Portál AbcLinuxu, 10. května 2025 19:34
5.1.2018 17:55
Rezza | skóre: 25
| blog: rezza
| Brno
3.10.0-693.11.6.el7.x86_64, příslušné přepínače v debugfs a microcode_ctl 2.1.22.2.el7. Je tam bohužel SNB, takže Spectre tam i dál funguje jedna báseň. Na desktopu se Skylakem a F27 je starší microcode_ctl 2.1.19.f27 a aktivní pouze PTI. Zkoušel jsem ručně nainstalovat poslední mikrokód od Intelu ale zřejmě je to ta stejná verze, jakou momentálně balíčkuje Fedora.
Samotná instalace RPM balíku s novějším mikrokódem nestačí. Ještě je třeba jej nahrát do procesoru. A od té doby, co Intel začal odstraňovat instrukce, tak Linux odebral možnost zavádět mikrokód za běhu a místo toho je třeba přegenerovat initramfs, kam se zkopíruje mikrokód ze souborového systému a odkud se při příštím bootu zavede.
Kromě toho na Sepectre žádná univerzální oprava neexistuje (kromě úplného vypnutí spekulativního vykonávání instrukcí) a asi ani existovat nebude.
A vedle toho se zdá, že Intel vůbec žádný nový mikrokód nevydal. Poslední verze je 20171117.
[root@node1.pgnd.vpsfree.cz] /sys/kernel/debug/x86 # rpm -qa | grep microcode microcode_ctl-1.17-25.2.el6_9.x86_64 [root@node1.pgnd.vpsfree.cz] /sys/kernel/debug/x86 # microcode_ctl -u microcode_ctl: writing microcode (length: 1302528) microcode_ctl: microcode successfuly written to /dev/cpu/microcode [root@node1.pgnd.vpsfree.cz] /sys/kernel/debug/x86 # for f in `ls -1 *ena*`; do echo "$f = `cat $f`"; done ibpb_enabled = 0 ibrs_enabled = 0 pti_enabled = 1 [root@node1.pgnd.vpsfree.cz] /sys/kernel/debug/x86 # echo 1 > ibrs_enabled -bash: echo: write error: No such device [root@node1.pgnd.vpsfree.cz] /sys/kernel/debug/x86 # cat /proc/cpuinfo | grep "model name" | head -n1 model name : Intel(R) Xeon(R) CPU E5-2630 0 @ 2.30GHzTaky akorat koumam, jak to s tim updatovanym mikrokodem mysleli.
Odkazované oznámení uvádí microcode_ctl-2.1-22.2.el7. V odpovídajícím commitu do zdrojového balíku se píše:
+Source3: 06-3f-02 +Source4: 06-4f-01 +Source5: 06-55-04 [...] +* Fri Dec 15 2017 Petr Oros <poros@redhat.com> - 2.1-22.2 +- Update Intel CPU microde for 06-3f-02, 06-4f-01, and 06-55-04 +- Resolves: #1527358
Takže to vypadá, že Intel poslal opravu jen na tři procesory přímo Red Hatu, anižby se o ní podělil s veřejností.
Buďto tohle znamená enterprise podporu, nebo si Intel nevěří a raději se schová za Red Hat.
6.1.2018 18:43
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Takže to vypadá, že Intel poslal opravu jen na tři procesory přímo Red Hatu, anižby se o ní podělil s veřejností. Buďto tohle znamená enterprise podporu, nebo si Intel nevěří a raději se schová za Red Hat.Spise ho k tomu Red Hat dokopal, stejna jako Apple. S distribuci microcodu je neco shnileho, Microsoft to hodil na vyrobce zarizeni a pro plno procesoru to neni k dispozici.
Já věděl, že si mám koupit procesor za pětadvacet táců, abych měl nárok na nějaký supportwelcome to capitalism
Akorat teda doufam, ze vydaji rozumne brzo update mikrokodu.Tipuju, že to stihnou dřív, než začneš nakupovat
Tipuju, že to stihnou dřív, než začneš nakupovatJa uz bych aj, kdybych mel jistotu, ze to udelaji poradne a bude vsechno OK. Desku uz mam vyhlidnutou, checkuju kompatibilitu s chassickama, co uz mame, at toho nemusime nakupovat tolik. Otazka je, jestli mam plasit a nahrazovat i Ivy Bridge. No a namontuju si to cele sam, nove masiny taky radsi, pokud neprejdeme k robotum skladanym Dellum. U Abacusu uz si nenecham montovat nic, to si radsi dorezu ruce jednou za par mesicu sam.
