[Информационная безопасность, Open source, Разработка под Linux, Процессоры] Новые патчи Linux защищают процессоры Intel от последних уязвимостей, так что Hyper-Threading можно не отключать
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Уязвимости семейства MDS
Инженер Google Джоэл Фернандес (Joel Fernandes) прислал девятую версию патчей “core scheduling” для ядра Linux. Этот код позволяет одновременно запускать на одном ядре процессора только доверенные задачи — в тех случаях, когда используется Hyper Threading — для защиты системы от возможных эксплоитов.
Тема защиты CPU стала популярной с тех пор, как в процессорах Intel обнаружили два новых семейства уязвимостей — MDS (Microarchitectural Data Sampling) и L1TF (L1 Terminal Fault), основанные на технологии спекулятивного исполнения команд. Виной всему — реализация Hyper-Threading (многопоточности) в чипах Intel. Если вкратце, в MDS злоумышленник может получить доступ к приватной информации даже через браузер пользователя, запустив в нем вредоносный код. Процессору даётся команда перенести важные данные в буферы, а уже оттуда их можно извлечь.
Патчи Core Scheduling должны сделать технологию Hyper-Threading более безопасной, позволяя только доверенным задачам совместно использовать CPU. Это разумная защита, которая позволяет оставить Hyper-Threading активным на серверах, а не отключать её ради безопасности, что кардинально снижает производительность.
Поэтому эти патчи от Фернандеса так важны для DigitalOcean, Oracle, Google и других крупных игроков в области серверов x86_64, которые заинтересованы в работе над различными решениями, чтобы оставить HT/SMT. В частности, отключение HT/SMT стало бы серьёзным ударом для крупных поставщиков облачных решений.
В этом году Core Scheduling добился значительного прогресса. Похоже, инженеры Google надеются, что их решение станет основным для «победы» над уязвимостями Hyper-Threading. Девятая версия, опубликованная 17 ноября 2020 года, основана на предыдущем коде и решает ранее поднятые проблемы/недостатки.
Список изменений в девятой версии Core Scheduling
В сопровождающем тексте сейчас указана «надежда, что девятая версия приемлема для слияния», если не будет поднято никаких новых вопросов.
Патчи Core Scheduling устраняют возможность атаки из пользовательского пространства в пользовательское пространство, а также атаки из пользовательского пространства в пространство ядра. Патчи не изменяют поведение планировщика ядра по умолчанию, но требуют помеченных cgroup для доверенных задач, которые могут совместно использовать ядро, когда речь заходит об оценке, можно ли поместить задачу в смежный (родственный) поток.
Вне контекста безопасности защищённый Core Scheduling может быть полезен для задач реального времени и других приложений, чувствительных к производительности, где требуется лучший контроль над использованием SMT. Джоэл написал: «Тестирование ChromeOS показывает трёхкратное уменьшение задержки при нажатии клавиш в Google Docs с помощью теста Google Hangout (максимальная задержка нажатий клавиш падает со 150 мс до 50 мс)». В зависимости от конфигурации и рабочей нагрузки по-прежнему есть вероятность, что Core Scheduling снизит общую производительность системы. Но в целом это снижение не должно быть таким сильным, как при полном отключении SMT/HT.
Основная реализация Core Scheduling в нынешнем виде составляет чуть более 4000 строк нового кода.
