Инженеры VMware протестировали патч для ядра Linux, который борется с side-channel проблемой Retbleed. Исследователи пришли к неутешительному выводу, что это исправление может влиять на производительность, снижая ее сразу на 70%.
Retbleed был обнаружен и описан экспертами из Швейцарской высшей технической школы Цюриха (ETH Zurich) минувшим летом. Тогда сообщалось, что ошибка затрагивает процессоры Intel, выпущенные от 3 до 6 лет назад, а также процессоры AMD возрастом от 1 до 11 лет. Специалисты сразу предупреждали, что устранение бага может негативно отразится на производительности.
Напомню, что Retbleed состоит из двух уязвимостей (CVE-2022-29900 для AMD и CVE-2022-29901 для Intel) и относится к классу спекулятивных атак Spectre-BTI (вариант 2). Название Retbleed отсылает к защитному решению Retpoline, которое было разработано специалистами Google в 2018 году для борьбы с «процессорными» уязвимостями Meltdown и Spectre. Именно в работе защиты Retpoline и были найдены свежие проблемы.
Как теперь сообщают инженеры VMware в рассылке Linux Kernel, патчи для Retbleed действительно вызывают заметную регрессию производительности в ядре Linux 5.19. Внутренние тесты, проведенные компанией, показали, что запуск виртуальных машин на Linux с гипервизором ESXi и использованием ядра Linux версии 5.19 приводит к падению производительности до 70% при использовании одного vCPU, падению сетевой производительности на 30% и производительности хранилища до 13%.
Если же тестировщики VMware отключали патчи для Retbleed в ядре версии 5.19, производительность ESXi возвращалась к нормальным уровням, как в версии 5.18. Тесты проводились на процессорах Intel Skylake, выпущенных в период с 2015 по 2017 год.
Так как спекулятивные вычисления в целом были созданы для ускорения обработки данных, неудивительно, что их отключение сказывается на производительности весьма негативно. Однако 70% падения производительности попросту недопустимы для многих бизнес-процессов и являются большой проблемой.
Фактически, если патчи не буду улучшены и пересмотрены, перед пользователями встает однозначный выбор: использовать ядро 5.19 и при этом терять производительность, или оставаться на предыдущей версии и принимать на себя возможные риски, уповая на то, что проблему Retbleed не так уж легко эксплуатировать.
«Мы считаем, что эти выводы будут полезны сообществу Linux, и хотели задокументировать их», — вежливо резюмируют представители VMware.