Abacusu uz si nenecham montovat nicNikdy jsem od nich nic neměl, takže nemůžu soudit - a vzhledem k tomu, že nakupujeme celé stroje i s deskou, tak u dodavatele do toho akorát namontují procesor a připlácnou na něj chladič. Na tom není co zkazit.
to si radsi dorezu ruce jednou za par mesicu samO pořezání rukou mi nejde, to se mi moc nestává - spíš o to, že mám vždycky pocit, že jsem musel něco urazit nebo ohoblovat na té desce. (Nicméně kupodivu vždycky všechno najelo a fungovalo.)
Na tom není co zkazit.Fiha, to jsem si myslel taky. Pak se ukazalo, ze neni moc dobrej napad, kdyz mas ve vytizeny masine procesory, ktery nekdo drzel upocenym palcem primo za pady. Pak muzu menit RAMky jak idiot. Stacilo vycistit procesory zespodu a najednou je klid.
O pořezání rukou mi nejde, to se mi moc nestává - spíš o to, že mám vždycky pocit, že jsem musel něco urazit nebo ohoblovat na té desce. (Nicméně kupodivu vždycky všechno najelo a fungovalo.)Ona toho vydrzi fakt hodne. Ale ty plechy nemaji sundane hrany a kdyz neco montuju po delsi dobe, vzdycky na to zapomenu davat bacha. Pak koukam, ze o co jsem se zas porezal, kdyz odchazim z DC...
No... snad Intelu prestane j*bat a uvedomi si, jakou maji zodpovednost...Zhruba stejnou vůči svým zákazníkům, jako máte vy vůči svým členům? :)
No, to ma dve roviny. Jedna rovina je pravni vymahatelnost, druha je, cemu ja rikam "stavovska cest".
Nemyslim si, ze pujde plosne Intel donutit k tomu, aby se zachoval jakkoliv, jedine neprimo - pres pokuty ze strany establishmentu. vpsFree je na tom z legal stranky, rekl bych, vcelku podobne - muzeme dostat pokutu/soudni prikaz, v krajnim pripade nas muze soud rozpustit.
Podstatnejsi je podle mne drzet si "stavovskou cest". Pokud o sobe tvrdim, ze se snazim neco delat, jak nejlip umim, tak to preci nemuzu reagovat, jak Intel reaguje - jeste k tomu ponekolikate, ne poprve.
Ale neni to fer srovnani, vpsFree nic neprodava a verejne nenabizi zadnou placenou sluzbu. Clovek se musi stat clenem a potom uz je mozne rici, ze je svym dilem za chod spolku spoluodpovedny (zrovna tak, jako ma prava, s nimi jdou zodpovednosti). Tedy my nemame zakazniky. A uz vubec tam nemame tu asymetrii, ze jednou prodame fyzickou vec - a tedy nejsme ani v pozici neceho fyzickeho lifetime/lifecycle, abych mohl na nazornem prikladu ukazat, jak si myslim, ze se to *ma* delat.
To budu moct az za par let ze snah, co vyjdou ze sklepa u nas v Brne - vcelku bych se vsadil, ze budeme delat veci, ktere budou mit (a budou muset mit) podporu minimalne 15 let, spis tak 20 a vic.
Podstatnejsi je podle mne drzet si "stavovskou cest"To dělají lidi a to ještě ne všichni. Korporát moc ne.
9.1.2018 07:15
Conscript89
| Brno
Tak třeba už jen pokud příjmeme premisu že korporace musí být kótovaná na burze, tak ji můsí více záležet na reputsci, než soukromě držené malé společnosti, protože to má přímý vliv na její hodnotu akciíV tom je právě jádro pudla - reputaci u jakých lidí. Velká korporace si potřebuje primárně udržovat reputaci u shareholderů a bohatých zákazníků (ie. typicky opět velké korporace nebo dokonce govt sféra), tj. obecně v kruzích, které, přestože se jedná o technologie a průmysl, nesestávají z oborníků. U menší firmy to bude vyrovnanější nebo spíše naopak jím půjde víc o odborníky. Právě proto bohužel ten typ bullshit PR, jaký předvedl Intel, nejenže nebude vadit, ale nejspíše mu pomůže z bryndy, protože to, že to je bullshit, řeší víceméně jen odborná část veřejnosti.
10.1.2018 20:03
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
7.1.2018 15:01
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Ja jsem aktualne vcelku vystraseny, protoze Sandy Bridge-EP uz jsou EOLed podle ARKu, tak nevim, jak moc mam cekat novy ucode.Sandy Bridge by mel jeste casem dostat podle ruznych zdroju update, ale ted se spise soustredi na nejvice postizene novejsi procesory, ktere stale prodavaji. Jinou veci je, ze updaty podle vseho zatim moc neresi ...
