Фундаментальная ошибка проектирования всех современных процессоров Intel, выпущенных за последние 10 лет, заставила (https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/) разработчиков Linux и Windows (https://twitter.com/aionescu/status/930412525111296000) в срочном порядке переписывать значительные куски кода ядер для того, чтобы закрыть недавно открытую в них уязвимость. Архитектура ARM64 так же подвержена уязвимости (https://lwn.net/Articles/740393/).
Детали уязвимости находятся под эмбарго до тех пор, пока не будут выпущены исправление, которое намечается на середину января 2018 года, когда выйдет новое ядро Linux и ежемесячное обновление безопасности для Windows. Проблема возможно (http://pythonsweetness.tumblr.com/post/169166980422/the-myst...) уже исправлена в ядре 4.14.11, учитывая огромный размер инкрементного патча (229 KiB).
По известным сейчас данным, обход этой аппаратной проблемы может привести к падению производительности приложений на процессорах Intel от 5 до 30% и даже до 63% (https://twitter.com/grsecurity) на некоторых задачах. Более новые чипы от Intel имеют в своём арсенале возможности, позволяющие сократить провал в производительности при применении исправления.
Суть уязвимости, скорее всего, заключается в том, что процессоры Intel при спекулятивном выполнении кода не выполняют проверки на безопасность инструкций, которые позволяют читать сегменты памяти, что позволяет любому пользовательскому приложению получить доступ к памяти ядра, тем самым позволяя прочитать закрытые данные, такие как ключи шифрования и пароли. Большую опасность проблема также представляет для систем виртуализации, так как позволяет получить доступ к памяти вне гостевой системы.
Для решения проблемы разработчикам ядер пришлось полностью разделить память ядра и память пользовательских приложений, однако такое решение приводит к серьёзному падению производительности из-за постоянной необходимости замены указателей на память.
Разработчики ядра Linux в шутку предлагали следующие аббревиатуры (https://lkml.org/lkml/2017/12/4/709) для новой модели разделения памяти ядра и пользовательских процессов: User Address Separation (*_uass) и Forcefully Unmap Complete Kernel With Interrupt Trampolines (fuckwit_*), однако остановились на Kernel Page Table Isolation (kpti_*).
Разработчики из GRSecurity протестировали патчи и увидели огромное (https://twitter.com/grsecurity) падение производительности. Разработчики PostgreSQL отметили (https://www.postgresql.org/message-id/20180102222354.qikjmf7...) падение производительности на 23%.
Компания AMD утверждает, что её процессоры уязвимости не подвержены (https://lkml.org/lkml/2017/12/27/2). Работа над исправлением уязвимости в других операционных системах так же активно ведётсяURL: https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/
Новость: https://www.opennet.ru/opennews/art.shtml?num=47849
Капец блин... Как раз думаю какой проц брать, от Intel или AMD, выбор очевиден.
А в следующий раз найдут супер уязвимость в процессорах АМД, какой будет выбор? WinCHIP? :)
VIA
Во имя железных богов, конечно же надо брать Эльбрус!
Вынуть ЦП из "Ну погоди!"
Пойду сдувать пыль с БК-0010.01 на 1801ВМ1.
Компьютер моего детства. Ням.
> Вынуть ЦП из "Ну погоди!"А что, он масочный, так что ничего кроме ну погоди не умеет и уметь не будет. Диагноз? Проц неуязвим к хакерским атакам.
Когда это в последний раз в AMD обнаруживали подобные ошибки, которые не фиксятся простым патчем процессора?
Убожеству AMD Barcelona уже 11 в этом году, эту одну гигантскую ошибку расхлёбывают до сих пор.
https://gmplib.org/#STATUS> Ryzen CPU caution: The AMD Ryzen 5 and 7 CPUs sold up until at least November 2017 have serious bugs which make any software run very unreliably. One experiences spurious segfaults and system hangs from building as well as running GMP (or any other CPU intensive stuff). As of 2017-11-25 AMD still refuses to recall faulty CPUs. Instead, they replace CPUs on a case-by-case basis after asking each customer to run in exhausting circles for a few weeks. They have invented a newspeak term for these bugs, Performance Marginality Problem.
> https://gmplib.org/#STATUS
>> Ryzen CPU caution: The AMD Ryzen 5 and 7 CPUs sold up until at least November 2017 have serious bugs which make any software run very unreliably. One experiences spurious segfaults and system hangs from building as well as running GMP (or any other CPU intensive stuff). As of 2017-11-25 AMD still refuses to recall faulty CPUs. Instead, they replace CPUs on a case-by-case basis after asking each customer to run in exhausting circles for a few weeks. They have invented a newspeak term for these bugs, Performance Marginality Problem.Намеренно тестами этот баг вызывается, однако полгода сижу на райзене и случайных сегфолтов не было.
Осталось выяснить, можно ли подобный тест написать на JS. Или может новомодный WebAssembly в этом деле поможет
Попробуй компилировать софт что ли. Сегфолты ловятся на раз. Иногда падает не сам компилятор, а какой-нибудь случайный процесс. Говорят, отключение ASLR помогает.
Но до сих пор не понятно, баг ли это в µOP cache процессора, или все же в ядре ОС. Да, на Штеуде ошибок нет, но в свете подобных новостей, как эта, нельзя быть уверенным, эта "правильная" работа не связана с каким-нибудь еще аппаратным багом.
Этот баг был пофикшен без потери производительность в 3-ей AGESA
Возможно у вас лично есть доступ к каким-нибудь пока недоступным широкой аудитории версиям AGESA, но на публичной версии, известной как AGESA 1071 этот баг все еще присутствует.
> Возможно у вас лично есть доступ к каким-нибудь пока недоступным широкой аудитории
> версиям AGESA, но на публичной версии, известной как AGESA 1071 этот
> баг все еще присутствует.Я говорю о совершенно публичной AGESA 1.0.0.3
Проблема в проце, и программно не фиксится, тестил свой проц на всех Агесах включая 6ю (на ASUS PRIME X370-PRO), Полгода сидел без генты (купил в марте), затем написал в АМД - поменяли проц. Про то, что баг починили только в ноябре - гон! Где-то с середины лета людям процы начали менять на работающие.
Подробнее тут: https://www.phoronix.com/scan.php?page=news_item&px=Ryzen-Se...З.Ы. Забавно будет если с новым Виндовсом процы АМД начнут рвать Интел как тузик грелку...
Запасаюсь попкорном! =)
В догонку к предыдущему комменту, вы случаем не из Нижнего Новгорода и лабораторий Штеуд, что гоните здесь FUD.
Проц меняй и не скули.
АМД всем меняет по почте, без лишних проблем.
Новый будет 25+ недели, твой поди до 25 недели.
И чего? AMD спокойно обменивает такие процы в пределах гарантийного срока.
Будет ли интель обменивать все свои последние поделки, как ты считаешь?
Ну как бэ дефект в работе, и секурная дырка - это вещи разные.
Дырка таких размеров на дефект, требующий замены, очень даже тянет. Другое дело, что масштаб не позволит.
Ну как бэ десктопам вообще по боку. Удалено её не проэксплуатируешь.
А локально, ну так если уже выполняется зловредный код с пользовательскими правами, то это уже фейл для пользователя.
А если выполняется код в виртуалке у хостера, который в результате читает данные ядра и других виртуалок?
Так пост был про десктоп. Ты чем читаешь?
1) Это если через JS не выйдет. Или WebAssembly - тем более, там довольно прямая трансляция.2) А если только серверная проблема - то всё нормально, что ли?
> Ну как бэ десктопам вообще по боку. Удалено её не проэксплуатируешь.
> А локально, ну так если уже выполняется зловредный код с пользовательскими правами,
> то это уже фейл для пользователя.скайп уже удалил ? или щас модно про вайбер спрашивать ?
То-есть, пользователь должен отпилить от своего браузера javascript?
все свои процессоры за 10 лет?
Было бы неплохо. Будут кочевряжиться - напомнить про баг с FDIV.
Этой проблемы нет в процах выпущеных начиная с 25 недели, пора бы знать уже.
То что они там пишут проданных в ноябре - ламерство, ибо логистика и складские запасы у всех разные, у нас в магазах лежат ещё 6 недели.
К томуже там написано что райзен 3 не подвержены, так они они с 24 недели выпускаются.
Этот баг есть во всех в любых процессорах, в т.ч. и выпущенных после 25 недели. Просто AMD поставляет по RMA процессоры, с отключенным кэшем микроопераций, и так совпало, что это процессоры, выпущенные после 25 недели. Те процы, что лежат на полках магазинов подвержены багу вне зависимости от недели выпуска.
Пруфы будут?
Чото мне сомнительно что у них кеш выключен и что дело вообще в кеше было.
Дефектные Ryzen-ы попадаются и после 30-й недели, особенно те, что из Малайзии (PGS/PGT).
Когда найдут, тогда и придёшь с этим вопросом.
> А в следующий раз найдут супер уязвимость в процессорах АМД, какой будет выбор? WinCHIP? :)Эльбрус
Zilog Z80
Motorola...
Ну то есть падения производительности на 5-50% мало, надо сразу на 90?
а вот между прочим -- да, эльбрус; там параллелизм явный и править пришлось бы не декодер,а компилятор
>А в следующий раз найдут супер уязвимость в процессорах АМД, какой будет выбор?OR1k, RISC-V
Ну а в российском госсекторе и оборонке E2k, КОМДИВ, Байкал
Байкал это ARM64
Неужели так трудно посмотреть в вики и узнать что Байкал это MIPS32?
Неужели так трудно, сделать ещё один переход в википедии и узнать, что Baikal-M - это ARM64.
