Kernel geheugen lekt op intel cpu's, is dit het einde van intel?

[ubremoved_2964]

MAC / windows / linux affected indien intel CPU

https://it.slashdot.org/story/18/01/02/ ... s-redesign
https://www.theregister.co.uk/2018/01/0 ... sign_flaw/

AMD is niet affected
https://lkml.org/lkml/2017/12/27/2

voor intel is er een linux workaround door beide memory spaces volledig te scheiden, maar met een 5 a 30% performance hit
dit lijkt wel voer voor een class action tegen intel

als je ziet dat ze tegen apple een zaak hebben aangespannen voor het vertragen van oudere iphones met een versleten batterij om de batterijduur artificieel te verlengen, dan zou het mij niet verbazen

de implicaties in grote intel deployments zijn gigantisch

[Fireblade]

Afwachten wat MS gaat doen, hoe zij KPTI gaan aanpakken. Hopelijk doen ze W10 Home niet aan, en zo wel, dat ze dan maar 's goed geoptimaliseerde code schrijven ('t zou ook één van de zeldzame keren zijn dat dat zou gebeuren).

29% performance verlies op m'n i7-6700 (bron https://hothardware.com/news/intel-cpu- ... dows-macos), dat kan ik me van tijd tot tijd moeilijk veroorloven..

[ubremoved_983]

On a related note: https://www.fool.com/investing/2017/12/ ... stock.aspx

[Fireblade]

He knows it. He effing knows it.

[ubremoved_2964]

On a related note: https://www.fool.com/investing/2017/12/ ... stock.aspx

insider trading

[tb0ne]

Dat maakt Ryzen nog wat aantrekkelijker...

[ubremoved_2964]

Blijkbaar is het intel probleem het topje van de ijsberg:

ASLR on the Line: Practical Cache Attacks on the MMU

http://www.cs.vu.nl/~giuffrida/papers/anc-ndss-2017.pdf

[mailracer]

Ik verwacht serieus marktverlies voor Intel nu. Ik ben benieuwd hoe ze zich hieruit gaan helpen. Praktische elke CPU heeft er last van. Wel raar dar het nu pas naar boven komt en AMD er blijkbaar al een beveiliging voor heeft ingebakken. En dat in het begin van een nieuw jaar. Lijkt wel opgezet spel.

[ubremoved_539]

Ik ben benieuwd hoe ze zich hieruit gaan helpen.

Een recall zoals de Pentium bug destijds ?

Maar als dit onderdeel is van hun design moet men dat wel eerst fixen.

AMD er blijkbaar al een beveiliging voor heeft ingebakken

AMD heeft er geen beveiliging voor ingebakken... ze gebruiken het concept gewoon niet in hun design.

[Tomby]

Wel raar dar het nu pas naar boven komt en AMD er blijkbaar al een beveiliging voor heeft ingebakken.

Voor zover ik het begrijp, heeft het niets met betere beveiliging van AMD te maken, maar met een design flaw in een Intel feature ('speculatieve geheugenreferenties') dat AMD niet heeft : https://tweakers.net/nieuws/133451/patc ... nlijk.html . Dus het eerder dat AMD een risicovol feature niet ingebakken heeft, en dat dus een goede beslissing bleek.

Een recall zoals de Pentium bug destijds ?

De vulnerability zou er al verschillende generaties zijn, dus de impact is veel groter dan met die Pentium bug destijds. Een full recall lijkt me compleet onmogelijk.

[Sasuke]

ik ben benieuwd hoe ze zich hieruit gaan helpen

Een bon/code die je kan claimen die je recht geeft op een korting gelijk aan 30% van de waarde van je huidige Intel CPU. Uiteraard enkel geldig bij je volgende Intel aankoop.

Dit zou perfect legaal zijn, geen extreem groot marktverlies betekenen (toch niet direct) en financieel doenbaar te zijn door de volgende generaties (nog) duurder te maken. Hoe je het ook draait of keert, de consument is zwaar gepakt hiermee. In hoeverre dat ik mij daar nu persoonlijk druk om maak is iets anders, ik durf gerust te stellen dat het performance verlies voor het gros van de consumenten in de praktijk niet zichtbaar gaat zijn (buiten dan als je een benchmark gaat draaien natuurlijk)

Ik maak me wel zorgen over datacenters en virtualisatie performance op hosts met vsphere, xen of kvm bvb ... ik denk dat dat voor bedrijven en providers een serieuze opdoffer gaat zijn. Ik durf zelfs stellen dat het performantie verlies op vsphere e.d. Een pak hoger zal zijn dan wat nu word aangetoond in de synth. Benchmarks.

[mailracer]

AMD processors are not subject to the types of attacks that the kernel page table isolation feature protects against. The AMD microarchitecture does not allow memory references, including speculative references, that access higher privileged data when running in a lesser privileged mode when that access would result in a page fault.

https://www.theregister.co.uk/2018/01/0 ... sign_flaw/

[tb0ne]

Zoals ik het zie heeft Intel een berekend risico genomen om zijn chips sneller te laten werken.
AMD heeft gekozen dat niet te doen, daar kunnen ze nu hun voordeel uit halen.