9.1.2018 08:34
Rezza | skóre: 25
| blog: rezza
| Brno
To je skutočne výborná otázka, pretože podľa pôvodných informácií, meltdown sa pomocou mikrokódu vôbec nemal dať opraviť.
Takže asi skôr pre Spectre, tam boli informácie typu "plátať sa to bude dlho a všade možne", čiže tiež to asi nebude len vecou zásahu do mikrokódu.
Otázkou je, či mikrokód je nutnou alebo postačujúcou podmienkou opravy, alebo bude len poskytovať nejaké barličky pre kernel, aby záplata mala menej katastrofálny dopad na výkon. Lebo výrobcovia SW sa to hodlajú záplatovať každý po svojom, dokonca GCC robí zmeny, ale napriek tomu, AMD ktoré je málo postihnuté, vydalo patch mikrokódu aspoň pre Spectre v1, a ktovie, raz možno vydá aj pre v2, len pre prípad, ktorý je podľa nich iba čisto hypotetický.
Z toho, čo som čítal o úpravách v SW, aby po určitých operáciách "zametali stopy" v registroch a cache, tak to mi pripadá ako postačujúce riešenie, preto mi úloha záplaty v mikrokóde nie je celkom jasná.
Aha, tak na Arstechnica diskutujú o podobných úvahách:
https://arstechnica.com/gadgets/2018/01/meltdown-and-spectre-heres-what-intel-apple-microsoft-others-are-doing-about-it/?comments=1&post=34582983
10.1.2018 16:53
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Z toho, čo som čítal o úpravách v SW, aby po určitých operáciách "zametali stopy" v registroch a cache, tak to mi pripadá ako postačujúce riešenie, preto mi úloha záplaty v mikrokóde nie je celkom jasná.Zalozit bezpecnost systemu na predpokladu, ze aplikace jsou "rozumne" napsane je cesta do (_!_).
11.1.2018 16:42
Rezza | skóre: 25
| blog: rezza
| Brno
10.1.2018 20:21
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
Opravou odstránia celý ten úžasný pokrok, toto kompletne degradovalo všetky procesry. Hocijaká náprava to vráti tak 15 rokov nazad a degradácia výkonu bude viac ako sa píše, určite podstatne viac.Pochybuju o tom - degradovat výkon na úroveň deset let zpátky, to by si nelajznuli, takovou opravu by (téměř) nikdo nenasadil. Vyštrachat v rozpočtu prachy na to zvětšit si datacentrum na dvojnásobek, na to jen tak někdo nemá.
13.1.2018 01:10
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
13.1.2018 01:13
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
To bude čistý prieser a na serveroch si žiadny ojeb nemôžu dovoliť, inak im to hocikto dá dole.I vy naivko.
11.1.2018 11:31
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
13.1.2018 01:06
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
6.1.2018 21:25
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
6.1.2018 22:45
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Já bych ten Intel hate zas tak nedramatizoval. Ars technica kritizuje Intel PR (pochopitelně), ale AMD PR kritizuje taky a chválí pouze ARM.Mozna, ale me neslo o PR. Rozdil mezi ARM a Intel/AMD je v tom ze oni neprodavaji koncovym zakaznikum a jejich situace je proste jina. Intel se viditelne pokousel stahnou ostatni s sebou, at jiz na urovni PR, tak pri vyvoji Linux kernelu, takze treba ten kritizovany mail od AMD ci reakci Linuse zcela chapu.
Co se týče domácích strojů a workstations, IMHO i přes Meltdown budou Intel CPU i nadále sloužit celkem ke spokojenosti...Soucasne opravy Meltdown neresi plne podstatu, takze je spise otazkou casu nez se provali dalsi cesta jak tuto HW chybu vyuzit.
Soucasne opravy Meltdown neresi plne podstatuJo tu flushování TLB při každém vstupu do kernelu (tuším?) je nechutný hack a PCID funguje jen na poslední generaci :-/.
Nic to nemeni na tom, ze lide byli nechani Intelem pul roku v situaci, kdy jim bylo mozne snadno zcizit data. Nikdo z nas nevi kam vsude informace unikla, zpravy o vazne chybe pronikali ven jiz od listopadu a pocet zainteresovanych lidi byl velky. Hadam ze NSA a podobne instituce mely doslova datove zne.Omg. Ty jsi zaměstanenc AMD nebo proč furt ten shilling?