Кстати, сейчас они ждут прихода только инженерных образцов Baikal-M. После чего пойдут серийные. Так что, теоретически в серийных можно исправить. Если, конечно, сам ARM это исправит.
А где в том каменте буква "М"?
> Неужели так трудно, сделать ещё один переход в википедии и узнать, что Baikal-M - это ARM64.И где он, этот Байкал-М? Не факт ещё, что вообще когда-нибудь в серию пойдёт. Так что "по умолчанию" Байкал — это Т, на котором наклепали уже тысячи железок.
> Неужели так трудно, сделать ещё один переход в википедии и узнать,
> что Baikal-M - это ARM64.Остыньте, вы оба неправы, если уж бодаться :-)
Байкал -- это озеро такое. А у компании "Байкал Электроникс" есть один реализованный в кремнии процессор T1 (который MIPS32) и один, который я лично уже два года всё никак не увижу -- тот самый M, который ARMv8 (AArch64) и под который они заказывали ещё тогда порт альта (который, соответственно, давно доступен).
Говорят нормально армовый байкал в серию не пустили. Сейчас у них мипсовский вариант в производстве.
> Говорят нормально армовый байкал в серию не пустили.Ждём-с.
> Сейчас у них мипсовский вариант в производстве.
Да-с.
> Капец блин... Как раз думаю какой проц брать, от Intel или AMD,
> выбор очевиден.у амд не ясно как отключить ихний аналог intel TPM, а у интела вроде как была дыра через которую отключалось (уже закрытая ?)
Каша у тебя.
У интела нашли как отключить Intel ME.
У амд PSP.
PSP по сетке не лазает и занимается делами в пределах проца.
TPM это вообще другое.
> у амд не ясно как отключить ихний аналог intel TPMАМД, в отличие от некоторых, не крысит функционал.
https://www.overclockers.ru/hardnews/88362/amd-pozvolit-polz...
Дополнение 3: Компания Intel опубликовала пресс-релиз, в котором раскритиковала заявления некоторых изданий о том, что уязвимость специфична для процессоров Intel. Детали об уязвимости пока не раскрываются, но сообщается, что текущее состояние анализа проблемы позволяет утверждать, что она затрагивает процессоры различных производителей и многие типы вычислительных устройств, не ограничиваясь продуктами Intel.
Вот это подача!!! В первый раз радуюсь, что у меня AMD на ноуте... Хотя, как я понимаю, это "разделение памяти ядра и памяти пользовательских приложений" затронет всех. Т.о. косячит Intel, страдают все.
Ну в случае линукса можно собрать или найти ядро без этого патча, в случае винды пишется искать обновление с этим патчем и удалять его
А смысл для венды? На десктопе это и с микроскопом не заметишь, а на высконагруженном сервере... а уже смешно становится про венду.
> от 5 до 30% и даже до 63%сомневаюсь что у шинды результаты будут сильно отличаться
Ну это же в определенных высоконапряжённых сценариях, которые несовсем совпадают с десктопными.
На похорониксе тестировали, например, игры под линуксами - разницы незаметно.
Протестил вчера установкой самой актуальной на данный момент НВидиевской проприетарщины; result:PANIC: double fault, error_code: 0x0 :))
> Хотя, как я понимаю, это "разделение памяти ядра и памяти пользовательских приложений" затронет всех. Т.о. косячит Intel, страдают все.В принципе, я бы ожидал, что мейнтейнеры теперь будут делать два пакета: один для процессоров Intel с этим патчом, другой для AMD без него. Хотя конечно всё зависит от степени того, как всё перекорячили из-за Intel-а.
Зачем? Поставить "pti=on/off" в загрузчике слишком просто?
> Зачем? Поставить "pti=on/off" в загрузчике слишком просто?Зачем приглашать зонд??
Тут где-то писали, что с pti=off не полностью возвращается быстродействие. Может гонят, конечно, может - просто по причине недопила...
> Тут где-то писали, что с pti=off не полностью возвращается быстродействие.А можно просто посмореть код, а не читать, что "где-то писали" вэб-макаки?
А смысл? Будут итоговые патчи - тогда и смотреть и гонять бенчмарки. Пока - это так, языком почесать да пар выпустить.Ага, нашел - это от grsecurity. Которые те ещё макаки, но обычно чудят в обратную сторону, делая вид, что падение быстродействия незначимо. Здесь же "Even with 'nopti' on the kernel commandline, you'd be paying the cost of switching between a second kernel stack on each syscall, etc".
> А смысл? Будут итоговые патчи - тогда и смотреть и гонять бенчмарки.
> Пока - это так, языком почесать да пар выпустить.А 4.14.11, 4.9.74 и 4.4.109 для кого вчера выложили?
Из новости толком не ясно, что оно уже поправлено там. Будет время - гляну. Или кто ещё глянет быстрее и я буду избавлен от возни.
> Или кто ещё глянет быстрее и я буду избавлен от возни.А о чём тебе второй час талдычат:
>> А можно просто посмореть код, а не читать, что "где-то писали" вэб-макаки?
Прикинь, глянул: затратил на это времени на порядок меньше, чем ты потратил на посты под этой новостью.
И что ты там углядел на предмет переключения стека? А то талдычить - ты мастер, нет чтобы ссылку на дифф привести, раз уж так резво всё раскопал
$ wc -l /tmp/patches/*
7888 total
$ grep -r "^\+" /tmp/patches |wc -l
2400
> Прикинь, глянул: затратил на это времени на порядок меньше, чем ты потратил на посты под этой новостью.Всегда удивляло, почему столько гениальных или просто невероятно талантливых и знающих людей предпочитают всем остальным ресурсам опеннет.
> Зачем? Поставить "pti=on/off" в загрузчике слишком просто?grsecurity писали, что pti=off всё ещё сильно сказывается на производительности
это конечно не финальная версия патчей, но более судить пока не о чем
Расслабься, для амд отключили.
- Exclude AMD from the PTI enforcement. Not necessarily a fix, but if
AMD is so confident that they are not affected, then we should not
burden users with the overhead"
https://patchwork.kernel.org/patch/10133447/Без паники, всё нормально.
> Хотя, как я понимаю, это "разделение памяти ядра и памяти пользовательских приложений" затронет всех. Т.о. косячит Intel, страдают все.Нет. См. патч по ссылке из новости.
>> Т.о. косячит Intel, страдают все.
> Нет. См. патч по ссылке из новости.Да, патч шикарен :-]
Отказались многие от 32 бит дистрибутивов, теперь освободившееся высвобожденные челокекоресурсы можна потратить разделив х64 на 2 линейки:
x64 AMD for Intel
x64 AMD
Так то можно и под каждый проц оптимизированное ведро делать, а тот что АМД не признается в проблеме еще ни о чем не говорит...
Интересно, сравняются ли уже новые амд с интелом по производительности на ватт если действительно амд "не затронут"?
> Интересно, сравняются ли уже новые амд с интелом по производительности на ватт
> если действительно амд "не затронут"?"производительности на ватт " в чом?
Ну спасибо Intel
А помните опенбсд после того как они до закрытия эмбарго опубликовали патчи на уязвимость в вай-фай обещали больше не сообщать об уязвимостях заранее?)))
Если правда не сообщили то видимо владельцам серверов на ней после публикации эксплоита будет несладко)))
Для этого надо, чтобы 1) на ней вообще были сервера и 2) они хоть что-то делали. Так что невелика разница
ams-ix - не? :-)
Обещали не сообщать только те кто тогда баг обнаружил, а не вообще все
то-то на AWS срочно понадобилось рестартить всё и вся в Новый год.
а есть пруфы? мб где-то про это писали?
Это писали в консоли AWS. Отдельной общей странички не видел. Это обычный эвент о перезагрузке. Просто они приехали только для Linux и на четверть (из тысяч) машин разом, хотя обычно не более 5-10 в неделю.
Все LTS ветки пропатчат?
Должны
Да хорошо будет, если LTS старше 2-х лет просто закроют. Ынтырпрайз должен страдать.
А есть возможность вообще поотключать все эти системы защиты и получить прирост производительности?
хотел это же уточнить
Да, опция nopti
Не только эту конкретно, а вообще все. Я согласен на ежедневные крахи ядра и зависания, если приложения будут работать на 50% быстрее. А если будут работать на 200% быстрее, то согласен и на превращение операционной системы в практически однопроцессную-однопользовательскую. Мне не нужны на моём десктопе разграничение доступа, виртуализации и прочие серверные плюшки.
Win95 ставь.
> Win95 ставь.DOS - наше все
> DOS - наше всеС сабжем везде опять стало как в DOS - всем можно все. Только хуже. Потому что теперь еще и JS есть.
если приложения будут работать на 50% быстрее. А
> если будут работать на 200% быстрее, то согласен и на превращение
> операционной системы в практически однопроцессную-однопользовательскую.Ставь TempleOS, там всё работает в пространстве ядра.
Мне вот тоже подобное интересно. А то ASLR и прочих уже с десяток, каждая "незначимо" уменьшает производительность, а вот как там все в сумме влияют - вопрос. Вон, на новой генте ещё и (мелкими) гвоздями PIE прибили. Там оно отрывается, конечно, но это если отрывать...
Полагаю это можно попытаться проверить/заметить на какой-нибудь ОС которая ещё в сыром состоянии. Где с оборудованием сражаются вместо систем защиты.
Хотя что такого найти в голову не приходит.
Или наборот, на старых ядрах линукса.
В таких ОС, с одной стороны, к оптимизации ещё и не приступали,с другой - не реализована ещё куча вполне нужных вещей, которые тоже могут жрать производительность. В общем, выйдет сравнение яблок с апельсинами.
