首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
V2EX  ›  云计算

搬运一下 intel CPU 最新进展

  •  
  •   whx20202 · 110 天前 · 5964 次点击
    这是一个创建于 110 天前的主题,其中的信息可能已经有所发展或是发生改变。
    英文不好,看的文档百分之 30 是英文,另外是从知乎和自由软件基金会的成员那里看的
    不太懂内核和二进制相关内容,如果有懂得可以写个更详细的 我也学学

    大概就是 3 个 variant,前两个是 spectre,大概是说进程间可以访问内存,造成的影响是穿透 java 沙箱等,但是用户态不能访问内核内存。intel,amd,arm 中招

    variant 3 是 meltdown,这个问题是 LXC openvz docker (没提到 kvm xen,不知道咋回事),说是可以虚拟机里面访问宿主机的,这个就 emmmmmm
    amd 没中招

    有趣的是,intel 发布公告时候把两个混为一谈,然后说 amd 也中招

    amd 则把三个 variant 列出来,一个个说影响:
    variant1:os software 给 patch
    varaint2: “ a near zero risk of exploitation of this variant"
    variant3: ” Zero AMD vulnerability due to AMD architecture differences.“
    第 1 条附言  ·  110 天前
    40 回复  |  直到 2018-02-01 18:35:56 +08:00
        1
    whx20202   110 天前
    按摩店公告:
    https://www.amd.com/en/corporate/speculative-execution

    知乎讨论(尽量看中午以后的):
    https://www.zhihu.com/question/265012502

    关于性能,有说 5% - 30%的,有说实测 postgresql 下降 20%
    知乎 @楼宇
    性能问题是 os 解决 meltdown 问题,而把内核态和用户态的页表分开(底层不太懂),从而造成性能影响,其中 IO 是重灾区
    不清楚 windows 补丁会不会给 AMD 的电脑也推送过去
    另外也有说 4 开头的酷睿支持 PCID,性能不会下降太厉害
        2
    Colis   110 天前
    那我选择不升级
        3
    whx20202   110 天前   ♥ 1
    前两天的预测果然是真的,如果仅仅是破了 ASLR 的话,根本不值得大张旗鼓
    当时网友发现活跃者都是 google aws,推测云计算厂商发力推送,潜在问题可能是虚拟机威胁了宿主机
    现在文章一出来 果然是这样的
        4
    justfly   110 天前
    这是我觉得最清晰问题概述了。 感谢楼主
        5
    QAPTEAWH   110 天前
    看了下对普通用户影响不大?前两个本机不执行恶意程序就行,第三个么,不要尝试在虚拟机里执行恶意程序?

    当然不排除国内大厂产品用这个漏洞黑用户的可能。
        6
    whx20202   110 天前
    @QAPTEAWH 虚拟机能读到物理机内存,不清楚有没有可能读到邻居的内存
    但是不管哪个都是比较恶心的,计算节点上很多东西都比较敏感
        7
    evagreenworking   110 天前
    @QAPTEAWH spectre 有 js 就可能执行 各个 os 目前需要对浏览器组件打补丁 chrome 目前的做法是 enable strict site isolation 对性能会有影响
    apple 的 webkit 需要 apple 自己来处理 坚守 10.3.3 是不可能了 iOS 11 大胜利 /滑稽
        8
    kiari   110 天前
    对于路由器而言。。。也是个系统,,要打补丁吗?
        9
    Zzzzzzzzz   110 天前
    @kiari 路由大部分是 MIPS 吧...
        10
    kiari   110 天前   ♥ 1
    @Zzzzzzzzz 不也又 X86 的和 ARM 的吗?
        11
    Mirage09   110 天前 via iPhone
    这次的漏洞也太底层了...
        12
    Jreen   110 天前 via iPhone
    路由器……我的路由器就是 ARM 的……
        13
    FreeBSD   110 天前
    有没有可能拿来 root、越狱啊? ARM 也受影响。
        14
    ionblue   110 天前   ♥ 3
    spectre 是由于乱序执行所带来的结果,严格来说是乱序执行导致的 feature 而非 bug,这个问题只要你用了乱序执行就必然会出现,没有方法彻底解决也不需要特意去解决。
    meltdown 才是这次爆出的问题,因为硬件上的设计问题,内存的控制已经可以跨 OS 层和应用层了,如果后面放出细则的话,那些不更新的电脑会全部中招。现在是让系统来干本来是硬件该干的活,对于部分性能的损耗是极大的。
    从 linus 在邮件列表里面的喷 Intel 的话来看,Intel 似乎并不会在接下来的 CPU 里面更改这个问题—— Intel 想拉全世界下水,这样它的相对性能就没有变化。

    至于在 Windows 上的性能损失,从刚才拿到的数据来看,即使是采用了 PCID 的 6 代 CPU 也会下降 10%。如果是虚拟化服务器的话,性能下降将达到 20%,IO 下降不低于 25%。但是现在能拿到的数据还是太少了,等这波 Windows 的更新推完,再来统计影响到底如何。

