Для специалистов по информационной безопасности новый год начался с плохих новостей: в первых числах января 2018 года весь мир узнал о глобальных уязвимостях Meltdown и Spectre, которым подвержены практически все современные и не слишком процессоры и, следовательно, устройства.
Как показала практика, сами уязвимости – это еще не самое страшное, потому как вскоре оказалось, что исправить их крайне трудно, а патчи зачастую несовместимы с антивирусными решениями, вызывают отказ в работе некоторых систем, провоцируют BSOD и частые перезагрузки, а также снижают производительность.
Хотя прошло уже три недели, известия о все новых проблемах и попытках борьбы с ними продолжают поступать, а против IT-гигантов подают все больше коллективных судебных исков. Мы собрали небольшой дайджест последних событий, связанных с борьбой против Meltdown и Spectre.
Red Hat и другие отзывают патчи
Инженеры компании Red Hat сообщили, что из-за многочисленных жалоб клиентов они отзывают исправления (microcode_ctl и linux-firmware), призванные бороться с проблемой Spectre (Variant 2, CVE-2017-5715).
«Red Hat более не предоставляет микрокод, адресованный проблеме Spectre, Variant 2, в силу нестабильности, из-за которой клиентские системы перестают загружаться», — сообщила компания.
Компания рекомендовала пользователям связываться с производителями оборудования и выяснять у них, каким образом нужно патчить CVE-2017-5715 в каждом конкретном случае. Так как решение Red Hat об откате патчей скажется на пользователях Red Hat Enterprise Linux и других RHEL-дистрибутивов (CentOS, Scientific Linux), им тоже рекомендовано обращаться за устранением Variant 2 к производителям оборудования.
Напомню, что суммарно в «набор» Meltdown и Spectre входят три CVE: Meltdown (CVE-2017-5754) а также Spectre (Variant 1 - CVE-2017-5753 и Variant 2 - CVE-2017-5715). Если Meltdown и Spectre, Variant 1, в теории можно исправить на уровне ОС, то полное исправление Variant 2 требует также обновления прошивки/BIOS/микрокода, из-за чего и возникают проблемы.
Разработчики Red Hat были не единственными, кто принял такое решение. Аналогичным образом поступили VMware, Lenovo и другие вендоры. Инженеры Intel пообещали разобраться в проблеме и поправить микрокод.
Intel рассказала, как патчи влияют на дата-центры
Ранее мы уже писали о том, что установка «заплаток» против Meltdown и Spectre влияет на производительность. Однако тогда речь в основном шла о простых пользователях, в то время как патчи куда серьезнее влияют на работу крупных компаний и дата-центров. К примеру, компании Epic Games и Branch Metrics жаловались, что патчи для Meltdown и Spectre вызвали серьезные проблемы в их работе. Так, график ниже показывает, как после установки обновлений нагрузка на один из серверов популярного сетевого шутера Fortnite возросла с 20 до 60%.
Если ранее компания Intel уже показывала результаты бенчмарк-тестов и объясняла, как сильно патчи скажутся на домашних пользователях, теперь аналогичные прогнозы были опубликованы и для дата-центров. Как и предполагалось ранее, возможная потеря производительности сильно зависит от конфигурации конкретной системы и тех задач, которые та выполняет. Результаты проведенных тестов можно увидеть в таблице ниже.
75% компьютеров работают без патчей для Meltdown и Spectre
Хотя представители Intel уверяют, что уже подготовили исправления для 90% процессоров, выпущенных за последние пять лет, эти патчи еще должны добраться до конечных пользователей. К сожалению, по данным компании Barkly, ситуация с установкой исправлений обстоит не лучшим образом.
Согласно небольшому опросу, проведенному Barkly, в настоящее время менее 26% систем получили обновления против уязвимостей Meltdown и Spectre, и лишь 4% опрошенных сообщили, что установили патчи на все свои машины.
46% опрошенных организаций признались, что даже не знали о том, что исправления могут быть несовместимы с антивирусными решениями и перед их установкой проверяется наличие специального ключа в реестре. Еще 64% не сумели разобраться, совместим ли их антивирус с обновлениями.
Хуже того, 80% опрошенных компаний заявили, что процесс обновления пока слишком сложен, порядок установки патчей непонятен, и именно этим они объяснили отсутствие патчей в своих системах.
Новые проблемы на архитектурах Ivy Bridge, Sandy Bridge, Skylake и Kaby Lake
Ранее компания Intel уже признала, что исправления для Meltdown и Spectre вызывают частые перезагрузки систем, работающих на базе процессоров с микроархитектурами Broadwell и Haswell. Причем проблема коснулась как рядовых пользователей, так и серверов в дата-центрах. Похожие проблемы также наблюдались с процессами компании AMD (AMD Opteron, Athlon, AMD Turion X2 Ultra), из-за чего компания Microsoft была вынуждена приостановить распространение патчей для таких машин.
Минувшая неделя принесла как хорошие, так и плохие новости. Так, разработчики Microsoft разобрались с проблемами, вызывавшими сбои в работе систем на базе AMD. Новые обновления должны устранить наблюдавшиеся ранее проблемы. Также были представлены билды Windows 10 1506.877 и 14393.2034, для Creators Update (1703) и Anniversary Update (1607), соответственно.
Для владельцев процессоров Intel новости более удручающие. Представители компании признали, что обновленный микрокод вызывает проблемы не только у систем, построенных на базе процессоров с архитектурами Broadwell и Haswell. Оказалось, что сбои после обновления могут проявляться и в системах, работающих с процессорами Xeon, Ivy Bridge, Sandy Bridge, Skylake и Kaby Lake. В итоге установка обновлений в большинстве случаев превращается в лотерею.