ReactOS?
>ASLRпод линуксом незаметно, а вот семерка с сп1 намного тормознее чем без него.
Нет такого преступления, на которое бы не пошёл пользователь ради 200 процентов увеличения производительности.
Дык. Особенно если понимать, от чего и как защищаешься, а что тебе вообще побоку
https://twitter.com/grsecurity/status/947260475305213953
Печально...
Наверное, не включать CONFIG_PAGE_TABLE_ISOLATION в ядре.
>А есть возможность вообще поотключать все эти системы защиты и получить прирост производительности?А просто отключить это спекулятивное исполнение? Есть такое подозрение, что потеря производительности от этого будет меньше, чем от полного разделения памяти.
Вернётесь к производительности уровня i486, с поправкой на частоту.
> Архитектура ARM64 так же подвержена уязвимости.А почему они эту уязвимость начали устранять еще в ноябре, а мы об уязвимости в Интелах узнаём только сейчас?
> об уязвимости в Интелах узнаём только сейчас?Ну чтоб продажи не испортились :D С начала года обычно все равно затишье по покупкам.
Менеджменту Интела надо было успеть скинуть акции без шума и пыли.
Phoronix говорит, что, возможно, AMD тоже иязвимы
https://www.phoronix.com/scan.php?page=news_item&px=x86-PTI-...По крайней мере, workaround в ядре работает и для Intel, и для AMD. Перформанс падает и там, и там
Базовое знание логики могло бы тебе подсказать, что падение производительности при применении данного патча не позволяет сделать вывод о наличии уязвимости.
Из того, что производительность падает на AMD не означает что AMD тоже подвержена уязвимости. PTI убирает маппинг страниц памяти ядра из юзерспейс контекста т.к. Интел процессоры не могут быть доверенными не разрешать rw доступ в ядро. Этот подход снизит производительность на любом CPU чисто потому что при каждом переключении контекста надо сбросить маппинг юзерспейса и замапить ядро, после того как работа в ядре выполнена - сбпросить маппинг ядра и замапить юзерспейс. Такой подход всегда будет медленнее чем переклюение маппинга ядра с ro на rw.
Спасибо за развернутый ответ. Но тогда не понятно, почему бы ядру не делать if AMD then nopti
Именно это по одной из ссылок в новости и происходит https://lkml.org/lkml/2017/12/27/2
> Но тогда не понятно, почему бы ядру не делать if AMD then noptiАнтимонопольный комитет вмешается и не позволит убрать замедляющие работу AMD инструкции. Так надо - чтобы конкуренция была честной.
так толсто что аж тонко. Браво.
https://lkml.org/lkml/2017/12/27/2Процитирую:
- /* Assume for now that ALL x86 CPUs are insecure */
- setup_force_cpu_bug(X86_BUG_CPU_INSECURE);
+ if (c->x86_vendor != X86_VENDOR_AMD)
+ setup_force_cpu_bug(X86_BUG_CPU_INSECURE);
fpu__init_system(c);Короче говоря, Штеуд накосячил, а страдать снова будут все.
ещё проще:}
autosel:
+ if (boot_cpu_has(X86_VENDOR_AMD))
+ return;
if (!boot_cpu_has_bug(X86_BUG_CPU_INSECURE))
return;
enable:
> ещё прощеА вот ребята решили, что проще и лучше сразу считать все процессоры конструктивно небезопасными. В известном смысле — они правы. Новости-то одна другой лучше.
Окстятся, куда они денутся. Быстрофиксы - они часто такие, а дальше будет детальная проверка не только производителя, но и конкретной модели.
> А вот ребята решили, что проще и лучше сразу считать все процессоры
> конструктивно небезопасными.Многие из этих "ребят" на зарплате у Интеля.
Поэтому:> В известном смысле — они правы.
>> А вот ребята решили, что проще и лучше сразу считать все процессоры
>> конструктивно небезопасными.
> Многие из этих "ребят" на зарплате у Интеля.
> Поэтому:
>> В известном смысле — они правы.Да. Тем не менее, для быстрофикса это самое правильное решение. Засудить Штеуд до банкротства ещё успеется (надеюсь).
>Засудить Штеуд до банкротстваНаш сказочник всем сказочникам - сказочник! :)
Нихрена им не будет. Впервые что ли ...
Пока компании-заказчики не теряют миллионы, Штеуду сходит с рук. А тут, похоже, случай уже неоперабельный и может вылиться в кучу исков с конкретными цифрами претензий.
> в кучу исков с конкретными цифрами претензий.Интересно, с какой аргументацией?
Оно работает? Работает! Медленнее (или с дырой)? А разве где-то официально обещали конкретные циферки или именно невозможность чтения памяти в <cписок-ситуаций-и-условий>?И нет серьезных конкурентов, которые могли бы воспользоваться ситуацией и не только с фанфарами преподнести все в понятном виде неайтишникам, но и мусолить эту тему достаточно долго, чтобы переманить большую часть пользователей. Чтобы при виде наклейки "intel inside!" на девайсе покупатель в первую очередь думал об "эпическом продолбе в течении 10 лет" и искал девайс с чем-то другим.
В некотором смысле интел, к сожалению, "too big to fail".
> Многие из этих "ребят" на зарплате у Интеля.Note that the implementation of a modern processor involves millions of lines of HDL code [55] and verification of functional correctness for such processors is still an unsolved problem.
> https://lkml.org/lkml/2017/12/27/2
> Процитирую:
>- /* Assume for now that ALL x86 CPUs are insecure */
- setup_force_cpu_bug(X86_BUG_CPU_INSECURE);
+ if (c->x86_vendor != X86_VENDOR_AMD)
+ setup_force_cpu_bug(X86_BUG_CPU_INSECURE);
fpu__init_system(c);> Короче говоря, Штеуд накосячил, а страдать снова будут все.
Перечитай патч внимательнее.
> Перечитай патч внимательнее.Я не слепой. Это фикс быстрофикса. А быстрофикс немножко другой — уравнительный. AMD уже, говорят, по этому поводу высказалась.
Уже и Линус высказался https://lkml.org/lkml/2018/1/3/797
Прямо и по существу, а не сопли жуёт как некоторые профессора.
> Уже и Линус высказался https://lkml.org/lkml/2018/1/3/797
> Прямо и по существу, а не сопли жуёт как некоторые профессора.Всё правильно говорит.
Как интересно они назвали бекдор...
Говорил же - Эльбрус надо ставитьфон Нейман машет ручкой...
Время молиться архангелу Михаилу, чтобы тот быстрее портировал базальт!
Предлагаю для верности провести крестный ход.
На процессоре сделать ножки "крестный вход" и "крестный выход"
>Эльбрус надо ставить
>фон Нейман машет ручкой...так он же машет ручкой не Эльбрусу а Мультиклету (кстати как там у него дела знает кто?)
успешно переехали на LLVM 5.0 с ростом производительности в тестах
http://multiclet.com/community/boards/4/topics/1687?r=1796#m...
Ещё в силу того что государство в лице Роснано сказало "мультиклет нинужен", парни сделали такой мув: http://multiclet.com/community/boards/3/topics/999?r=1794#me...Тема 999, Darkcoin... Совпадение? Не думаю, Мвуааахахаха...
> кстати, как там у него дела?правильнее спросить - кстати где он?
Процы интел гораздо чаще используются, гораздо больше глаз смотрят за дырами. Использование эльбруса не гарантирует, что в нем нет бОльшей дыры.
> Использование эльбруса не гарантирует, что в нем нет бОльшей дыры.Зато на него нет софта, поэтому и дыры не страшны.
> Зато на него нет софта, поэтому и дыры не страшны.да запускается там ваш вантуз, не плачьте
> Процы интел гораздо чаще используются, гораздо больше глаз смотрят
> за дырами.Гм, а почитайте про разницу между CISC и VLIW -- и отдельно про этот самый декодер инструкций... вдруг начнёте догадываться, сколько примерно туда глаз вообще может смотреть.
> Использование эльбруса не гарантирует, что в нем нет бОльшей дыры.
Предмет новости -- недекларированная возможность. Вот от этих буковок и предлагаю начинать копать матчасть по обоим вариантам.
> Предмет новости -- недекларированная возможность. Вот от этих буковок и предлагаю
> начинать копать матчасть по обоим вариантам.Рассуждать с проприетарным компилятором за недекларированные возможности - это как будучи проституткой рассуждать за девственность.
> Рассуждать с проприетарным компилятором за недекларированные возможности - это как будучи
> проституткой рассуждать за девственность.Уточню только: компилятор не проприетарный, а "спроприетаренный".
>> Рассуждать с проприетарным компилятором за недекларированные
>> возможности - это как будучи проституткой рассуждать
>> за девственность.
> Уточню только: компилятор не проприетарный, а "спроприетаренный".Вы могли бы что-то уточнить, если бы что-то понимали. А так под описание даже icc не подходит.
Ну а если б умели соображать, тогда бы и в лужу усаживаться не стали...
За последние 10 лет процессоры, если не считать ядер, только и дали прирост производительности приложений на процессорах Intel от 5 до 30% и даже до 63% на некоторых задачах...
Нужно срочно продать таких ещё устаревших процессоров, но по новым ценам
Теперь вы знаете, за счёт чего получился этот прирост.
Ну зачем же так врать? Даже при примерно равных частотах для intel разница в два и больше раз в single thread. А ведь увеличение пределов тактовой частоты это тоже важная составляющая усовершенстования процессоров.
Зато где надо просто работу работать в многозадачной среде, камушки типа AMD FX о восьми ядрах (ну хорошо — четырёх модулях) — пашут аки бульдозер.
