Stora Linux-distributioner har Härdsmälta fläckar, men det är bara en del av fix

0
28

Noll

Video: Varför mikroprocessor systems arkitektur måste gå öppen källkod

Intel Härdsmälta säkerhet problemet är den smärta som bara fortsätter att göra ont. Fortfarande, det finns några goda nyheter. Ubuntu och Debian Linux har lappade sina distributioner. De dåliga nyheterna? Det blir tydligare än någonsin att fastställa Härdsmälta orsakar betydande problem med prestanda. Värst är det många äldre servrar och apparater är igång osäkra, unpatchable Linux-distributioner.

Men först, låt oss titta på vad som händer prestanda med patchar. Red Hat: s Härdsmälta/Spectre riktmärken för prestanda finns med Linux Härdsmälta fläckar har följande prestanda:

Mätbara: 8 procent till 19 procent-Mycket cachade random minne med buffrat I/O, OLTP databas arbetsbelastning, och riktmärken med hög kärna-att-user space övergångar påverkas mellan 8 procent till 19 procent. Exempel OLTP Arbetsbelastning (tpc), sysbench, pgbench, netperf (< 256 byte), och fio (random i/O för att NvME).Blygsam: 3 procent till 7 procent-Databas analytics, decision Support System (DSS) och Java VMs påverkas mindre än den “Mätbara” kategori. Dessa program kan ha betydande sekventiell disk eller nätverkstrafik, men kernel/drivrutiner finns möjlighet att aggregera förfrågningar till måttlig nivå av kernel-till-användare övergångar. Exempel SPECjbb2005, Frågor/Timme, och övergripande analytiska timing (sek).Liten: 2 procent till 5 procent — HPC (High Performance Computing) CPU-intensiva arbetsbelastning påverkas minst, med endast 2 procent till 5 procent påverkan på prestanda, eftersom jobb körs mestadels i user space och beräknas med hjälp av cpu-nålning eller numa-kontroll. Exempel Linpack NxN på x86 och SPECcpu2006.Minimal: Linux accelerator teknik som i allmänhet bypass kärnan i förmån för användaren direkt tillgång är de minst drabbade, med mindre än 2 procent overhead mätt. Exempel testas är DPDK (VsPERF på 64 byte) och OpenOnload (STAC-N). Användarrumsbibliotek åtkomst till VDSO som get-tid-av-dagen är inte negativt. Vi förväntar oss att liknande minimal påverkan för andra avlastar.

Du kan förvänta dig att se liknande problem med Windows-servrar. Det finns inget sätt att lappa denna prestanda problem-även med chip mikrokod — med någon av dagens processorer.

Sant, Intel har släppt mikrokod definitioner för alla processorer, men vi vet ännu inte hur mycket detta kommer att minska den totala prestanda problem.

Google hävdar sin “Retpoline,” en binär ändring teknik som skyddar mot “branch target stick” – attacker, inte skada moln prestanda. Tidigt riktmärken inte backa upp de hoppfulla påståenden. Precis som med Linux-Kärnan Sidan Bordet Isolering (KPTI) patchar, “de flesta av Retpoline påverkan på prestanda kommer ner till I/O arbetsbelastning och för dem med hög kärnan interaktivitet.”

The bottom line: Om Linux på skrivbordet, precis som på Windows, du kommer inte se så mycket av en nedgång från fläckar. Det är en annan historia med dina servrar-oavsett om du kör Linux på en fristående server eller på ett moln virtuella maskiner (VM)s och behållare. Om du är en systemadministratör, du kommer att göra massor av programmets prestanda testning och ombalansering.

Prestanda elände och alla, åtminstone du kan skydda dig från attacker efter plåster. På alltför många system, patchning är inte ett alternativ.

En del av detta har du förmodligen redan vet. Många konsumenternas elektroniska enheter använder Linux, men de kan inte lagas.

Som säkerhet expert Bruce Schneier skrev, Härdsmälta och Spectre “påverka inbäddade datorer i konsumentelektronik. Till skillnad från vår dator och telefoner, dessa system är utformade och tillverkade på en lägre vinstmarginal med mindre tekniska kompetens. Det är inte säkerhet team på plats för att skriva lappar, och det ofta inte finns mekanismer för att driva fläckar på enheterna. Vi ser redan detta med hem routrar, digitala videokameror och webbkameror. Den sårbarhet som gjorde det möjligt för dem att tas över av den Mirai botnet i augusti förra året helt enkelt inte kan fastställas.”

Det är inte bara Linux-drivna konsumentelektronik. Linux och öppen källkod befogenheter många brandvägg, Domain Name System (DNS), lastbalansering, internet gateways, VPN-hårdvara, och autentisering och kryptering apparater. CentOS, Red Hat Enterprise Linux (RHEL) klon, är den oftast används för distribution.

Men, som Richard Morrell, CTO och säkerhet leda av Falanx, en cyber försvar företaget, påpekar: “Många (en del) av dessa enheter är fortfarande körs på plattformar som började i utvecklingen lab på säljaren som CentOS 4/5/6/7 utveckling träd. För senare versioner som är bra och dandy, kärna och mikrokod patchar finns tillgängliga på grund av CentOS kommer i åtnjutande av hårt arbete Red Hat gjorde för att få ut patchar för många arkitekturer.” Men, många av de äldre enheterna kör version 4 och 5 och har sedan länge avstod från att vara ” standard bygger.'”

Dessa kommer inte att lagas. Morrell fortsatt [sic], “En stor del av vår säkerhet estate är byggd på icke-stöd, icke-patchable varianter av CentOS och andra Linux-varianter. … Många av dessa enheter är slutet av livet och som fortfarande är i bruk, i många organisationer, som inte tagit bort dem … eftersom de fortfarande fungerar och är limmet som de kräver, och om det inte är trasigt, varför laga det.”

Tja, nu är de trasiga. Eftersom lapp dem i en icke-starter, du behöver, till ett minimum, för att övervaka ditt system mer än någonsin för angripare.

Ett klokare beslut för företagen kommer att vara att ersätta detta nyligen utsatta redskap. När det gäller säkerhet leverantörer, det är lång, lång tid att, när de uppdaterar sina apparater, de gör så för att fullt stöd och patchable Linux-distributioner. Om de inte gör det, kommer de att vara i en värld av juridiska smärta efter första Härdsmälta attacker förverkligas.

Släkt historier

Linux vs Härdsmälta och Spectre slaget continuesHow Linux har att göra med Härdsmälta och SpectreMajor Linux redesign i arbeten att ta itu med Intel säkerhetsbrist

Relaterade Ämnen:

Cloud

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0