Grote Linux distro ‘ s hebben Kernsmelting patches, maar dat is slechts een deel van de oplossing

0
21

Nul

Video: Waarom microprocessor systemen’ architectuur moet gaan open-source

De Intel Kernsmelting security probleem is de pijn die blijft gewoon pijn. Toch is er ook goed nieuws. Ubuntu en Debian Linux hebben gepatcht hun uitkeringen. Het slechte nieuws? Het is duidelijker dan ooit dat de vaststelling van Meltdown veroorzaakt aanzienlijke problemen met de prestaties. Nog erger wordt het, veel oudere servers en apparaten worden uitgevoerd onzeker, unpatchable Linux-distributies.

Maar laten we eerst eens kijken naar wat er gebeurt met de prestaties met de patches. Red Hat ‘ s Meltdown/Spectre performance benchmarks gevonden met de Linux Kernsmelting patches heb de volgende problemen met de prestaties:

Meetbaar: 8 procent naar 19 procent — Zeer cache geheugen met willekeurige gebufferde I/O, OLTP database workloads en benchmarks met hoge kernel-naar-gebruiker-ruimte overgangen worden beïnvloed tussen 8 procent naar 19 procent. Voorbeelden zijn OLTP-Werkbelasting (tpc), sysbench, pgbench, userful-multiplier (< 256 byte), en fio (random I/O te NvME).Bescheiden: 3 procent naar 7 procent-Database analytics, Decision Support System (DSS), en Java vm ‘ s worden beïnvloed minder dan de “Meetbare” categorie. Deze toepassingen kunnen aanzienlijke opeenvolgende schijf of het netwerk verkeer, maar kernel/stuurprogramma ‘ s zijn in staat om de totale aanvragen tot matige niveau van de kernel-naar-gebruiker-overgangen. Voorbeelden zijn SPECjbb2005, Query ‘ s/Uur, en de algehele analyse van de timing (sec).Klein: 2 procent tot 5 procent-HPC (High Performance Computing) CPU-intensieve taken zijn van invloed op de minste, met slechts 2 procent tot 5 procent invloed op de prestaties, omdat de banen lopen meestal in de gebruiker de ruimte en zijn geplande gebruik van de cpu-pinning of numa-control. Voorbeelden zijn Linpack NxN op x86 en SPECcpu2006.Minimaal: Linux accelerator technologieën die in het algemeen bypass van de kernel in het voordeel van de gebruiker direct toegang worden het minst getroffen, met minder dan 2 procent overhead gewaardeerd. Voorbeelden getest onder DPDK (VsPERF op 64 byte) en OpenOnload (STAC-N). Gebruikersruimte toegang tot VDSO als voor-tijd-van-de-dag niet beïnvloed. We verwachten soortgelijke minimale impact voor andere ontlast.

U kunt verwachten om te zien dezelfde problemen met Windows-servers. Er is geen manier om een patch voor dit probleem, zelfs met chip microcode — met een van de huidige processoren.

True, Intel heeft uitgebracht microcode definities voor alle processors, maar we weten nog niet hoeveel dit zal het inperken van de algemene prestaties van problemen.

Google beweert van haar “Retpoline,” een binaire wijziging techniek die beschermt tegen de “branch target injectie” aanvallen, geen schade aan cloud performance. Begin van de benchmarks niet een back-up van die hoopvolle vorderingen. Net als met het Linux Kernel Pagina Tabel Isolatie (KPTI) patches, “de meeste van de Retpoline invloed op de prestaties komt het neer op het I/O-werkbelasting en die met een hoge kernel interactiviteit.”

De bottom line: Op de Linux desktop, net als bij Windows, zie je niet dat veel van een vertraging van de patches. Het is een ander verhaal met uw servers, of je bent het draaien van Linux op een zelfstandige server of op een wolk van virtuele machines (VM)s en containers. Als je een systeembeheerder bent, zult u het doen van een ton van de prestaties van applicaties te testen en in evenwicht brengen.

De prestaties van ellende, en in ieder geval kunt u uzelf beschermen tegen aanvallen na de patches. Op veel systemen, patchen is niet altijd een optie.

Sommige van deze u waarschijnlijk al weet. Veel elektronische apparaten voor consumenten gebruiken Linux, maar ze kunnen niet worden hersteld.

Als security expert Bruce Schneier schreef, Kernsmelting en Spectre “invloed op embedded computers in de apparaten van de consument. In tegenstelling tot onze computers en telefoons, deze systemen zijn ontworpen en geproduceerd bij een lagere winstmarge met minder technische expertise. Er zijn geen security teams op gesprek te schrijven patches, en er vaak niet mechanismen te duwen patches op de apparaten. We zien nu al met deze thuis-routers, digitale video recorders, en webcams. De kwetsbaarheid die het hen toegestaan om over genomen te worden door de Mirai-botnet vorig jaar augustus gewoon niet kan worden opgelost.”

Het is niet alleen Linux-powered devices voor consumenten. Linux en open-source software bevoegdheden veel firewall, DNS (Domain Name System), load balancing, internet gateways, VPN-hardware en-verificatie en versleuteling apparaten. CentOS, de Red Hat Enterprise Linux (RHEL) kloon, is de meest gebruikte distributie.

Maar, zoals Richard Morrell, CTO en zekerheid leiden van de Falanx, een cyber defense bedrijf, legt uit: “Veel (heel veel) van deze systemen zijn nog steeds platforms die begon in de ontwikkeling lab de verkoper als CentOS 4/5/6/7 ontwikkeling van de bomen. Voor de latere versies dat is fijn en elegant, kernel en de microcode-patches beschikbaar zijn door CentOS profiteren van het harde werk van Red Hat heeft om de patches uit voor een veelheid van architecturen.” Maar, veel van de oudere ‘ apparaten zijn die versies 4 en 5 en zijn al lang geleden vertrokken van het ‘standaard bouwt voort.'”

Deze zullen niet worden hersteld. Morrell vervolg [sic], “Een groot deel van onze veiligheid woonwijk is gebouwd op niet-ondersteunde, niet-patchable varianten van CentOS en andere Linux varianten. … Veel van deze apparaten einde van het leven en nog steeds in gebruik is in veel organisaties die nog niet verwijderd … omdat ze nog steeds werken en de lijm die zij nodig hebben en if it ain ‘ t broke waarom fix it.”

Goed, nu zijn ze gebroken. Sinds het patchen van hen in een niet-starter, moet u, bij een minimale, voor de bewaking van uw systemen beter dan ooit voor aanvallers.

Een wijs besluit van de bedrijven te vervangen door deze nieuwe kwetsbare versnelling. Als voor leveranciers van beveiligingsoplossingen, is het lang, lang verleden tijd dat, wanneer ze vernieuwen hun apparaten, ze doen zo volledig ondersteund en patchable Linux-distributies. Als ze niet zijn, zullen ze in een wereld van juridische pijn na de eerste Twee aanvallen komen.

Verwante verhalen

De Linux vs Kernsmelting en Spectre strijd continuesHow Linux is het omgaan met Crisis en SpectreMajor Linux redesign in het werk om te gaan met Intel lek

Verwante Onderwerpen:

Cloud

Beveiliging TV

Data Management

CXO

Datacenters

0