Это что ж вы так бенчмаркали, что у вас более двух раз на одинаковой частоте в одном треде? Влажность? Пруфы плиз.
Про увеличение пределов тактовой частоты... тык среднестатистические частоты в 3 ГГц номинальных были ещё 10 лет назад. А разгоняли и того веселее при наличии должного охлаждения.
Так что я вижу существенный прирост везде, кроме процессоров. Там только ядер нарастили. ОЗУ удвоил, винт заменил на SSD - разницы между старичком и свежесобранным в повседневных задачах стало резко незаметно.
AVX2 потесть перед такими утверждениями...
Это та специфическая фигня, которая пытается делать вид, что у вас не процессор, а GPGPU и при этом греет всё и вся, да ещё идёт в куче вариантов? Нет, вы уж сами как-нибудь.
> Нет, вы уж сами как-нибудь.Не могу, у меня лиш 55% 1го AVX, так как AMD FX. :D
Тем не менее кое где ускоряет знатно. Благодаря этому (частично) Фикусы и обскакали полноценных фенов, имея 4 FPU против 6 у фенов.
> Это что ж вы так бенчмаркали, что у вас более двух раз на одинаковой частоте в одном треде? Влажность? Пруфы плиз.У меня нет дома intel процессоров, так что я просто глянул на https://www.cpubenchmark.net/
> Про увеличение пределов тактовой частоты... тык среднестатистические частоты в 3 ГГц номинальных были ещё 10 лет назад. А разгоняли и того веселее при наличии должного охлаждения.
Мне тебе прочитать лекцию о том, что пределы частоты связаны с ядром процессора и объяснить почему четвертый пень при равных частотах сливал третьему, а у корок частота в момент выхода была в два и более раз ниже четвертого пня?
https://www.cpubenchmark.net/compare.php?cmp[]=846...
Вот как раз и выходит в два с небольшим раза. Не на такт конечно (имхо не правильно в данном контексте привязываться к частоте), но и не за 10, а всего за 7 с половиной лет. За 10 уверен разница будет даже больше и даже с учетом частоты, ибо в тот период и конкуренция была сильнее и прогресс производительности значительней.
> https://www.cpubenchmark.net/compare.php?cmp[]=846...
> Вот как раз и выходит в два с небольшим раза. Не на
> такт конечно (имхо не правильно в данном контексте привязываться к частоте),
> но и не за 10, а всего за 7 с половиной
> лет. За 10 уверен разница будет даже больше и даже с
> учетом частоты, ибо в тот период и конкуренция была сильнее и
> прогресс производительности значительней.Количество ядер правильно сощитал?
>> https://www.cpubenchmark.net/compare.php?cmp[]=846...
>> Вот как раз и выходит в два с небольшим раза. Не на
>> такт конечно (имхо не правильно в данном контексте привязываться к частоте),
>> но и не за 10, а всего за 7 с половиной
>> лет. За 10 уверен разница будет даже больше и даже с
>> учетом частоты, ибо в тот период и конкуренция была сильнее и
>> прогресс производительности значительней.
> Количество ядер правильно сощитал?А при чем тут количество ядер, когда речь про произвоительность на ядро? Смотри Single thread rating. По суммарной производительности так и вовсе в 3 раза, т.к. ядер в полтора раза больше.
Интел, конечно, молодцы. Куда там яблоку с его маркетинговым занижением производительности!
И второй вопрос. Если процессоры теперь проигрывают по перфомансу даже в тех задачах, на которые они рассчитаны, то зачем они нужны и как загрузить полноценный дистрибутив с DE и прочим софтом сразу на видеокарте =)
Не процы проигрывают, а процы intel.
Теперь его процы не только дороже amd, но и слабее по производительности.
В магазин давно смотрел на цены? Или продолжаеш жыть позавчерашним днем?
Посмотрел на цены, посмотрел на комментарий - подумал, что кое-кому нужно грамматику подтянуть.
так а кто сказал что в видеоядре нет каких нить багов ))
А в видеоядрах вообще есть хоть какое-то подобие MMU?
> А в видеоядрах вообще есть хоть какое-то подобие MMU?В GCN-ах есть. Как и paging. А еще по хорошему IOMMU есть. На пути девайсы -> DRAM. А то мало ли по какому поводу девайс решит вынести мозг системе через DMA. От этого paging в девайсе не спасет, он для тамошнего проца и тамошней памяти.
Но, насколько я понимаю, в видеокартах отсутствуют все те 100500 защит, благодаря которым тот же браузер, например, можно (отностиельно) безопасно запустить хотя бы в сандбоксе, лол.
> Запуск всего на видеокартеЭх.. мечты, мечты.. Я бы тоже так хотел..
Чтоб Только видяха и только память и есть весь комп..
Но у видяхи же своя память на борту. У S3 Virge к тому же она съёмная была - вот было раздолье для тюнинга.
Что-то слышно от разработчиков FreeBSD, OpenBSD по этому поводу?
https://docs.freebsd.org/mail/current/freebsd-security.html
OpenBSD пересобирает ядро при каждом запуске не от хорошей жизни, плюс рандомизация адресного пространства. Но конечно єто не ответ на конкретный случай. :)
там несколько разработчиков ушли из жизни... обещали вернуться
М-м-м, а Интелу через обновление микрокода никак не исправить проблемы?
> М-м-м, а Интелу через обновление микрокода никак не исправить проблемы?Блиииин! Как же мы раньше не догадались?
Всё ребята, расходимся патчи можно выбрасывать на помойку.
Мой вопрос либо умный либо глупый. Устраивает любой из вариантов. :)
Глупый. Если бы можно было микрокодом, давно бы сделали.
Да и вообще попахивает реализованым в железо таким себе эксплоитом, особенно в роли интел и арм.
Скорее всего Пентиум4-маркетологов не уволольняли, а просто отправляли в отпуск.
Спекулятивное выполнение кода -- это "провода на камне"
Спасибо.
> М-м-м, а Интелу через обновление микрокода никак не исправить проблемы?Это уже совсем другой вопрос - сколько добра там у них в микрокоде.
Особенно с учётом размера микрокода.
> даже до 63% на некоторых задачахУже кто-нибудь написал, что ссылка ведет на твитер grsecurity, которые какой-то фигней страдают?
К ним были моральные и юридические претензии. Против уровня их профессионализма, кажется, никто не высказывался.
Всего-то Линус высказывался...
> Всего-то Линус высказывался...Security morons наносят ответный удар? :-)
> Против уровня их профессионализма, кажется,
> никто не высказывался.Их патчи до сих пор не могут до конца перенести в мейнлайн, видимо, исключительно по причине слишком высокого профессионализма.
В эту помойку? Да, сложно.
> любому пользовательскому приложению получить доступ к памяти ядраДа и вообще, все сводится к одному и тому-же -- нефиг запускать все подряд.
Многим нужна винда для запуска какого-нибудь гос-софта. И выходит что виртуалка ни разу не панацея.
Если режим полной эмуляции архитектуры (программная интерпретация каждой машинной инструкции), то панацея.
Надеюсь вы JS в броузере уже отключили?
А чего только JS? Уязвимость можно через любой загружаемый контент проэксплуатировать, если есть дыра в его интерпретаторе. Но через JS проще всего — возможностей при интерпретации больше, потенциальных дыр тоже.
>Разработчики Linux и Windows работают над закрытием огромной уязвимости в процессорахА почему только Вынь и Линь? Маки с 2006 года на интелах все…
Да кому нужны эти геirustы.
> Маки с 2006 года на интелах все…У них всё проще: они привычно расслабятся и попытаются получить удовольствие.
>>Разработчики Linux и Windows работают над закрытием огромной уязвимости в процессорах
> А почему только Вынь и Линь? Маки с 2006 года на интелах все…Может быть Apple уже заменили ядро на Linux, так что теперь они плюют в потолок и ждут, когда им готовое решение на блюде предоставят? :)
PS: впрочем, поговаривают же, что у них там микроядро в каком-то виде; так что вполне возможно, что эта проблема их попросту не затронула.
> PS: впрочем, поговаривают же, что у них там микроядро в каком-то виде;
> так что вполне возможно, что эта проблема их попросту не затронула.Не только поговаривают, а оно и есть, но не совсем микро-, а скорее гибридное — XNU:
https://en.wikipedia.org/wiki/XNU
http://osxbook.com/book/bonus/ancient/whatismacosx/arch_xnu....
https://developer.apple.com/library/content/documentation/Ma...
Эпплы всегда об уязвимостях молчат до последнего - пока не раскатят обновление. Да и в changelog-ах там будет что-нибудь типа critical security update без детализации.
Эплы готовят ОС только для компьютеров собственного производства — к чему им выпячиваться?
Ну у них вполне детальные детализации по секурным заплаткам. Торопиться вполне возможно, что и не будут особо. Их проблема всё же меньше касается, чем линуксовых серверов.
Дык после захода рутом с пустым паролем то ... нынешний баг - так, семечки :)
Ну и то касалось только корпоративных пользователей.
Зайти-то с рутом с логин экрана не было возможности, а только повысить привелегии не рутового пользователя можно было.
Вектора, что там, что тут ну нет практичного для проведения атаки.
А у Apple уже зафикшенно было
Ну воот. А я последние 2 компа на хасвеле и скайлейке собрал.
Они придумали новый бэкдор и раскрыли старый. Все смартфоны и тиви на ARM64 протухли.
> Они придумали новый бэкдор и раскрыли старый. Все смартфоны и тиви на
> ARM64 протухли.Почему же протухли? Порутать и установить запатченое ядро, чтобы копирасы не прорвались.