    至于 KB4056892 的那个更新,前期询问微软的结果是可以手动停用。具体如何,我们还在测试,对比用的机子分别是 i7 6700 和 R5 1600。

    如果硬件出的问题难以解决,该怎么办?
    1. 拉同行下水
    2. 不影响用户体验

    最后,我知道骂人不好,但是还是想说一句,f-u-c-k you intel!
        15
    whx20202   110 天前
    @ionblue 问一下哈,微软推了补丁,我机器的 CPU 如果是 AMD 的,性能是不是也会下降?
    我的意思是 微软会发现我的机器是 AMD 的,然后不给我打这个补丁吗?
        16
    mooncakejs   110 天前
    影响最大的是 io 型应用,比如数据库。那最好选择不升级,反正数据库也不暴露给外网。
        17
    chengzhoukun   110 天前
    完了,五年前的 IVY 笔记本要大掉速了
        18
    wsy2220   110 天前
    个人系统还好,被坑的是云服务提供商
        19
    Jreen   110 天前 via iPhone
    @ionblue #14 我安装补丁之后,性能下降 10%~11%左右,现在的情况我看就是拉同行下水……
        20
    glchaos   110 天前
    怎么感觉是故意留的后门呢,有点阴谋论了
        21
    aalska   110 天前
    @whx20202 理论上会推送
    因为事实上 AMD 也具有其中一个 BUG,虽然影响甚微,性能损耗远不足 I 的那个程度
        22
    daryl   110 天前 via iPhone
    所以 dalao 们绞尽脑汁压榨性能,结果一个漏洞回到解放前…… 2333
        23
    ferrati   110 天前   ♥ 1
    如果阿里云、AWS 这样的云服务商已经对底层进行了升级,那么用户的虚拟机是否还用打补丁吗?
        24
    xratzh   110 天前
    给大佬虚拟机逃逸新姿势(
        25
    DearMark   110 天前
    AMD:人在家中坐,饼从天上来,翻身了。处理器性能领先 5%到 30%,直接。
        27
    ionblue   110 天前   ♥ 16
    @whx20202
    @Jreen
    我这边的测试结果出来了,通过 Windows 自带的更新安装补丁后,AMD R5 1600 的性能没有出现下降。

    在实体机中 intel 的平均性能下降 10%,性能越强的下降的量越多,有个 core m 的板子根本没有下降,估计是和测试时的 CPU 调度有关。虚拟机中,结果的方差很大,没有统一的结论,但是按照现在的来看,性能下降的幅度大概是略高于 Windows 10/2016,io 惨不忍睹,说不上固态变 U 盘,但是差不多腰斩。
        28
    whx20202   110 天前
    @ionblue 6666 非常感谢
    赞一下实践党
        29
    Flygoat   110 天前 via iPhone
    @Zzzzzzzzz mips linux 内核 page table 和用户态本来就是分离的,所以 meltdown 不受影响。
        30
    raysonx   110 天前 via iPad   ♥ 1
    亲自测试 I7-5600U 完整编译 kubernetes 的性能下降了 23.4%。
        31
    hGaHLRyC   110 天前
    这么看国产 U 太重要了 这后门一开数据等于是没有保护啊
        32
    lgsr   110 天前
    好了,挤过的牙膏又可以再挤一遍
        33
    itplanes01   110 天前 via Android
    电脑自从加装固态就没见卡过,昨天装了 win10 的补丁,再次开机后卡到怀疑人生,就开一个 chrome 和 atom,打开设置时直接卡死 10 秒左右。
        34
    msccllvex   110 天前
    @ionblue 这数据真没问题么?你的小数点是不是放错位置了吧
        35
    ionblue   110 天前 via Android
    @msccllvex excel 自动补的,直接略过就好了。
        36
    no1xsyzy   109 天前
    @glchaos 阴谋论早就过了, /t/404068 Ring -3 嵌 MINIX 才是真的不知道有什么好处
    这次估计是优化导致 bug
        37
    shihira   109 天前 via Android
    看样子 x86/pti 会混到 4.15 大版本更新时才发布,在用 stable 的暂时还打不上这个补丁。多了一个启动选项 pti ( page table isolation ),设成 pti=off 就可以免于性能下降(逃。

    https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5aa90a84589282b87666f92b6c3c917c8080a9bf
        38
    acess   107 天前
    不知道我的理解是否有错:
    Meltdown 危害最大,只影响 Intel,可以通过操作系统补丁修复,对 IO 性能影响最大(可能是因为补丁拖慢了所有系统调用?)
    还有穿虚拟机问题,HVM 虚拟机穿不了,只能穿透 PV 和 Container。
    Spectre 危害不大,影响覆盖 Intel、AMD、ARM,需要系统和各个应用分别想办法修复。
        39
    whx20202   107 天前
    @acess 除了最后一句,全对。
    最后一句存疑的原因是,云计算厂商视角,CVE 那个 5 结尾的最严重(对应 Spectre 可能是 variant 2 ),因为可以穿透虚拟化,所以 KVM 也会中招
        40
    testcaoy7   82 天前
    我只知道这个 BUG 基本上是修不好了……
    除非买新的处理器
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   2600 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.0 · 17ms · UTC 04:27 · PVG 12:27 · LAX 21:27 · JFK 00:27
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1