Błąd we wszystkich procesorach Intela

hardware
Intel
procesory
Marcin Kowalski
04.01.2018 Marcin Kowalski

Coraz więcej mainstremowych mediów informuje o poważnym sprzętowym błędzie we wszystkich procesorach Intela. Jedynym procesorem, którego nie dotknął ten problem, jest pierwsze Pentium – to z 1993 r.

Błąd umożliwia dostęp do pamięci kernela procesom uruchomionym przez użytkownika. Oznacza to, iż teoretycznie – a patrząc na tempo i skalę łatek pewnie i praktycznie – daje możliwość dostępu do danych, do których dostępu nie powinno się mieć. Od strony bezpieczeństwa można określić taką sytuację jako „lekko” niepożądaną. Zagrożeni są wszyscy, od desktopów do wielkich chmur.

W chmurach podatność z dużą dozą prawdopodobieństwa skutkuje możliwością przejęcia kontroli nad matką z poziomu maszyny wirtualnej. O ile w gigantycznej chmurze publicznej ciężko mówić o ataku celowanym w konkretną maszynę wirtualną, tak atak na samą chmurę i np. kopanie na niej kryptowaluty jest już jak najbardziej wyobrażalny.

Łatki są niestety bardzo kosztowne, natomiast ze względu na istotę błędu nie ma możliwości naprawienia mikrokodu procesora. W związku z powyższym łatane będą poszczególne systemy operacyjne – nieeleganckie, nieefektywne, bardzo nieładne rozwiązanie.

Zależnie od aplikacji, strata wydajności wynosi od 5 do ok. 50%. Z biznesowego i technicznego punktu widzenia właśnie cofnęliśmy się o cztery lata, jeżeli chodzi o moc CPU. Łatki w dużym skrócie wydzielają pamięć kernela od reszty systemu, przez co przy każdym zadaniu, które wymaga wykonania przez kernel (np. zapis na dysku, nawiązanie komunikacji sieciowej), potrzebne jest wyczyszczenie pamięci cache procesora.

Ponieważ najbardziej podatne są zadania, w których często następuje przełączenie zadania na kernel, istnieje duża obawa, że wydajnościowo ucierpią zadania, w których Linux służy do serwowania plików (wszystkie nowoczesne zastosowania z dyskami NVMe) albo jako urządzenie sieciowe.

Łatki dla systemów Linux są już gotowe. Dla bezpieczeństwa na ten moment dotyczą wszystkich procesorów także innych producentów, ale według informacji i testów procesory AMD nie są zagrożone podatnością. Łatki dla wszystkich użytkowników Windows mają pojawić się razem z najnowszym patchem.

Amazon, Google, VMware i Azure zapowiedziały przerwy w działaniu i okna serwisowe w pierwszej połowie stycznia lub stosowne patche. Na ten moment nie ma jeszcze żadnych informacji, jaki wpływ na wydajność systemów klientów będą miały łatki, ale najprawdopodobniej trzeba liczyć się z odczuwalnym spadkiem wydajności (np. 20% dla postgreSQL).

 

Biznesowym okiem:


Jak wspomniałem wyżej, błąd ten cofa nas o ok. 4-5 lat, jeżeli chodzi o wydajność CPU. 5-50% to bardzo dużo. Procesory w dużych instalacjach są tylko niewielkim elementem infrastruktury, a konieczność zwiększenia ich wielkości pociąga za sobą rozbudowę RAM, Storage, Sieci itd. Na ten moment nie ma procesorów Intela, które nie są dotknięte tą podatnością.

Mniejsza wydajność to wyższe rachunki. Jeżeli nie da się ograniczyć zapotrzebowania na moc obliczeniową, to nie ma innego sposobu rozwiązania problemu niż zwiększenie wydatków.

Ponieważ błąd nie jest obecny na procesorach AMD, być może po raz pierwszy od dawna to „zieloni” będą preferowanym wyborem generacji procesorów.

Marcin Kowalski
Marcin Kowalski marcin.kowalski@dataspace.pl Od ponad 10 lat pomagam administratorom i klientom. Serwery, urządzenia sieciowe, kolokacja, rozwiązywanie problemów i tworzenie nowych produktów.
General
Jak podejść do wyboru serwera: serwer dedykowany, VPS czy chmura?
General
Formaty dysków SSD