===========
Источник:
habr.com
===========
Похожие новости:
- [Разработка мобильных приложений, Разработка под Android, Разработка под MacOS, Разработка под Linux, Разработка под Windows] Разработка мобильных приложений на Python. Создание анимаций в Kivy. Part 2
- [Open source, *nix] FOSS News №43 – дайджест новостей и других материалов о свободном и открытом ПО за 16-22 ноября 2020 года
- [Информационная безопасность] «Одной канарейки мало»: у VPN-сервисов все чаще запрашивают пользовательские данные
- [Информационная безопасность, Криптография, Научно-популярное] Задача о ранце в криптографии (Knapsack problem in cryptography)
- [Информационная безопасность, Гаджеты, Научно-популярное, Интернет вещей] Прослушка с помощью лидаров пылесоса — новая угроза частной жизни. Делаем лазерный микрофон в домашних условиях
- [Open source, Системы управления версиями] Modern Web-UI for SVN repositories
- [Информационная безопасность, Платежные системы] Как я нашёл уязвимость в QIWI и заработал $200
- [Информационная безопасность, Разработка под iOS, Разработка мобильных приложений, Разработка под Android] Виды биометрии в мобильном приложении
- [Open source, Разработка мобильных приложений, Разработка под Android, Читальный зал] Изучение иностранных языков с помощью программ для чтения
- [Open source] Переведут ли госсофт на open source технологии — возможности для развития этого тренда в США
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_open_source, #_razrabotka_pod_linux (Разработка под Linux), #_protsessory (Процессоры), #_miran (Миран), [url=https://torrents-local.xyz/search.php?nm=%23_datatsentr_"miran"&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_datatsentr_"miran" (дата-центр "Миран")[/url], #_linux, #_jadro_linux (ядро Linux), #_core_scheduling, #_mds, #_l1tf, #_hyperthreading, #_giperpotochnost (гиперпоточность), [url=https://torrents-local.xyz/search.php?nm=%23_blog_kompanii_datatsentr_«miran»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_blog_kompanii_datatsentr_«miran» (
Блог компании Дата-центр «Миран»
)[/url], #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_open_source, #_razrabotka_pod_linux (
Разработка под Linux
), #_protsessory (
Процессоры
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:34
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Уязвимости семейства MDS Инженер Google Джоэл Фернандес (Joel Fernandes) прислал девятую версию патчей “core scheduling” для ядра Linux. Этот код позволяет одновременно запускать на одном ядре процессора только доверенные задачи — в тех случаях, когда используется Hyper Threading — для защиты системы от возможных эксплоитов. Тема защиты CPU стала популярной с тех пор, как в процессорах Intel обнаружили два новых семейства уязвимостей — MDS (Microarchitectural Data Sampling) и L1TF (L1 Terminal Fault), основанные на технологии спекулятивного исполнения команд. Виной всему — реализация Hyper-Threading (многопоточности) в чипах Intel. Если вкратце, в MDS злоумышленник может получить доступ к приватной информации даже через браузер пользователя, запустив в нем вредоносный код. Процессору даётся команда перенести важные данные в буферы, а уже оттуда их можно извлечь. Патчи Core Scheduling должны сделать технологию Hyper-Threading более безопасной, позволяя только доверенным задачам совместно использовать CPU. Это разумная защита, которая позволяет оставить Hyper-Threading активным на серверах, а не отключать её ради безопасности, что кардинально снижает производительность. Поэтому эти патчи от Фернандеса так важны для DigitalOcean, Oracle, Google и других крупных игроков в области серверов x86_64, которые заинтересованы в работе над различными решениями, чтобы оставить HT/SMT. В частности, отключение HT/SMT стало бы серьёзным ударом для крупных поставщиков облачных решений. В этом году Core Scheduling добился значительного прогресса. Похоже, инженеры Google надеются, что их решение станет основным для «победы» над уязвимостями Hyper-Threading. Девятая версия, опубликованная 17 ноября 2020 года, основана на предыдущем коде и решает ранее поднятые проблемы/недостатки.  Список изменений в девятой версии Core Scheduling В сопровождающем тексте сейчас указана «надежда, что девятая версия приемлема для слияния», если не будет поднято никаких новых вопросов. Патчи Core Scheduling устраняют возможность атаки из пользовательского пространства в пользовательское пространство, а также атаки из пользовательского пространства в пространство ядра. Патчи не изменяют поведение планировщика ядра по умолчанию, но требуют помеченных cgroup для доверенных задач, которые могут совместно использовать ядро, когда речь заходит об оценке, можно ли поместить задачу в смежный (родственный) поток. Вне контекста безопасности защищённый Core Scheduling может быть полезен для задач реального времени и других приложений, чувствительных к производительности, где требуется лучший контроль над использованием SMT. Джоэл написал: «Тестирование ChromeOS показывает трёхкратное уменьшение задержки при нажатии клавиш в Google Docs с помощью теста Google Hangout (максимальная задержка нажатий клавиш падает со 150 мс до 50 мс)». В зависимости от конфигурации и рабочей нагрузки по-прежнему есть вероятность, что Core Scheduling снизит общую производительность системы. Но в целом это снижение не должно быть таким сильным, как при полном отключении SMT/HT. Основная реализация Core Scheduling в нынешнем виде составляет чуть более 4000 строк нового кода. =========== Источник: habr.com =========== Похожие новости:
Блог компании Дата-центр «Миран» )[/url], #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_open_source, #_razrabotka_pod_linux ( Разработка под Linux ), #_protsessory ( Процессоры ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 15:34
Часовой пояс: UTC + 5