FERRAMENTAS LINUX: Outra otimização menor é enfileirada para sistemas atenuados contra o Spectre/Meltdown

domingo, 9 de setembro de 2018

Outra otimização menor é enfileirada para sistemas atenuados contra o Spectre/Meltdown



Confira!!



Nos sistemas da Intel afetados pelas vulnerabilidades do Meltdown e do Specter, outra pequena otimização está a caminho do kernel do Linux para diminuir um pouco o impacto da mitigação do isolamento de tabela de páginas baseado no kernel (PTI).

A otimização secundária está removendo o SYSCALL64trampolim de entrada. Em um sistema Intel Skylake com Retpolines e KPTI habilitado, a sobrecarga syscall caiu de aproximadamente 237 ns para 228 ns. Não seria perceptível por si só, mas já há meses e provavelmente no futuro previsível até que as CPUs corrigidas estejam no mercado, os engenheiros do kernel continuarão a buscar cada micro-otimização possível para ajudar a compensar as perdas de desempenho introduzidas pelo Specter and Meltdown. técnicas de mitigação. Eles certamente fizeram melhorias no desempenho desde o trabalho original do KPTI e Retpoline desde janeiro, mas em cargas de trabalho pesadas syscall pesadas de E / S, permanece uma sobrecarga geralmente perceptível.

No que diz respeito a qualquer ramificação de segurança ao deixar cair o trampolim de entrada SYSCALL64, Andy Lutomirski, que escreveu este patch comentou, "Isso não adiciona um novo vazamento direto de informações, já que o TSS é legível pelo Meltdown do alias cpu_entry_area, independentemente. Ele permite um ataque de temporização para localizar a área percpu, mas a KASLR é mais ou menos uma causa perdida contra ataques locais em CPUs vulneráveis ​​ao Meltdown, independentemente. No que me diz respeito, no hardware atual, o KASLR é útil apenas para mitigar ataques remotos que tentam atacar o kernel sem primeiro adquirir RCE contra um processo de usuário vulnerável. "

O patch a partir desta manhã está agora na fila na ramificação x86 / pti de Thomas Gleixner, onde os conjuntos de trabalho de mitigação de Spectre / Meltdown são reunidos antes de serem introduzidos no kernel principal do Linux

Fonte

Até a próxima!!

Nenhum comentário:

Postar um comentário