Все время на AMD. Привет!
у меня тоже амд, но "Меня терзают смутные сомнения — на вас точно такая же замшевая куртка, как у Шпака" ©
> у меня тоже амдОт венды головного мозга тебя это не спасает.
Таки интель скоро подешевеет?
Вы про процессоры или про корпорацию?
Разницы-то нет?
А так про процессоры речь шла
Ещё и подорожают - Cyrix (20 лет как упразднен) сегодня раритет, например
> Ещё и подорожают - Cyrix (20 лет как упразднен) сегодня раритет, напримерСейчас часть Cyrix входит в компанию Via .X86 процессоры они не забросили, но 90% ихних продаж это чисто OEM для промышленного применения .
> Ещё и подорожают - Cyrix (20 лет как упразднен) сегодня раритет, напримерVIA как раз обещает на китайских мощностях сделать и выкатить в ближайшие пару лет камни актуального по производительности уровня.
Да ну щаз! Теперь чтоб обеспечить ту же производительность нужно больше интель-процессоров!
Да и энергетические компании воспряли духом.
Скорее выйдут процы без этой уязвимости, и будут стоить дороже, т.к. типа работают на % быстрее
С учетом того, что бага в процессоре, то будет возможно удаленная атака. Ремоте коде эксекьюшен.
Надеюсь об этой уязвимости никогда не расскажут подробностей, потому что не все будут обновляться, и будет АД.
Например, учитывая особенность работы протокола udp, будет эксплоит, который будет слать специально сформированный пакет с порта N на порт 53 на целевую машин, где N будет меняться от 1 до 65536 в цикле.
> С учетом того, что бага в процессоре, то будет возможно удаленная атака.
> Ремоте коде эксекьюшен.
> Надеюсь об этой уязвимости никогда не расскажут подробностей, потому что не все
> будут обновляться, и будет АД.
> Например, учитывая особенность работы протокола udp, будет эксплоит, который будет слать
> специально сформированный пакет с порта N на порт 53 на целевую
> машин, где N будет меняться от 1 до 65536 в цикле.Судя по нику ты ещё и шутник!
Начинался 2018 год.
Инженеры AMD по быстрому проверили и вздохнули : "Пронесло вроде!"
Маркетологи AMD поперхнулись шампанским. Надо же! В преддверье массового старта продаж серверных EPYC и придумывать ничего не надо.А в это время Эндрю Таненбаум, нежно поглаживая микроядро, прослезился с мыслью : "А вы говорили, переключение контекста долгое!".
Я боюсь, Windows 10 на Pentium4 встанет колом после очередного обновления и закрытия уязвимости этой дыры. И придётся покупать новый компьютер для замены пишмашинки, которая могла бы ещё работать и работать в своём амплуа. Расходы...
Там Фороникс протестил оперативно игрушки, разницы нет. Десктопы ничего и не заметят.
Это до какой степени надо ненавидеть амудэ и молится на интел, чтобы такую ерунду придумать. Да уж, маразм крепчал.
История вымышленная , все совпадения - случайны.
А сам я админ локалхоста на AMD.
Это надо быть тронутым на микроядрах
всё в порядке с его переключением контекста, ME эти патчи не затронут.
> : "А вы говорили, переключение контекста долгое!".ME никуда не торопится - вторил профессору Интел...
>ARM64
>IntelПривет, Apple, теперь не только вы будете господином.
> Привет, Apple, теперь не только вы будете господином.У них своя микроархитектура ядер ARM64, как и у многих из чипов Qualcomm.
Может оказаться, что их ARM64 ядра не подвержены этой уязвимости, как получилось с чипами AMD.
Спекулятивное выполнение сами пилили? Смешно
Да я всё понимаю, но сомнительно как-то. Архитектура, тем более приличная, не делается ни за год, ни за два - не зря их там мало на рынке. Так что полагаю, что своего там всё же минимум. А конвейер и всё вокруг него - это ж, фактически, самая нетривиальная часть. С чего бы у них получилось именно его сделать самим? Не верю.Qualcomm - дело другое, у них специалистов и экспертизы до чёрта.
> Да я всё понимаю, но сомнительно как-то. Архитектура, тем более приличная, не
> делается ни за год, ни за два - не зря их
> там мало на рынке. Так что полагаю, что своего там всё
> же минимум. А конвейер и всё вокруг него - это ж,
> фактически, самая нетривиальная часть. С чего бы у них получилось именно
> его сделать самим? Не верю.
> Qualcomm - дело другое, у них специалистов и экспертизы до чёрта.Во-первых, раньше у ARMа можно было купить либо готовое IP ядер, либо архитектурную(ISA) лицензию. И ничего переделывать или реверс-инжинирить там было нельзя. И только недавно они создали новую лицензию "BoC"(Built on Cortex), в которой есть возможность вносить _мелькие_ микроархитектурные изменения. Причём, вносит эти изменения сам ARM Holdings, по просьбе заказчика. Самостоятельно заказчик ничего менять не может.
Во-вторых, никто толком не знает сколько времени Apple разрабатывал своего первенца(Cyclone).
Ну и с их, можно сказать, неограниченным бюджетом, они могли себе позволить перекупать практически любых высококлассных специалистов в области дизайна процессоров.Ну и наконец, если бы они что-то украли у ARM Holdings, то могли бы понести колоссальные потери, как материальные, так и репутационные.
В итоге, они имеют самые быстрые мобильные ARMv8 ядра в мире. И это говорит вам совсем не "яблофил", скорее даже наоборот.
Похоже, что зафакапятся в разной степени все, у кого есть speculative execution.
ARM Holdings уже признали проблему в своих OoO ядрах. В AMD, похоже, тоже не всё так гладко.
> ARM Holdings уже признали проблему в своих OoO ядрах. В AMD, похоже,
> тоже не всё так гладко.Похоже хакеры были первыми на планете кто понял как нестандартно применять принцип множественных миров. Вот ты идешь, идешь, и тут опа - тебя зашибает рояль из параллельной вселенной. Подождите, они квантовую неопределенность хакнут, во будет веселуха.
> Да я всё понимаю, но сомнительно как-то. Архитектура, тем более приличная, не
> делается ни за год, ни за два - не зря их
> там мало на рынке. Так что полагаю, что своего там всё
> же минимум. А конвейер и всё вокруг него - это ж,
> фактически, самая нетривиальная часть. С чего бы у них получилось именно
> его сделать самим? Не верю.C того что «списать» неоткуда.
А6 делали 2 года, а последующие уже 3 года (весь SoC).
Все современные «большие» ядра это усовершенствование Cyclone (первое ARMv8 ядро в мире).
Его начали разрабатывать в 2010г, ещё до того момента как ARM анонсировал 64 бит ISA.
Начиная с A7 Cyclone ядро декодирует и запускает 6 команд за такт.
Это жирно даже для Intel, ровно как никто не может сделать OoO такого уровня среди ARM лагеря.
Шире только VLIW.> Qualcomm - дело другое, у них специалистов и экспертизы до чёрта.
Только это не помогает им делать быстрые мобильные чипы. Да в принципе и серверные не помогает.
У инженеров Apple, которые делали Alpha, Power, Strong ARM, х86 нет экспертизы? :-)
AMD тоже пометили как Insecure.
> AMD тоже пометили как Insecure.AMD прислали патч, который это отменяет.
Куплю третий пень.
> Куплю третий пень.продам Athlon 4000+ с мамкой и памятью.
>> Куплю третий пень.
> продам Athlon 4000+ с мамкой и памятью.Ну с Атлоном все ясно, а что там с памятью? Какая и сколько? А с мамкой? Борщ хорошо варит?
Если скальпировать и освежить термопасту, борщ получается тёпленьким.
Microsoft собирается выпускать для Windows 7? Что-то я не помню чтоб выпускали для WPA2 исправление.
да будет, куда они денутся. Если ты про уязвимость KRAСK. То и для Windows 7 тоже выпускали исправление.
номер обновления можешь написать?
> Что-то я не помню чтоб выпускали для WPA2 исправление.Плохо помнишь. Даже для XP выпустили, в виде исключения. 7 ещё поддерживается, так что обязаны выпустить фикс.
Ой, я попутал. Это про ваннакрай было.
Дыра WPA2 клиентская же была, я со своими десктопами не искал инфы даже. На роутер мой фикс только для режима подключения к другим точкам, в режиме роутера нечего закрывать.
хе-хе, а кто сказал, что это уязвимость? :D
может оно изначально так и задумано интелем by-design
Ага, конечно. Тогда и EternalBlue тоже by-design. На случай экстренного удаленного доступа к машине придумали, вот молодцы то, спасибо им))) За половину зашифрованной планеты отдельная благодарность)))
Вангую что в течении недели после выхода патча будет криптоконец в продакшине. Зареверсят и эксплоит замутят) Еще портируют WannaCry под Linux)
> Еще портируют WannaCry под Linux)Давно портировали. Вполне успешно заражал линуксовые НАСы
>> Еще портируют WannaCry под Linux)
> Давно портировали. Вполне успешно заражал линуксовые НАСыПруф будет, конечно же?
https://xakep.ru/2017/07/19/shellbind/ЗЫ: я вот не понимаю, в каком бункере сидят местные комментаторы.
> Архитектура ARM64 также подвержена уязвимости.Все ли ARM64 CPU подвержены? Raspberry Pi Model B подвержена?
> Raspberry Pi Model BОсобенно интересует Raspberry Pi 3 Model B
Судя по https://developer.arm.com/support/security-update процессор Cortex A53 не подвержен.Да и в любом случае, 64-битного ведра в репозиториях нет.