[ubremoved_2964]

't is nog veel erger dan gedacht:

https://googleprojectzero.blogspot.be/2 ... -side.html

o.a. KVM guests die de kernel memory van de host kunnen lezen

Dit wordt de nachtmerrie van de cloud:

https://spectreattack.com/

[ubremoved_539]

't is nog veel erger dan gedacht:

https://googleprojectzero.blogspot.be/2 ... -side.html

Ik heb het niet helemaal gelezen maar hierin geeft men aan dat AMD en ARM processors WEL kwetsbaar zijn !?

[MClaeys]

Er gaan gewoon wat koppen rollen en verder gaat het zijn gewone gang weer verder gaan. Ik denk niet dat dit het einde is van Intel.
De CEO voelde de bui al hangen, in november wist hij al van het probleem en heeft hij 24 miljoen aan aandelen verkocht

[liber!]

Dit wordt de nachtmerrie van de cloud:

De major cloud providers: AWS, Azure & GCP rollen de patchen nu uit. Hoelang gaat het duren tot de lokale IT dit doet?

[tb0ne]

Sommige AMD processoren hebben ARM cores aan boord voor zover ik begrijp.

Iemand enige info over Vmware?

[brubbel]

Mijn 11 jaar oude Intel core 2 duo wordt dus 30% sneller(*)!
(* relatief gezien)

[JamesEarlGray]

Mijn 11 jaar oude Intel core 2 duo wordt dus 30% sneller(*)!
(* relatief gezien)

Neen, want Meltdown treft alle Intel CPU's vanaf de Intel Pentium Pro en daaropvolgende Pentium 2, 3, Pentium M, Core (1), Core 2 en nu de Core i<X>. De Pentium Pro wordt al verkocht sinds eind jaren negentig, dus je kan stellen dat die bug al minstens twintig jaar bestaat.

[brubbel]

Dan is het echt wel een doos van Pandora. Niemand gaat al die 'verborgen' devices (Tv's, smartphones, mediaplayers, routers, etc) updaten.

[MClaeys]

't is nog veel erger dan gedacht:

https://googleprojectzero.blogspot.be/2 ... -side.html

Ik heb het niet helemaal gelezen maar hierin geeft men aan dat AMD en ARM processors WEL kwetsbaar zijn !?

Niet voor Meltdown, wel voor Spectre. Spectre kunnen ze (volgens hun) fixen met een software-update. Meltdown heeft een fix nodig die een performance hit geeft.
Bij Linux heeft AMD alleszins wel uit hun patch gehaald (Phoronix. Maar ik denk dat ze wel nog als insecure worden aangeduid voorlopig.

[ubremoved_2964]

Het is echt creepy wat mogelijk is:

https://meltdownattack.com/meltdown.pdf

Cpu's met out of order execution + caching kunnen dus met side channel attacks uitgelezen worden.
één zo'n side channel attack is flush+reload, en die werkt dus met sommige oudere AMD's dus wel, maar niet met de laatste versies:

https://eprint.iacr.org/2013/448.pdf

GTA V parodie is nu realiteit geworden:

[youtube]9GP0KDuzgBc[/youtube]

[Abusimbal]

Hardware.info heeft ook een artikerl gemaakt: https://nl.hardware.info/reviews/7848/2 ... het-lek-in

[brubbel]

Volgens mij is nl.hardware.info incorrect.

Meltdown (CVE-2017-5754): <knip> De patch die nu voor diverse besturingssystemen beschikbaar komt verhelpt dit lek, doordat er niet langer gecombineerd wordt gespeculeerd over kernel- en userdata.

De patch dumpt de kernel cache uit het virtueel geheugen voordat naar userland wordt geswitcht, waardoor er niets meer 'secret' te rapen valt.
Dat pipelinen van code, dat kan niet afgezet worden. Daar zit ook de performance hit: de cache misses bij switchen naar kernel mode.
https://arstechnica.com/gadgets/2018/01 ... s-patches/

edit: aanpassing, comment gaat over 'Meltdown' zoals JamesEarlGray zegt.

[JamesEarlGray]

Ja, Brubbel, dat klopt. Maar dat is echter enkel om Meltdown te omzeilen. Tegen Spectre is helaas weinig te doen, behalve dan misschien Daniel Craig casten.

[ubremoved_539]

Tegen Spectre is helaas weinig te doen

Er zijn wel efforts die Spectre moeilijker maken, bijvoorbeeld Javascript timers minder precies maken (want de aanval is zeer timing-gevoelig), en SharedArrayBuffer ontoegankelijk maken. Zie bijvoorbeeld deze post van Mozilla.

