Linus beolvasztotta a Kernel page-table isolation-t

 ( trey | 2018. január 1., hétfő - 10:30 )

Linus végül beolvasztotta a Kernel page-table isolation (röviden: PTI, KPTI, korábban: KAISER) hardening megoldást a saját kernelfájába. A KPTI célja a biztonság fokozása a kernel- és user space memória jobb izolálása révén. Ez a fundamentális változtatás az aktuális fejlesztési ciklus késői szakaszában (-rc5 után) érkezett, ezért nem kizárt, hogy a 4.15-ös kernel fejlesztési ciklusa az -rc8-ig (vagy tovább is) tart majd.

A kernel page-table isolation jelenlegi helyzetéről az LWN publikált egy összefoglalót "The current state of kernel page-table isolation" címmel, amely nem előfizetőknek január 4-től lesz olvasható.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Es nagyon ugy tunik, hogy valami uber sebezhetoseg all a hatterben:

http://pythonsweetness.tumblr.com/post/169166980422/the-mysterious-case-of-the-linux-page-table/amp?

tl;dr: there is presently an embargoed security bug impacting apparently all contemporary CPU architectures that implement virtual memory, requiring hardware changes to fully resolve. Urgent development of a software mitigation is being done in the open and recently landed in the Linux kernel, and a similar mitigation began appearing in NT kernels in November. In the worst case the software fix causes huge slowdowns in typical workloads. There are hints the attack impacts common virtualization environments including Amazon EC2 and Google Compute Engine, and additional hints the exact attack may involve a new variant of Rowhammer.

----------------------
while (!sleep) sheep++;

> In the worst case the software fix causes huge slowdowns in typical workloads.

vs

> Fig.8: Comparison of the runtime of different benchmarks when running on the KAISER-protected kernel. The default kernel serves as baseline (=100%). We see that the average overhead is 0.28% and the maximum overhead is 0.68%.

https://gruss.cc/files/kaiser.pdf

vs w/pti nopti

yes 'printf \\r8==mm=D;sleep .3'|sed p\;s/=mm/mm=/|sh -s

Ne nyomogasd annyit mert még elkopik!

Uh, ha nem tudsz a különbséget tenni a fake news es a spekuláció között, az elég sok mindent megmagyaráz.

----------------------
while (!sleep) sheep++;

>ha nem tudsz a különbséget tenni a fake news es a spekuláció között

1) mifele spekulacio
2) "fake news" == "az agybaszott vilagkepemmel nem kompatibilis informaciok, es azok kozzetevoi"

Te például mvarga másodnickje vagy! Na tessék ez egy spekuláció.

Es en egyebkent is egy fizetett M$-ugynok vagyok ;)

----------------------
while (!sleep) sheep++;

Ahhoz jobb trollnak kellett volna lenned.

Kivancsi vagyok, hogy masok szerint egy konkret, temahoz fuzodo hozzaszolas vagy fakenews-duplanick-trollvagy off-topic poszt-lanc szamit inkabb trollkodasnak :) (De latom egyre cikibb ez neked is, tehat hagyjuk -- a frappans vegszo lehetoseget azert meghagyom neked. :) )

----------------------
while (!sleep) sheep++;

Mond valamit számodra a FUD betűszó?

hagyd rá

jaj, rászabadultunk az urbandictionary-re? ;)

Tyiiiha, ebbe kapaszkodni egy ilyen threadben, komenyke. :) Tenyleg. Respekt!

----------------------
while (!sleep) sheep++;

Varga úr, legalább várjál egy picit és ne egyszerre kattints a 'Beküldés' gombra amikor a többi nickeddel próbálod védeni magadat. Így nagyon átlátszó!

Kedves barátom, ne akard magyarázni a magyarázhatatlant. Magadat égeted.

Köszönjük kedves harmadnick a szerecsenmosdatást.
Nem megy ez neked!
Vagy van még néhány égetni való troll nick a tarsolyban? :)

Tisztelt Uram!