Koupil byste si pred par tydny k Vanocum Intel procesor, pokud byste vedel jaka je situace? Asi spise ne.Spíše ne, ale stejnětak bych si nekoupil procesor od AMD a raději čekal, jak se situace vyvrbí. V roli koncového uživatele pro mě není Spectre o moc méně závažný než Meltdown, viz obligátní xkcd.
7.1.2018 01:46
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Omg. Ty jsi zaměstanenc AMD nebo proč furt ten shilling?Nejsem. Ale zazil jsem opatreni ve firmach prijmana po tomto, takze si uz nedelam iluze.
V roli koncového uživatele pro mě není Spectre o moc méně závažný než Meltdown, viz obligátní xkcd.Tam jde spise o to jak Intel ted ku*vi SW pro vsechny, viz treba shrnuti zde:
Also, all of Intel's press releases on these topics are HIGHLY deceptive. Purposefully deceptive. First, they try to revector and confuse the issue by saying these bugs cannot modify or delete memory... but nobody was ever saying that. These bugs DISCLOSE protected memory, meaning your cryptographic keys and web sessions aren't safe (among other things). Intel intentionally avoided mentioning that. Intel also didn't mention that Meltdown is essentially a FULL KERNEL MEMORY disclosure bug, and that it is easy to exploit. And that it is Intel-specific due to stupidity on Intel's part. Intel is also playing up microcode and BIOS updates for these bugs. What they aren't saying is that these microcode updates amount to ONLY minor mitigations of the Spectre bug. There aren't a complete fix to Spectre or anything close. And, more importantly, THE MICROCODE UPDATES DO NOT FIX THE MELTDOWN BUG AT ALL. We kernel programmers have to implement the horrible performance destroying mitigation to workaround meltdown on Intel CPUs. Intel is also trying to push all sorts of crap onto the programming community. They are pushing hard to implement horrible hacks in GCC and other compilers and are trying to push horrible hacks to indirect procedure calls as a mitigation for spectre. THIS WILL NEVER WORK!!!!!. 30,000+ applications would have to be recompiled with the changes and kernels would have more horribly hacked code pushed into them just to obtain a PARTIAL mitigation. Spectre can only be completely fixed in hardware. Intel is intentionally trying to deceive its customers and its audience. It is the WRONG RESPONSE to these extremely serious bugs, particularly to the Meltdown bug. To say that we are pissed at Intel right now would be an understatement of epic proportions.
Intel ted ku*vi SW pro vsechnyTo není pro všechny. To by v GCC určitě neudělali :-/. Mu daj speciální kompilační flag a konfiguraci v kernelu a pohoda :-P. Akorát pak nepůjde přenést jedna aplikace z nonintel na intel z důvodu bezpečnosti no
.
Hmm jak to má vlastně VIA? Vortex je na úrovni 586/486, ten je v pohodě a pak už znám jen mrtvou transmetu :-/. Ale předpokládám, že transmeta by byla dneska vysmátá, kdyby ovšem přežila.
Na mě to dělá dojem, že to, že u Intelu je ten dopad o dost horší, je víceméně náhoda a AMD má víceméně prostě jen kliku.U spectre má AMD prostě lepší architekturu (aspoň podle diskuzí a toho inženýra co požádal o vypnutí KPTI pro AMD). Ale souhlas, je tu trochu tohodle
. Ja jsem například na intel naštvaný víc než na AMD a to proto, že všude cpe své procesory (s tím, že jsou lepší než konkurence, což byla pravda), takže teďka mám všude intel s meltdownem. Výš upgradovat nejde, protože Intel mění sockety jak na běžícím páse (protože prý technologický update, což je buď lež nebo nemyslej) a pokud vůbec bude nějaká oprava spectre v mikrokódu, tak jí ani nedostanu (fajn dicontinued, ale tohle je bug ze samotnýho počátku spekulativních operací v x86).
.
8.1.2018 02:43
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
7.1.2018 03:37
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
To s tou NSA nechápu. Je něco specifického na vztahu Intelu a NSA? Proč by nemohla NSA mít nějakou dohodu s AMD nebo kýmkoli jiným krom Intelu?Kouknete se na co jste reagoval. Ten bug byl bez oprav znam vice nez pul roku pomerne znacnemu poctu lidi, vcetne toho jak ho vyuzit. Myslet si, ze se to nedostalo k agenturam jako je NSA a dalsi je iluze, stejne jako ze toho patricne nevyuzili. Informace mela byt zverejnena drive, Intel to podle vseho blokoval mesice a trvalo dlouho nez pripustil, ze reseni nemaji, takze se ztracel cas. Mam dojem, ze zajem koncoveho uzivatele nebyla priorita, spise zajmy molochu jako Intel, Google, Amazon a dalsi.
