dalsi problem nez reseni, vetsina vyrobcu je poradne neotestovala a problemy maji snad vsichni
https://kb.vmware.com/s/article/52345
https://support.lenovo.com/cz/cs/solutions/len-18282
atd atd ....
Update probíhá automatizovaně, individuálně s klienty řešíme čas rebooty serveru, protože u některých klientů restart serverů způsobí výpadek. Po restartu kontrolujeme stav všech služeb. Tato "drobná práce" násobená tisíci generuje velké množství práce. Ano, můžeme to řešit jako jiné firmy - říkat, že uděláme minor update a tím je to vyřešené (= reálně se to neřeší), a nebo to prostě hromadně všechno porestartovávat a nezájem. Nicméně my známe naše klienty, víme, že jim na serverech běží produkční systémy, a proto s nimi restart serveru koordinujeme tak, aby jim to nezpůsobilo žádný problém.
Update probíhá automatizovaně, individuálně s klienty řešíme čas rebooty serveru, protože u některých klientů restart serverů způsobí výpadek. Po restartu kontrolujeme stav všech služeb. Tato "drobná práce" násobená tisíci generuje velké množství práce. Ano, můžeme to řešit jako jiné firmy - říkat, že uděláme minor update a tím je to vyřešené (= reálně se to neřeší), a nebo to prostě hromadně všechno porestartovávat a nezájem. Nicméně my známe naše klienty, víme, že jim na serverech běží produkční systémy, a proto s nimi restart serveru koordinujeme tak, aby jim to nezpůsobilo žádný problém.
Možná by bylo vhodné upozornit, že OS část patche na Spectre není aktivní, dokud není zároveň provedena aktualizace CPU mikrokódu (zpravidla updatem BIOSu, ale jsou i jiné cesty). Takže plno testů nedává moc smysl.
Potvrdilo se, že ty opravy Intelu jsou moc narychlo a už je musel stahnout, protože to způsobovalo chyby.
Díky za zajímavý vhled do toho, jak fungují česká datacentra.
"Tyto zranitelnosti jsou obecně významným problémem pro virtualizovanou infrastrukturu. [...] Z tohoto důvodu jsme do infrastruktury nasadili patche implementující KPTI."
No teda. Chápu, že technické podrobnosti těchto zranitelností většině lidí unikají. Nicméně od provozovatelů datacenter bych očekával, že si nastudují alespoň základy. Mít virtualizovanou infrastrukturu a "chránit" se tím, že nasadí PTI, tedy fix na Meltdown, který nelze použít k útoku z VM na hypervisor nebo na jiné VM, nezní zrovna profesionálně.
Co se týče několikrát zmíněného dopadu na výkon - pokud mají nasazeno jen PTI, tak není divu, že dopad na výkon nepozorují. Ta pravá legrace nastane, až nasadí opravy na Spectre variant 2, která se jich týká nejvíc. Teda, pokud se Intel uráčí vydat updaty mikrokódu. které fungují. Ale je dobře, že alespoň část datacenter s nutností nového hardware počítá a dopad na výkon na svých strojích sleduje.
A VSHosting, který podle článku aktualizuje "tisíce serverů ručně", to je taky něco.
Stále ještě nerozumím tomu, proč tento update vyžaduje jiný přístup než jiné záplaty na local root exploity (v případě update jádra OS) a než jiné záplaty na VM escape (v případě update hypervisoru). Mám jisté pochybnosti o tom, že podobné tanečky provádíte u každého update kernelu a qemu/Hyper-V/VMware. Přitom z pohledu uživatele je to totéž. Dokonce pravděpodobnost útoku je zde menší než u jiných exploitů z posledních let.
Nebo je to kvůli mediální bublině okolo? Ale ta je spíš způsobená tím, že jde o technicky velice zajímavou novou třídu problémů. Dopad na zákazníka není větší než u "klasických" bezpečnostních problémů.
On CPUman není úplně mimo. Bez ohledu na to, zda a kdy vydá Intel nový mikrokód pro Sandy a Ivy Bridge, na těchto dvou mikroarchitekturách budou pravděpodobně díky jednodušším branch prediktorům celkem spolehlivě fungovat retpolines. A ty nový mikrokód nepotřebují a s velkou pravděpodobností budou na těchto mikroarchitekturách výrazně rychlejší než vylévání branch target bufferu a zakazování predikce indirect branchingu (což je to, co přidává nový mikrokód).