Хуже всего, что "фикс" имеет огромное значение именно для прерываний и сисколов. Т.е. основной удар придётся по приложениям, которые мало считают, но много обмениваются с сетью и диском. Софтроутеры, веб-серверы, и т.п.
Наверное, госуслуги потекут, хотя сейчас ушлые ЦОД продают персональные или мета- данные кому угодно
Геймеры, играющие в игры с Denuvo, будут "рады" 50-процентному падению производительности :)
> Геймеры, играющие в игры с Denuvo, будут "рады" 50-процентному падению производительности
> :)На играх скорее всего не скажется - они больше считают, чем обмениваются с сетью и диском, доля сисколов мала.
А вот серверам, обслуживающим тонны клиентов - веб, почтовикам, балансерам, роутерам и т.п., придётся несладко.
> переработка требует модификации критических частей ядра и приводит к падению производительности приложений от 5 до 30%Офигеть, гребаный интел. Платишь за троянского коня Intel ME, еще и критические уязвимости получаешь, а теперь еще и снижение производительности на треть. Браво, интел!
> Офигеть, гребаный интел. Платишь за троянского коня Intel ME, еще и критические
> уязвимости получаешь, а теперь еще и снижение производительности на треть. Браво,
> интел!Очень надеюсь, что старые ксеоны не подвержены. Впрочем, уже добил себе в тасклист отключение этого "фикса" на фронтэндах, как только он появится.
> Очень надеюсь, что старые ксеоны не подвержены. Впрочем, уже добил себе в
> тасклист отключение этого "фикса" на фронтэндах, как только он появится.Клиентам VPS у всех придётся страдать, конечно, нагрузка на шареные CPU подрастёт, а без увеличения ценничка никто их переносить на большее число машин не будет.
> Очень надеюсь, что старые ксеоны не подвержены.подвержены-не-подвержены -- а код для обхода будет включен и на них тоже
> Впрочем, уже добил себе в тасклист отключение этого "фикса" на фронтэндах, как только он появится.
ну это ты как хочешь :-) -- можешь добавить себе в тасклист сразу и "выставить 777 на все файлы и каталоги" и "на root поставить пароль 12345678".
думаешь мы тебя будем тут всем опеннетом отговаривать чтоль? твой же ксеон -- значит инсталлируй в него какие хочешь дыры :-D
> тасклист отключение этого "фикса" на фронтэндах, как только он появится.Название хостинга скажи, главное. Наверняка желающие купить весь парк машин и хост по цене одной в очередь построятся.
"Фундаментальная ошибка проектирования"Как изящно названа АНБшная закладка... :)
> анб рептилоиды масоныОк.
Меньше знаешь- крепче спишь.. Спи спокойно, дорогой товарищ.
Точно, страусиная позиция у таких, как он, рулит.
> "Фундаментальная ошибка проектирования"
> Как изящно названа АНБшная закладка... :)сколько Intel получила за такую закладку от федеральных департаментов США?
Вот почему нужен собственный Эльбрус-801, КПИ, собственная реализация протокола USB, прошивки.
И правильно делают.
> Вот почему нужен собственный Эльбрус-801, КПИ, собственная реализация протокола USB, прошивки.Собственный, простите, в чьей собственности? В вашей? Или вы хотели сказать что вам было бы удобнее если бы вас "берегло" КГБ вместо АНБ? Если что, "КГБ" к вам поближе АНБ, а разработчики эльбруса даже сорцы компилятора не открывают. Так что кому-то безопаснее может и станет, но - наверное не вам.
Да... вам везде происки мерещатся. Вашей шапочке нужен еще один слой фольги и пора отключить интернет, а то раскроют ваш "секретный план".А если серьезно, это похоже больше на попытку интел врубить "оптимизацию" для нечестной конкуренции на рынке.
Похоже на продолб. Ожидать, что в настолько сложных системах раз в несколько лет не вылезет какой-то вопиющий баг - верх наивности.
> "Фундаментальная ошибка проектирования"
> Как изящно названа АНБшная закладка... :)Да ладно вам. Изящно – это когда совершенно не скрываясь всем впаривают красивого деревянного поня с надписью "очень-очень нужная вам возможность независимого удаленного управления!".
Без возможности штатного отключения или приобретения модели без этой "технологии первой необходимости", хотя стоит этот "подарок от чистого сердца жителям Трои" должнен вполне ощутимо, а нужность, как минимум на домашних локалхостах, крайне сомнительная.
Но нет, вместо выпуска соотв. моделей еще и АМД в спешном порядке придумывают и вводят в строй аналог.
И никто, ничего. А ведь когда в 99м интеловцы всего-навсего серийник в третий пень встроили – такой хай в СМИ поднялся, что в конце концов пришлось им извинятся и выпиливать.
Intel бессовестно пользовалась этим преимуществом, конец настал, но AMD заденет на пару вместе.
> Intel бессовестно пользовалась этим преимуществом, конец настал, но AMD заденет на пару
> вместе.Если не использовать софт с фиксом данной баги, то не заденет. Покупателям AMD будет весело и радостно от сэкономленных денег.
pti=offНо вам, вендузятникам, это не светит.
> pti=off
> Но вам, вендузятникам, это не светит.Вот с чего аджоссии взял что я вендузятник? Оттого что данный софт стоит в каждом углу на работе?
Так он у многих стоит.
OpenNet - это ресурс, гдеи линуксоиды обзывают друг-друга вендузятниками 😀
Это на сервер то без фикса ядра?
А microsoft всех сравняет.
> Это на сервер то без фикса ядра?
> А microsoft всех сравняет.Почему бы и нет? Сервер серверу рознь, например на фига этот фикс балансировщику нагрузки?
> Это на сервер то без фикса ядра?
> А microsoft всех сравняет.Не ставить обновку на машины с процессорами AMD, только и всего.
>> Это на сервер то без фикса ядра?
>> А microsoft всех сравняет.
> Не ставить обновку на машины с процессорами AMD, только и всего.Да шо ж вы, грамотеи, новость до конца дочитать не можете? Отключили эту "фичу" на AMD.
> Да шо ж вы, грамотеи, новость до конца дочитать не можете? Отключили
> эту "фичу" на AMD.Остальные мои комменты прочитать и сопоставить с этим, наверное, религия не велит, да? Не помещается в кеше столько информации?
> Остальные мои комменты прочитать и сопоставить с этимДа кому ты нужен, чтоб мозги твоей писаниной забивать? Что-то умное написал бы хоть раз — тогда другое дело.
Глупости, минобороны США нужно два независимых поставщика x86, Intel и AMD будут жить, пока им нужны такие процы.
Американцы совсем чокнулись на шпионаже. Соц. сети им отчитываются в секретном режиме. Intel внедрил огромную дыру ещё 10 лет назад! Мне трудно поверить, что эта дыра была не замечена ни одним дипломированным инженером! Стопудово для слежки сделали: если за кем-то надо проследить, ему отправляется компьютерный вирус. Почему AMD не подвержена? Так неуловимый Джо. В США доля AMD - 9%.Спустя 10 лет, данные раскрыты. То ли договор был на 10 лет, то ли внедрили что-то новое, получше.
> Американцы совсем чокнулись на шпионаже. Соц. сети им отчитываются в секретном режиме.
> Intel внедрил огромную дыру ещё 10 лет назад! Мне трудно поверить,
> что эта дыра была не замечена ни одним дипломированным инженером! Стопудово
> для слежки сделали: если за кем-то надо проследить, ему отправляется компьютерный
> вирус. Почему AMD не подвержена? Так неуловимый Джо. В США доля
> AMD - 9%.
> Спустя 10 лет, данные раскрыты. То ли договор был на 10 лет,
> то ли внедрили что-то новое, получше.10 лет понадобилось чтоб внедрили в гос.сектор в других странах, т.е. пройти там цикл обновления парка ПК и серверов.
А сейчас слили либо по утечке, либо как манифест - мы держим всех за одно место, т.к. ваши данные давно слиты в наши ЦОДы, позняк метаться и требовать многополярность мира
Тут ещё обнаружил в changelog, что PTI вкупе с использованием LDT - это вообще двойной удар. Кто любит wine, могут ощутить.
Расскажите, пожалуйста, по-подробней для малограмотных.Мне даже KPI непонятен - общие слова все говорят - переключение контекста и прочее, а как оно в деталях? Что переключается? Почему? Как?
Есть ощущение, что 99% делают вид, что понимают проблему и её решение, а по факту ни черта.
// b.
> Расскажите, пожалуйста, по-подробней для малограмотных.
> Мне даже KPI непонятен - общие слова все говорят - переключение контекста
> и прочее, а как оно в деталях? Что переключается? Почему? Как?http://samwho.co.uk/blog/2013/06/01/context-switching-on-x86/
В общих чертах немножко понял, спасибо. Всё читать не стал, ибо я нуль в ассемблере.Не понял только почему системные вызовы должны менять контекст памяти.
// b.
На /. объясняют, но как же это всё сложно: https://it.slashdot.org/comments.pl?sid=11559141&cid=55852107Не буду делать вид, что я это хоть как-то понимаю.
// b.
> Тут ещё обнаружил в changelog, что PTI вкупе с использованием LDT - это вообще двойной удар.LDT в современных 64-разрядных ОС нигде не используются, можете спать спокойно. Во-первых, сегментация объявлена deprecated, во-вторых, это тупо ограничивает количество исполняемых программ (записи о LDT должны храниться в GDT, а сама GDT не резиновая). Современные ОС настраивают "прозрачный" режим сегментации, когда пространство кода и данных что ядра, что пользователя простирается от 0 до 0xFFFFFFFFFFFFFFFF (могут быть варианты, впрочем), а защита обеспечивается на уровне таблиц страниц.
https://github.com/wine-mirror/wine/blob/master/libs/wine/ldt.c
https://patchwork.kernel.org/patch/10117465/
Таки выполнение приложений под Wine'а сильно замедлится :(// b.