Na mě to dělá dojem, že to, že u Intelu je ten dopad o dost horší, je víceméně náhoda a AMD má víceméně prostě jen kliku.Castecne ano, ale maji ted lepsi architekturu a hlavne pri navrhu neobetovali uplne bezpecnost pro vykon a to platilo uz od K6.
Co se týče ku*vení SW pro všechny, pokud myslíš PTI, tak to přece uživatele AMD neovlivní.PTI jde nastesti vypnut a stejne tak bych to chtel i pro cast ostatnich opatreni. Jak psal Linus, SW nesmi byt psan v duchu "vsechny CPU jsou totalni sracky", a Intel k tomu ted masivne tlaci a taky to tak castecne bohuzel zkonci - dusledek inteli monokultury.
Co se týče přidávání nějakých prostředků proti Spectre - třeba nějakých memory fenců apod. - tak to je potřeba na víceméně všech CPU se spekulativním prováděním.Branch target injection je opet problem predevsim Intelu, kompilatory rozumne nebudou umet resit a zkoncime s nejakym heuristickym paskvilem generujicim hacky a stejne se bude muset spousta veci udrzovat rucne v kodu - a s ohledem na miliony radku kodu v tisicich projektech je to nejspise marne. Navic to bude mit meritelne dopady, 1% je odhad pro kernel, u C++ aplikaci to muze byt mnohem horsi. A jak tohle chcete vypnout pro AMD bez prekompilace? Boundary attack/bounds check bypass ma celkem jednoduche reseni a to je jediny problem co AMD a dalsi skutecne maji.
7.1.2018 04:56
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
When using these patches on statically linked applications, especially C++ applications, you should expect to see a much more dramatic performance hit. For microbenchmarks that are switch, indirect-, or virtual-call heavy we have seen overheads ranging from 10% to 50%. However, real-world workloads exhibit substantially lower performance impact. Notably, techniques such as PGO and ThinLTO dramatically reduce the impact of hot indirect calls (by speculatively promoting them to direct calls) and allow optimized search trees to be used to lower switches. If you need to deploy these techniques in C++ applications, we *strongly* recommend that you ensure all hot call targets are statically linked (avoiding PLT indirection) and use both PGO and ThinLTO. Well tuned servers using all of these techniques saw 5% - 10% overhead from the use of retpoline.Takze pokud to dobre optimalizujete - priohnete pro zmrsene procesory s uzitim PGO - coz se jen tak v dohledne dobe nestane - dopady budou "jen" 5%-10%, a u specifickych aplikaci - jako pixel/image/video processing - vice - ale snad mene nez zminenych 50%. O problemech spojenych se statickym linkovanim radsi nemluve.
7.1.2018 15:00
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
PTI jde nastesti vypnut a stejne tak bych to chtel i pro cast ostatnich opatreni.Jestli jsem to správně pochopil tak na AMD ani není zapnut...
Tohle me dozene k Gentoo, protoze tam mam moznost ovlivnit jak je muj system prelozen.Dost pochybuju, že by se ti to opravdu vyplatilo vzhledem k overheadu Gentoo, zejména na uživatelských strojích...
7.1.2018 15:02
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
7.1.2018 17:43
Conscript89
| Brno
Nevíte někdo, jak je na tom Debian testing? KPTI bylo backportnuto do 4.14.11, ale v repozitářích je zatím nejnovější 4.14.0-2. Čeká se, až se to stabilizuje v sidu, nebo... ?
Co se týká intel-microcode, je tam verze 3.20171215.1. Jsem zvědav, jestli to obsahuje fix i pro můj procesor (zatím jsem nerebootoval, tj. nezkoušel jsem).
madcat@Thora ~ # dmesg | grep "page tables isolation" [ 0.000000] Kernel/User page tables isolation: enabled
kompilatory rozumne nebudou umet resit a zkoncime s nejakym heuristickym paskvilem generujicim hacky a stejne se bude muset spousta veci udrzovat rucne v kodu - a s ohledem na miliony radku kodu v tisicich projektech je to nejspise marne.Jo vlastně proprietární software se bude muset brát automaticky jako děravý.
. Snad jen kromě opensource softcore výrobců, kde si to můžu opravit ručně sám.
By mě zajímalo zda existuje nějaká spekulativní reorder architektura, která je OK.
IMHO i přes Meltdown budou Intel CPU i nadále sloužit celkem ke spokojenosti...Pokud to všichni updatujou a pak pomalu. Protože spectrem přes JS se dostaneš do systému a meltdownem do kernelu (a asi i ven z VM).
Předtím tam byla akorát stránka o tom, že customer portal will be back soon
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