Microsoft heeft Edge hiervoor trouwens al gepatched... https://support.microsoft.com/en-us/hel ... -kb4056890

[JamesEarlGray]

Ja, dat klopt, gelukkig zijn er hier en daar wel al mensen bezig met de grootste gaten te vullen, maar omdat het probleem zo abstract is, valt het moeilijk snel allemaal te bedenken op welke ingenieuze manieren de zwakheid van Spectre kan misbruikt worden, vandaar dat ze stellen dat een grote verandering op niveau van processorarchitectuur nodig zal zijn om dat probleem écht op te lossen.

Maar verder dikke duim voor Mozilla, ze zijn wel goed bezig daar de laatste tijd.

[ubremoved_2964]

CentOS/RedHat hebben voor versie 7 van hun OS kernel 3.10.0-693.11.6.el7.x86_64 uit.

Nu draait mijn hypervisor CentOS 7 met dus bovenstaande kernel.

De guests draaien vanalles door mekaar, en daar is het niet mogelijk om CentOS7 met deze laatste kernel even snel uit te rollen.

Uiteindelijk is de side channel attack vanuit een VM mogelijk omdat deze vroeg op laat op echte hardware draait met een paar extra layers ertussen, dus guests kunnen dus het geheugen van de host uitlezen omdat de kernel van de host de caches niet dropped.

Maar wat als de hypervisor gepatched is, en de guests niet. In principe is userspace en kernelspace van de guest virtueel, en worden deze als een userprocess op de hypervisor gedraaid. Dit process kan dan wel IO doen en andere systemcalls waarvoor het de kernel nodig heeft.

Dus deze qemu processen zijn in principe meegepatched, want van zondra de hypervisor switched tussen user en kernel mode omdat qemu een systeemcall moet doen (bvb lezen/schrijven naar een image file, of networking), is KAISER actief.

[JamesEarlGray]

Volgens wikipedia (ik weet, hoort niet gebruikt te worden als bron, maar soit):

One of the paper's authors reports that paravirtualization (Xen) and containers such as Docker, LXC, and OpenVZ, are affected.[23] They report that the attack on a fully virtualized machine allows the guest user space to read from the guest kernel memory, but not read from the host kernel space.

https://en.wikipedia.org/wiki/Meltdown_ ... erability)

Het valt dus nog mee, een écht gevirtualiseerde guest kan niet buiten die context lekken, dus niet naar het host OS.

[ubremoved_2964]

Volgens wikipedia (ik weet, hoort niet gebruikt te worden als bron, maar soit):

One of the paper's authors reports that paravirtualization (Xen) and containers such as Docker, LXC, and OpenVZ, are affected.[23] They report that the attack on a fully virtualized machine allows the guest user space to read from the guest kernel memory, but not read from the host kernel space.

https://en.wikipedia.org/wiki/Meltdown_ ... erability)

Het valt dus nog mee, een écht gevirtualiseerde guest kan niet buiten die context lekken, dus niet naar het host OS.

Helaas valt het dik tegen:

https://googleprojectzero.blogspot.be/

[duizend]

Is er al bekend wanneer intel met nieuwe cpu's komt die dit problem niet hebben ?
of zijn die er al ?
Is het zinvol om hierop te wachten, ik dacht mijn pc stilaan te vervangen?

[brubbel]

Gezien het een architectuurprobleem is, denk ik niet dat er op 1-2-3 een oplossing zal komen.

[cptKangaroo]

AMD's Ryzen2 zou tegen de lente moeten uitkomen.

[heist_175]

Heeft AMD iets soortgelijks als de NUC?
Ik zoek een small-form factor en had mijn hoop gezet op de NUC8, maar misschien moet ik mijn horizon verruimen
(mijn vrouw is trouwens super content van haar NUC7i7)

[ubremoved_539]

Blijkbaar niet... tenzij je zelf gaat knutselen; https://www.neowin.net/forum/topic/1340 ... intel-nuc/

Edit... toch wel wat te vinden... https://liliputing.com/2017/05/zotacs-n ... phics.html

[selder]

Die topic ... "het einde van Intel" wow.

[heist_175]

De eerste NUC8's zijn al gespot (NUC8i7HNK, NUC8i7HVK) maar het is de skull reeks.
$800 en $1000 en niet eens BT5

@ZOTAC
Heeft toch ook vooral Intel CPU's, gelijkaardig aan de NUC's.

Eens de standaard NUC8's er zijn, ga ik eens vergelijken...

[MClaeys]

Ach, 2 dagen later kondigden ze een nieuwe CPU aan en men kraait er al met moeite meer naar. De stock heeft ook alweer een licht positieve trend. People don't care.

Ben ook aan het kijken voor een NUC (of iets vergelijkbaar qua kracht, compactheid en verbruik), voor ESX om wat serverkes op te draaien thuis. Maar ik wacht nog wel effe .

[selder]

Hahahaha https://www.theverge.com/2018/1/9/16867 ... ce=twitter

Microsoft has paused distributing its Meltdown and Spectre security updates for AMD machines after reports of PCs not booting. Microsoft’s support forums have been full of complaints from PC owners with AMD processors, and the software giant has acknowledged the issue today. Microsoft is blaming AMD’s documentation for the issues.