> https://patchwork.kernel.org/patch/10117465/
> https://github.com/wine-mirror/wine/blob/master/libs/wine/ldt.cЗамечу, что это все работает _только_ в так называемом режиме "совместимости", который управляется 64-разрядным ядром, но исполняет 32-разрядный код. В чистой 64-битной системе этого нет (как нет и самого вайна, впрочем).
> Кто любит wineтот сам выбрал путь страданий.
И а антивирусы могут ли эту дыру заделывать? (И как много кому удалось эту дыру ранее и выявить и ей воспользоваться?)
И как шансы воспользоваться этой дырой зависят и от ОС? (И вот говорят, что на MAC и на айфонах уровень безопасности намного выше, чем на большинстве других устройствах (а может ли эта дыра безопасности быть в процессорах и на мобильных гаджетах?))
> И а антивирусы могут ли эту дыру заделать?Нет. Дыра "слегка" ниже уровнем.
А вот такой вопрос. Я люблю пользоваться неподдерживаемыми версиями Ubuntu Linux. "Смысл в установке обновлений безопасности, если у меня - NAT? Ни один злоумышленник даже не проникнет дальше роутера". И я всегда думал что я в 100% безопасности, потому что на eth0 приходят только ответы на мои запросы, но никак не запросы других компов ко мне.А на компах с direct IP я выполнял это:
sudo iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -i eth0 -j DROP
> А вот такой вопрос. Я люблю пользоваться неподдерживаемыми версиями Ubuntu Linux. "Смысл
> в установке обновлений безопасности, если у меня - NAT? Ни один
> злоумышленник даже не проникнет дальше роутера". И я всегда думал что
> я в 100% безопасности, потому что на eth0 приходят только ответы
> на мои запросы, но никак не запросы других компов ко мне.
> А на компах с direct IP я выполнял это:
> sudo iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
> sudo iptables -A INPUT -i eth0 -j DROPзайди на фишинговый сайт, получи специально подготовленный экплоит
> А вот такой вопрос. Я люблю пользоваться неподдерживаемыми версиями Ubuntu Linux. "Смысл
> в установке обновлений безопасности, если у меня - NAT? Ни один
> злоумышленник даже не проникнет дальше роутера". И я всегда думал что
> я в 100% безопасности, потому что на eth0 приходят только ответы
> на мои запросы, но никак не запросы других компов ко мне.Где вопрос?
> А вот такой вопрос. Я люблю пользоваться неподдерживаемыми версиями Ubuntu Linux. "Смысл
> в установке обновлений безопасности, если у меня - NAT? Ни один
> злоумышленник даже не проникнет дальше роутера". И я всегда думал что
> я в 100% безопасностиТебе лучше думать что ты нихрена в безопасности не понимаешь. Древний браузер можно например и проломить. Запустив эксплойт. И не только браузер. Ну вот например картинку тебе показать. Или ты мувик скачаешь. Картинка или мувик сорвет крышу библиотеке обрабатывавшей этот формат файлов, например. Или даже генератору превьюшек в графическом файлменеджере. Ах, ты даже не знал что так можно было? А хакеры в курсе.
И более того, запустившийся эксплойт, уж так и быть, сам инициирует соединения с твоего компа, входящий порт ему для этого не потребуется и твое чудное правило его пропустит на раз. Более того - напрямую проломить что-то именно пакетом в порт вообще редкость. Как максимум это защитит какой-нибудь сервер у ДЛБ который запустил сервер но настроить его безопасно забыл. Но это опять же редкость.
На фоне таких дыр (а сколько их ещё?) необходимость антивируса как такового вообще сходит на нет.
Сделали процы по образу и подобию. )*(
Шум подняли из-за ничего, по сути. Перевод тоже не блещет, впрочем. По данным других источников, проблема проявляется в том, что теперь одна VM может получить доступ к памяти другой VM, исполняющейся на том же компьютере, в том числе и к памяти ее ядра. Отсюда и столько криков со стороны Amazon EC2, Google Cloud, результаты тестов из СУБД, трепета по поводу производительности и тп. То есть злоумышленник, купивший VM на том же амазон, теоретически (!!! теоретически) может выудить данные со свех других VM, которые крутятся с ним на одной ноде кластера. Доступа к памяти ядра в хост-системе он не получит. Обычные польовательские программы на обычных пользовательских десктопах это никак не затронет, и все эти страшилки про JS, читающий память ядра, тоже бред. А информация по поводу предвыборки инструкции, которая якобы сначала может выполниться, а потом уже пройти проверки безопасности, и вовсе относится к процессорам AMD и вообще носит характер "мы тут подумали, а вдруг такое возможно". Короче, шума много, толку ноль. Гугл с Амазоном потеряют пару миллиардов, а обычным людям, в общем-то, пофигу.
Ты вот так рассуждаешь, пока не появилось реальных эксплоитов эксплуатирующих данную уязвимость. А потом такие как ты сидят и молчат в тряпочку, хотя пофигистам ведь пофиг...
> Ты вот так рассуждаешь, пока не появилось реальных эксплоитов эксплуатирующих данную уязвимость.
> А потом такие как ты сидят и молчат в тряпочку, хотя
> пофигистам ведь пофиг...Эксплоиты будут, но пользователям пофиг на них - это не затронет обычные машины.
Как минимум это уже отразилось на AWS и Azure, которые проводят/планируют технические работы. Дальше фикс понизит производительность процессоров, что на обычных пользователей как раз окажет влияние.
Потрясающий уровень понимания проблемы.
> Потрясающий уровень понимания проблемы.Ну да, брехню написал, согласен. А эти крики "караул, теперь любой пользовательский процесс может читать память ядра" - не брехня, по-твоему? Там все ГОРАЗДО тоньше и хитрее, речь идет даже не о доступе к памяти, а к получению информации о наличии некоторого адреса в области памяти ядра. Это может упростить создание эксплоитов для уже известных уязвимостей, но... А, впрочем, скоро уже все расскажут, эмбарго предположительно снимут завтра.
т.е. любой процесс может получить локальный рут даже из виртуалки, это кто-то поднял бурю в стакане?!
> т.е. любой процесс может получить локальный рут даже из виртуалки, это кто-то
> поднял бурю в стакане?!Не любой и не рут. Если очень просто (и неправильно) объяснять, то хитрым образом составив список ассемблерных инструкций для обращения к памяти, атакующий может определить, какая информация лежит в кэше процессора (не содержимое этой информации! только сам факт ее наличия) и по какому адресу она расположена в пространстве ядра. Атака против ASLR, короче говоря.
>> т.е. любой процесс может получить локальный рут даже из виртуалки, это кто-то
>> поднял бурю в стакане?!
> Не любой и не рут. Если очень просто (и неправильно) объяснять, то
> хитрым образом составив список ассемблерных инструкций для обращения к памяти, атакующий
> может определить, какая информация лежит в кэше процессора (не содержимое этой
> информации! только сам факт ее наличия) и по какому адресу она
> расположена в пространстве ядра. Атака против ASLR, короче говоря.Эти хитрые ассемблерные инструкции будут опубликованы в февральском номере журнала "Хакер" так что желаю удачи эксплуатировать сервер с опцией ядра nopti.
> Эти хитрые ассемблерные инструкции будут опубликованы в февральском номере журнала "Хакер"
> так что желаю удачи эксплуатировать сервер с опцией ядра nopti.легко и быстро не значит хорошо и навсегда, храбритесь, что-ли?
>> т.е. любой процесс может получить локальный рут даже из виртуалки, это кто-то
>> поднял бурю в стакане?!
> Не любой и не рут. Если очень просто (и неправильно) объяснять, то
> хитрым образом составив список ассемблерных инструкций для обращения к памяти, атакующий
> может определить, какая информация лежит в кэше процессора (не содержимое этой
> информации! только сам факт ее наличия) и по какому адресу она
> расположена в пространстве ядра. Атака против ASLR, короче говоря.А ничего что такое наличие или отсутствие информации открывает гигантский вектор атаки на генераторы псевдослучайных чисел?
> не содержимое этой информации! только сам факт ее наличияЯ тебе и без ассемблерных инструкций могу сказать, что в кэше процессора обязательно лежит какая-то информация.
Каких именно других источников?
Психушки.
М-да, больше всего причем, похоже, просядут приложения, использующие shared memory. То-то постгрес заволновался.Интересно, что будет теперь с nginx unit, в котором обмен данными через shared memory - ключевая фича, обеспечивающая повышенную производительность (по сравнению со всякими fastcgi/uwsgi).
Теперь любая memory - shared.
Какие перспективы открываются!
> Какие перспективы открываются!Благодаря JS можно устроить всемирный MS-DOS. Разве не круто когда есть один большой компьютер где всем можно все? :)
>> Какие перспективы открываются!
> Благодаря JS можно устроить всемирный MS-DOS. Разве не круто когда есть один
> большой компьютер где всем можно все? :)Например, намайнить себе немножко биткоинов.
Спасибо, дорогой Штеуд!
> дорогой ШтеудУже не настолько дорогой.
Пора менять архитектуру Фон Неймана
да, это наконец-то всё упростит и программерам станет полегче:)
Хорошее начало для "Наиболее важные события 2018 года.".
И да, что то мне кажется, что в 18-ом таких будет воз и малая тележка!
Теперь процы от AMD вырвутся вперёд по производительности...
