Linuxシステム上のSpectreの脆弱性を修正するためのIntelパッチをインストールしないでください。
Intelは月曜日に、Linus Torvaldsが「まったくのゴミ」とコメントしたSpectre( CVE-2017-5715 )のパッチの現在のバージョンのインストールを停止すべきだと警告しました。
スペクター(CVE-2017-5753アレイの境界バイパスのチェック、ターゲットブランチCVE-2017-5715の挿入 )およびメルトダウン(CVE-2017-5754-メモリページへの「融解」アクセス、KPTIパッチで処理)は研究者によって発見された脆弱性です今月初めに、最新のPC、サーバー、スマートフォンで使用される多くのIntel、ARM、AMDプロセッサで使用されました。 攻撃者がパスワード、暗号化キー、その他の個人情報を盗むことができます。
先週以来、ユーザーは、Intelがリリースしたセキュリティ更新プログラムパッケージをインストールした後、以前はなかった問題に遭遇したことを報告し始めました。 たとえば、自発的な再起動やその他の「予測不可能な」システム動作。
これらの問題を認識して、IntelはOEM、 クラウドサービスプロバイダー 、システムメーカー、ソフトウェアベンダー、エンドユーザーに、巨大なチップが「それに対処するソリューション」を開発するまで、最新バージョンの更新プログラムのインストールを停止することを推奨しました。
「現在、ブロードウェルとハスウェルのプラットフォームの問題の根本原因を特定し、ソリューションの開発に大きな進歩を遂げました」とインテルのプレスリリースは月曜日に述べました。
「先週末、更新されたパッチの初期バージョンのテストを業界パートナーと開始しました。 テストが完了次第、最終バージョンを公開します。」一方、Linus Torvaldsは公開の電子メールで、SpectreおよびMeltdownの脆弱性からLinuxカーネルを保護するIntelのアプローチに不満があると感情的に述べています。
「彼らは狂ったことをします。 彼らは意味をなさない何かをしている...これらのガベージパッチが無意味に送信されることを本当に望んでいない...私たちはこのガベージよりも良いものが必要だと思う」 -トーバルズは言った。Intelのパッチを使用するには、コンピューターの起動時にユーザーが手動で修正を有効または無効にする必要がありますが、この重要な脆弱性に対するセキュリティ修正は自動的に適用する必要があります。
これは、IntelがCPUマイクロコード用に提供する3つの新しいハードウェアパッチの1つである間接分岐制限投機(IBRS)が非常に効率が悪いため、パフォーマンスに深刻な影響を与える可能性があるためです。 つまり、テストでのパフォーマンスの低下を防ぐために、Intelはユーザーにパフォーマンスとセキュリティの選択肢を提供します。
私にとってのIBRS_ALL機能全体(Linus Torvalds)は非常にはっきりと述べています。「Intelはこれについて真剣ではありません。ベンチマークで。」その他の修正として、メルトダウンおよび間接分岐予測バリア(IBPB)に対するページテーブル分離(pti)、およびスペクター(CVE-2017-5715)に対するIBRSがあります。
Linus TorvaldsのIntelエンジニアの思考の呼びかけの全文は、 ここにあります 。
Red Hat、 VMware 、Lenovo、およびその他のベンダーは、ユーザーの苦情によりパッチを取り消すことにしました。 新しいIntelパッチがまもなく利用可能になります。 このニュースはリリース後に更新されます。
先ほどHabréで、Specter-Meltdownのパッチ適用後のシステムの速度がどれほど遅くなるかを書きました。
Intelからの更新前に、Googleの専門家がSpecter攻撃から保護するために作成したオーバーヘッドの少ないretpolineソフトウェアデザインをリリースしたことは注目に値します。
Retpolineの詳細
Intelが公開したサーバーパフォーマンステスト結果
以前は、クライアントシステムのパフォーマンスデータが提供されていましたが、1月17日にデータセンター側のセキュリティアップデートを備えたシステムを使用した結果がありました。 これらの結果は業界標準に準拠しており、有用ですが、最終的に顧客にとってより重要なのは自分のワークロードです。 これまでに、最新のサーバーマイクロアーキテクチャを備えたIntel Xeonスケーラブル(Skylake)システムを備えたサーバープラットフォームがテストされました。
予想どおり、テスト結果はパフォーマンスへの異なる影響を示していますが、これは特定のワークロードと構成によって異なります。 より多くのユーザー/カーネル特権の変更が含まれる負荷のあるシステムでは、パフォーマンスが大幅に低下します。
ベンチマーク結果