Tvrzení, že pocítí dopady méně než modernější mikroarchitektury, je ale přehnaně silné. Na Skylake jsou sice retpolines trochu oříšek, ale zatím nic nenasvědčuje tomu, že neřešitelný. Navíc díky odlišnému návrhu procesoru jsou tam zmiňované obezličky v hardware levnější. Takže přestože je teoreticky možné, že procentuální dopad na výkon bude na Sandy Bridge o pár procentních bodů menší než u Skylake, v absolutních číslech se to moc neprojeví.
Ano zjednodušil jsem to. A protože ty modernější architektury mají lepší IPC nejen kvůli vylepšené predikci, budou zřejmě v absolutních číslech pořád rychlejší. A předpokládám, že se objeví i další levnější způsoby obcházení problému, ale bohužel taky i další možnosti útoku.
Všude se mluví o tom co to způsobí za trable, ale mně by zajímalo, kdy konečně naběhnou evropští právníci na Intel a budou po něm, resp. USA, požadovat odškodnění v řádu alespoň jedné miliardy dolarů. Vždyť to ovlivní téměř celý počítačový svět! O tom jsem ještě úvahu nečetl.
Zkuste si o tom něco přečíst vy, přehledně třeba na: https://github.com/speed47/spectre-meltdown-checker
Je smutné vidět kolik nesmyslů a polopravd se okolo tohoto problému šíří.
To je hodně dobrá otázka :-)
Docela by mě zajímalo, který hypervisor (v kombinaci s ovladači ve virtualizovaném OS, předpokládám) mapuje něco zajímavého (a co) do adresního prostoru aplikací běžících ve VM. Velmi rád se v tomhle nechám opravit, přiznávám, že tuto variantu jsem nezkoumal a spokojil se s vyjádřeními, že se to neděje.
Jako všichni právníci žijící v Evropě?
Úvah je plný internet, doporučuji se po nich podívat.
Jinak: http://www.tomshardware.com/news/meltdown-lawsuits-intel-defective-chips,36233.html
A to ještě někdo používá? ;-)
Ale teď vážně: to se snad týká jen paravirtualizace, ne? A jak by proti tomu mohlo pomoct PTI na kernelu v dom0? (Z článku: "Z tohoto důvodu jsme do infrastruktury nasadili patche implementující KPTI.")
Uznávám, že samotný holý výrok "Meltdown [...] nelze použít k útoku z VM na hypervisor" není formulován šťastně a v případě paravirtualizace neplatí. Nicméně tak, jak to bylo myšleno, tedy v plném kontextu "nasazení (k)PTI k ochraně hypervisoru před Meltdown z VM je zbytečné" to stále platí. Tedy aspoň prozatím, možná se objeví nějaké další zranitelnosti, ale ty budou stejně dost pravděpodobně vyžadovat další patche. Nebo máte ještě jiný příklad?
Díky za debatu!
Že jsou to víceméně PR řeči (minimálně od výroků lidí z datacener) jsem tušil, ale před časem nenapsal ...
Mohli by prosím redaktoři Lupy vydat aktualizovaný článek a zeptat se správců datacenter (z tohoto článku) jestli fakt nahrávali tehdy záplaty (a nyní tedy mají značné problémy) nebo si jen honily triko-lhali a maximálně testovali (viz : https://www.zive.cz/clanky/intel-varuje-datacentra-neinstalujte-nase-zaplaty-na-spectre/meltdown-zpusobuji-restarty/sc-3-a-191483/default.aspx případně https://www.root.cz/zpravicky/intel-vyzyva-neinstalujte-nase-zaplaty/)
Děkuji !
Tak nové útoky na sebe nedaly dlouho čekat: https://skyfallattack.com/
Internet Info Lupa.cz (www.lupa.cz)
Server o českém Internetu. ISSN 1213-0702
Copyright © 1998 – 2021 Internet Info, s.r.o. Všechna práva vyhrazena.