Вчера, 22 января 2018 года, представители Intel фактически приостановили распространение этих исправлений, призвав пользователей и производителей дождаться нормально работающих версий микрокодов. Согласно официальному заявлению, инженеры компании уже определили, что именно вызывало сбои и частые перезагрузки на платформах Broadwell и Haswell, и сейчас ведется активная разработка и тестирование новых патчей.
Линус Торвальдс критикует Intel
В эти недели критику в адрес Intel и других производителей можно услышать практически отовсюду, и в стороне не остаются даже такие влиятельные люди, как Линус Торвальдс. 22 января 2018 года Торвальдс обрушился на разработчиков Intel с острой критикой, поводом для которой послужили многострадальные патчи, призванные устранять уязвимость Spectre, Variant 2.
Дело в том, что инженеры Intel предложили для ядра свой вариант исправления CVE-2017-5715, вместо патчей retpoline. В рассылке Linux Kernel Торвальдс не стал выбирать выражения и назвал предложенные Intel решения «полным и абсолютным мусором» (complete and utter garbage) и «мерзким хаком» (nasty hack).
«Они [патчи] делают безумные вещи. Они делают бессмысленные вещи. Из-за них все ваши аргументы выглядят подозрительно и вызывают вопросы. Эти патчи делают вещи за гранью здравого смысла. Какого х** вообще происходит?, — пишет Торвальдс. — Все это полнейший мусор. Intel правда планирует сделать это дерьмо архитектурным? Кто-нибудь пытался поговорить с ними и объяснить, что они спятили на***? Пожалуйста, если здесь есть инженеры Intel, поговорите со своими менеджерами».
Негодование Торвальдса связано с предложенными разработчиками Intel решениями: IBRS (Indirect Branch Restricted Speculation), STIBP (Single Thread Indirect Branch Predictors) и IBPB (Indirect Branch Predictor Barrier). По мнению Торвальдса, никто в здравом уме не станет использовать IBRS и режим IBRS_ALL, так как данная, в частности, крайне неэффективна и приводит к значительному падению производительности.
dimas9009
23.01.2018 в 14:59
Вообще это выглядит странным на фоне того что Intel достаточно давно об этом узнала (ну по крайне мере конспирологи так утверждают). Как минимум за пол года до публичного объявления. И всё это время они не смогли разработать не глючный патч? Пускай тормозящий, но хотя бы не глючный. А тут за две недели в попыхах всё переделывают? очень странно
fabien
23.01.2018 в 15:06
>очень странно
Из того, что я читал про интеловские уязвимости, у меня сложилось мнение, что интел вообще над ошибками работать не любит.
>Какого х** вообще происходит?, — пишет Торвальдс.
>объяснить, что они спятили на***?
LOL Это Маша сама переводила? 😀
Anon
23.01.2018 в 20:45
> 2012 год
…So, NVIDIA, fuck you!
> 2018
…So, Intel, fuck you!
Владиславище
23.01.2018 в 23:23
У Intel и AMD огромные возможности (ресурсы: аппаратура, специалисты, деньги), но ресурсы заняты на разработках новых аппаратных платформ и как в любом бизнесе отвлечение части ресурсов на исправление своих-же Багов, означает более медленное развитие и возможность дать аппоненту вырваться вперёд. Скорее всего это и является главной причиной кривых фиксов…
istepan
24.01.2018 в 07:43
Да, но вот репутационные потери более значительны. На долгосрочной перспективе это скажется еще большими финансовыми потерями.
suhorez
24.01.2018 в 00:56
По ходу дела процесс разработки, а точнее обогащения несется с такой скоростью, что на такие вещи становится просто насра…
Все работает по принципу, сейчас надо урвать, а после меня хоть
потоп. Не зря же глава Intel все акции продал. Знал он, что технологические процессы быстро не перестроить, а патчи микрокода
это костыли(проблема железячная а не софтовая) Это равносильно двигателю с задирами в поршневой, поменять карбюратор на инжектор(он от этого не поедет, хоть шамана позови из соседней деревни) Быстро эту проблему не решить. Я более чем уверен пройдет еще полгода-год, адекватного решения не будет(не на всех платформах) Нужно полностью критически пересмотреть всю архитектуру процессора и вносить изменения на физическом уровне,
а это другие сроки и другие деньги и возможно уже другие лица.
Сейчас сделать что то быстро ни чего не получиться. Что мы и наблюдаем. Остается только как Торвальдс кричать вы что там все
оху***(да шли бы вы со своим микрокодом на х**)
istepan
24.01.2018 в 07:44
У АМД есть шанс оторвать значительный кусок рынка у Интел.
Themistocles
26.01.2018 в 00:14
очень удачно совпало. рязань стрельнула и уязвимости подвержены в меньшей степени.
john_
24.01.2018 в 10:53
Какая хайровая статья. Давно столько комментов не видел)))
Lmar
24.01.2018 в 21:46
Просто раньше у иртела не было столько тестеров
kipish
26.01.2018 в 13:07
ничего не устанавливай, пока не протестируют этот аттракцион 🙂
jura12
28.01.2018 в 09:19
Pentium n3700 как сильно будет тормозить? У меня сервак на нем.
comcom
06.02.2018 в 03:49
Похоже, что скорость старых процессоров превосходит скорость новых. Вот Интел и организовала понижение их производительности. И Майкрософт помогает.