Патч против критической уязвимости Retbleed, включенный в состав ядра Linux 5.19, может замедлять виртуальные машины Linux на 70%, выяснили специалисты VMware. Разработчики ядра пока не выражают особого беспокойства, хотя проблема выглядит серьезной.
Патчи от Redbleed «тормозят» Linux
Специалисты компании VMware протестировали патч ядра Linux, закрывающий уязвимость Retbleed. По его итогам они пришли к выводу, что применение исправления может вызывать падение производительности системы на 70%, пишет The Register.
Маникандан Джагатисан (Manikandan Jagatheesan), инженер компании VMware, которая специализируется на ПО для виртуализации, в почтовой рассылке разработчиков Linux (Linux Kernel Mailing List) опубликовал неутешительные результаты внутреннего тестирования ядра 5.19, показавшие наличие регрессий производительности.
Специалисты зафиксировали снижение скорости вычислительных операций вплоть до 70% в виртуальном Linux-окружении с применением гипервизора ESXi (продукт VMware). Просадки производительности в работе сетевых функций и операций с хранилищем данных достигали 30% и 13% соответственно. Тестирование проводилось на процессорах Intel семейства Skylake, представители которого выпускались с 2015 по 2017 гг.
Джагитисан уверен, что корень проблемы находится в коде, обеспечивающем защиту от эксплуатации Spectre-подобной уязвимости, поскольку отключение соответствующей функциональности на этапе загрузки (с помощью параметра ядра spectre_v2=off) возвращает производительность системы в виртуальной машине к прежнему уровню, каковой наблюдался при тестировании ядра Linux 5.18, не имеющего защиты от Retbleed.
На момент выхода данного материала в обсуждении проблемы в рассылке, помимо автора, участие приняли еще четверо разработчиков. Линус Торвальдс (Linus Torvalds), создатель Linux, в нем не отметился. Зато «отец» Linux 11 сентября 2022 г. анонсировал пятый кандидат в релизы ядра Linux версии 6.0, с которым, по его словам, все в порядке, и в котором «ничто не выглядит особенно страшным».
Что такое Retbleed
Retbleed – это уязвимость и одноименный новый вариант атаки на механизм спекулятивного выполнения косвенных переходов центрального процессора архитектуры x86, близкий к Spectre-v2. Атака позволяет непривилегированному процессу с достаточно высокой точностью извлекать данные из памяти ядра, например, пароли, правда, на очень невысокой скорости: около 219 байт в секунду в случае с чипами Intel и 3,9 КБ в секунду – при использовании CPU AMD.
Retbleed обнаружили специалисты Швейцарской высшей тхенической школы Цюриха в июле 2022 г. Уязвимости подвержены процессоры Intel шестого, седьмого и восьмого поколений, которые компания выпускала до осени 2019 г. Самые современные чипы Intel – это Alder Lake (12 поколение).
Что касается CPU AMD, то атаку Retbleed можно осуществить на модели на базе архитектур Zen 1, Zen 1+ и Zen 2, выпускавшиеся вплоть до 2021 г. Процессорам архитектур Zen 3, 3+ и Zen 4 пока ничего не угрожает.
Серьезность проблемы
Поскольку Retbleed нацелена на механизмы спекулятивного выполнения, которые позволяют существенно повысить производительность процессора, блокировка уязвимости программными средствами неизбежно вызывает снижение производительности «железа», отмечает The Register. Вопрос лишь в том – насколько существенно.
Технологии виртуализации широко применяется, к примеру, при развертывании облачной инфраструктуры. Как отмечает The Register, не исключено, что среди клиентов VMware по-прежнему могут быть владельцы парка серверов на базе процессоров Intel уже упомянутого семейства Skylake. Вряд ли они уже перешли на ядро 5.19 – выпущенное в начале августа 2022 г., оно, вероятно, еще слишком «свежее» для повсеместного внедрения. Тем не менее если разработчики Linux и VMware что-нибудь не придумают, такие пользователи в конечном счете все равно будут вынуждены выбирать из двух зол: риска утечки критически важных данных и колоссального падения производительности собственной инфраструктуры.
Впрочем, существует и третий вариант – миграция на более современное «железо», защищенное от Retbleed. Правда, вряд ли кто-либо из производителей процессоров даст гарантию, что в пределах жизненного цикла предлагаемых ими современных моделей не будет обнаружена очередная Spectre-подобная уязвимость, защита от которой вновь ударит по производительности.
Spectre и Meltdown
Об уязвимостях класса Spectre в современных процессорах широкая общественность впервые узнала в начале 2018 г. Одновременно с ними были обнаружены и бреши типа Meltdown, открывающие ПО из пространства пользователя доступ к памяти ядра и другим областям памяти устройства.
Учитывая масштабы проблемы, ее стали именовать не иначе как «чипокалипсис». Она затронула чипы архитектуры ARM, а также процессоры Intel и AMD. Производители оперативно выпустили программные исправления, закрывающие уязвимости.
В ноябре 2018 г. было выявлено еще семь потенциальных атак спекулятивного выполнения на процессоры разных производителей. Ситуация повторилась и в мае 2021 г., когда эксперты нашли еще ряд разновидностей потенциальных атак Spectre. Они затрагивали все современные процессоры AMD и Intel с поддержкой кэширования микроопераций, а устранение этих «дыр» с высокой долей вероятности могло привести к очередному падению производительности CPU.
Источник cnews