Hiába vagdalkozik, ezúttal is mellélőtt. Senkinek a másodnickje nem vagyok, mellesleg ha esetleg ránéz a userid-re, láthatja, hogy nem mai, másod- harmad- és sokadnicket pedig ritkán szoktak beregisztrálni az elsők közt (persze sose lehet tudni). Viszont mivel nincs kedvem paranoid egyedeket győzködni, a jövőben tiszteljen meg azzal, hogy egy szakmai témában nem kezd el személyeskedni, amikor esetleg Önnek nem tetsző véleménnyel találkozik.

A neten szokatlan magázós mód nem véletlen, a jövőben Önnel nem kívánok közelebbi kapcsolatba kerülni. Úgyhogy kérem, ne fárassza magát (és engem se) azzal, hogy erre válaszol.

"beregisztrálni az elsők közt"

Gabu kedveli ezt :D

Nem lenne célszerűbb legalább egyszer az életben azt mondani, hogy „bocs, ezt benéztem”? Ennyire fájna, hogy inkább égeted magad?

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Mit nézett be pubika??
Az volt a hamis kiinduló spekuláció, hogy minden modern cpu arch érintett, ergo a linux kernel fejlesztői baszták el.
Erre kiderül, hogy az Intel baszta el. Linux és Windows fejlesztők most próbálják szoftver oldalon befoltozni amit az Intelnél javíthatatlanul elszartak.
Tudod nem mindegy Manchesterben McLareneket osztogatnak vagy Moszkvában Moszkvicsokat fosztogatnak!
Sikerült neked is tátott szájjal befutni a faszerdőbe fogalmatlanul. Ne félj, nem vagy egyedül. A hupon erős a mezőny paszulyerdős kocogásban.


Normális HUP-ot használok!

Ott van még a tldr-ben is, hogy a Microsoft is javít (NT kernelt is patchelik). A cikk még aztán főleg egyértelmű, mert a rowhammerrel hasonlítja össze.

----------------------
while (!sleep) sheep++;

Off:

„Tudod nem mindegy Manchesterben McLareneket osztogatnak vagy Moszkvában Moszkvicsokat fosztogatnak!”

Ezzel a nickel így elszúrni ezt a történetet. :-(

Mivel már elég sok változata kering a neten (például Volvóval; akkor sokan még azt sem tudták, hogy mi az a Volvó), így beszúrom az eredeti változatot, ahogy a rádióban hallottam:

A jereváni rádió a következő hírről számolt be: „Leningrádban Volgákat osztogatnak!”
Nemsokára érkezik a helyesbítés: „Nem Leningrádban, hanem Moszkvában, nem Volgákat, hanem Moszkvicsokat, és nem osztogatnak, hanem fosztogatnak.”

Az újabb hírek után is fenntartod ezt a véleményed?

" Most workloads that we have run show single-digit regressions. 5% is a good round number for what is typical. The worst we have seen is a roughly 30% regression on a loopback networking test that did a ton of syscalls and context switches."

https://lwn.net/Articles/738975/

Alighanem ez nem tesz jot a legtobb virtualis halozotnak, proxynak, static webservernek, memcached ..
Lehet ez lesz az elso security `feature` amit tenyleg letiltok.

A Hardwares `fix` is rosszul hangzik, ha komolyan gondoljak a memoria cim feloldas szandekos lassitasiat.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

A jelek szerint az AMD valahogy megoldotta.

Ez mondjuk érdekes hatással lesz az árakra... :)
--
Gábriel Ákos

Az AMD erdekes módon az Intel sebezhetosegeiben nem szokott erintett lenni, de sajnos divat még mindig, csak úgy szidni.

Ugylatom itt mas hibarol van szo mint sejtettem,
AMD csak kicsit erintett a csokorbol:
https://www.amd.com/en/corporate/speculative-execution


Amit nem lehet megirni assemblyben, azt nem lehet megirni.