Кто проверял 4.14.11? Производительность реально упала на 23%?
Я не хочу накатывать этот патч. У меня домашняя машина, NoScript - не надо мне такое.// b.
А я собирался закупить пару старых шедевров в стиме на распродаже, да под вайном погонять :(
Шшас соберу новое ядро и проверю.
tl;dr: с выключенным pti не сильно влияет, чуть просел fps в FluidMarkВ общем я не стал включать CONFIG_PAGE_TABLE_ISOLATION при сборке, один фиг у меня AMD да и пересобрать в случае чего - дело 5 мин. Но, похоже, какие-то другие патчи немного влияют на вайн. Заметно только при больших fps, в Witcher3 какие были тормоза - такие и остались.
Такшо, господа геймеры, даже если у вас Intel - создаете в загрузчике еще одну запись с параметром pti=off и будет у вас дуалбут на случай погонять цацки.
"Ну ужас. Но не УЖАС! УЖАС!!11" (с)
> tl;dr: с выключенным pti не сильно влияет, чуть просел fps в FluidMarkТы что?! Ты опровергаешь чотких пацанов из grsec?!
Crazy Гентушник тебя сейчас наругает!
Он в играх "тестировал". На них и включённый мог не особо влиять, только игры лично мне не интересны от слова "совсем". В остальном - поглядим.Собственно, я как раз полагаю, что быстрофикс может быть любым, вопрос - будет ли красиво в итоге с нормальными неспешными правками. Скорее всего будет, конечно - не дураки ж ядро пилят.
> На них и включённый мог не особо влиятьНа ворониксе вроде по-быстрому тестили уже нативные, и решили что не сильно влияет.
Но тут вопрос именно с вайном и патчами LDT, и видно что если и подкрутили гайки где-то помимо pti - то не особо.С pti + LDT патчами про "двойной удар" уже говорили, лень проверять насколько сильно.
С nopti https://pastebin.com/wS9DktuQ
С pti https://pastebin.com/44Cvdvb9Тестилось этим бэнчмарком https://github.com/arkanis/syscall-benchmark
Кое где проседает раза в 2-3, даже визуально бэнчмарк с pti выполняется дольше в несколько раз.
Значит всем предлагается ради безопасности понизить производительность в 3 раза?
> Значит всем предлагается ради безопасности понизить производительность в 3 раза?Софт не только из системных вызовов состоит.
А с 4.14.10 (или более старым ядром) какие результаты были?
Intel ME?
ZOG в панике!
"Более новые чипы от Intel имеют в своём арсенале возможности (PCID / ASID), позволяющие сократить провал в производительности при применении исправления."Это такой прозрачный намек от Intel что "время покупать новый процессор, процессоры не продадутся сами по себе", не зря же сколько лет пишут что продажи декстопного железа падают каждый год.
С такими намёками новый процессор окажется от AMD
Снижение производительности на 30% - это и в Windows и в Linux?
Это везде и у всех. Это пипец!
Это фиаско, братан.
Интересно, сколько миллиардов потеряет Intel на этом проколе?
Они заработают много миллиардов. Выпустят чипы "чтоб было как раньше" - и ты их купишь. Задорого. И я **ть куплю, никуда не денусь :(
Ну так AMD в помощь
Скрином к этой новости должна быть фотка Лаврова с известной подписью.
Курс акций интела упал почти на 2.5%!!! http://www.nasdaq.com/symbol/intc/real-time Но вижу что уже начался обратный рост
Походу это небольшая корректировка перед дальнейшим падением. А вот те кто первыми узнал об этой уязвимости на понижении бы сыграть могли)))
Дык ещё в ноябре их СЕО акции скинул. Но тогда не ффтыкнули почему, думали он дом новый покупает :)
Поздравляю всех AMD юзеров ЦП с победой!
Мы дождались. :D
есть ли более точная информация какие процы подвержены уязвимости? начиная с кор2дуо-квад или с ай7 первого поколения?
Предположительно все, начиная с Westmere.// b.
Просто раскрыли один из бэкдоров, который существовал по требованию АНБ
> раскрылисейчас быстрорукие установят быстробинари и будут ходить павлинами, ваша безопасность в надёжных руках.
Ээээээ... Что это за костыль? Микрокодом пусть фиксят, или процы всем бесплатно меняют ^_^.Фольксваген же "отзывает" (бесплатно чинит) автомобили, когда там, не знаю - обнаруживается, что ВОДИТЕЛЬСКИЙ КОВРИК МОЖЕТ ПОПАСТЬ ПОД ПЕДАЛЬ ТОРМОЗА.
А тут "дыра в линкоре размером с линкор" и при этом нам предлагают в 3 раза затормозить производительность?
Оно микрокодом не фиксится, говорят.А отозвать — так у Штеуда всех денег не хватит, чтобы отозвать уязвимые процессоры, произвести новые и новыми заменить.
Так что страстным поклонникам синевы придётся терпеть и страдать, страдать и терпеть.
> у Штеуда всех денег не хватитЭто проблемы Штеуда.
Это пока он должен тыЩЩу - это его проблемы. А когда миллион ... :)
>> у Штеуда всех денег не хватит
> Это проблемы Штеуда.Это, вообще-то, наши проблемы, причём общие. Снижением прибыли и возросшие затраты продавцы сервисов перекладут на потребителя, в конечном итоге опосредованно за всё платить будем мы с вами. Поэтому драть надо именно Штеуд, да чтобы перья летели и впредь неповадно было.
> Это, вообще-то, наши проблемы, причём общие. Снижением прибыли и возросшие затраты продавцы
> сервисов перекладут на потребителя, в конечном итоге опосредованно за всё платить
> будем мы с вами. Поэтому драть надо именно Штеуд, да чтобы
> перья летели и впредь неповадно было.Отправить 90% вэб-макак строить дороги. И сразу окажется, что мощностей 10-15-летней давности на десктопе с лихвой хватает.
К черту дороги, раздать палки-копалки и пусть идут коренья добывать. И компьютеры к черту, макаки по пути насобирают косточек от ягод и лиан - запилите неуязвимый абак.
>> И сразу окажется, что мощностей 10-15-летней давности на десктопе с лихвой хватает.
> К черту дороги, раздать палки-копалки и пусть идут коренья добывать. И компьютеры
> к черту, макаки по пути насобирают косточек от ягод и лиан - запилите неуязвимый абак.Все верно - только мы, макаки, настоящие двигатели прогресса! Мы все так говорим, а значит это правда! Только мы настолько умны, что строим себе гнезда из естестенных материалов - веток, проволоки, пенопласта и картона на вершинах гладких, блестящих, четырехугольных утесов, не боясь даже обитающих там гигантских стрекоз!
> Все верно - только мы, макаки, настоящие двигатели прогресса! Мы все так
> говорим, а значит это правда! Только мы настолько умны, что строим
> себе гнезда из естестенных материалов - веток, проволоки, пенопласта и картона
> на вершинах гладких, блестящих, четырехугольных утесов, не боясь даже обитающих там
> гигантских стрекоз!Выдыхай, Бобёр, выдыхай!
> Выдыхай, Бобёр, выдыхай!Разъясение для бандерлогов:
Во-первых — браузеры, несмотря на обгон некоторых, довольно популярных ядер ОС по количеству кода, все еще не являются самодостаточными компонентами прошивки железа.Во-вторых — все ваши закосы под приложения на супир-модных фреймворках, дотягивают по уровню юзабельности и фунциональности где-то до обычных програм середины-конца девяностых. По уровню интеграции с остальными компонентами, тут правда дело швах.
Зато веб-приложения обгоняют раз в 10 при потреблении ЦПУ и 50-100 ОЗУ. И это несмотря на вкачивание миллионов бабла в браузеры и JITы JS.
Но макаки тех времен не застали, особо ни в чем не разбираются, считают разработку под электроны низкоуровневым програмированием, а себя - незаменимыми продвигателями прогресса.
Вон, особо талантливые даже приравнивают неприятие «тяжелой» вебщины к возвращению к палкам-копалкам.
Совершенно верно.
> Отправить 90% вэб-макак строить дороги. И сразу окажется, что мощностей 10-15-летней давности
> на десктопе с лихвой хватает.Полностью согласен. Я уже в комментах ванговал, а теперь завангую с удвоенной силой: в ближайшие несколько лет макаки отправятся строить дороги и убирать за свиньями на фермах. Дешёвый кремний уже закончился. Дешёвая разработка на модных фреймворках обернулась какими-то фантастическими охуллиардами убытков.
> А тут "дыра в линкоре размером с линкор" и при этом нам
> предлагают в 3 раза затормозить производительность?Не в 3, а в 1\3
на 63% это почти в 3
Intel ME через эту дыру работает более эффективно. Не закрывайте!
>Выполнение программ под Wine замедлиться от исправления ещё больше, ввиду использования эмуляторами LDT.Wine Is Not an Emulator - запомните это. Я чуть голову не снёс фэйспалмом.
Если баг в процессоре, то, по идее, исправлять нужно тоже в процессоре (обновлением микрокода). Почему бросились костыли добавлять в ядро?
Очень немногие ошибки можно исправить обновлением микрокода.Это вам не FPGA.
// b.
> Если баг в процессоре, то, по идее, исправлять нужно тоже в процессоре
> (обновлением микрокода). Почему бросились костыли добавлять в ядро?Для начала потому что разработчики ядер шибко оперативнее и - могут попытаться. А если кто ухитрится заделать микрокодом, для него это можно потом адресно развинтить. Когда и если.
Интел годи в аду! Баг в процессорах, а расплачиваться должны пользователи своей производительностью, идите нaxep.
"работают над закрытием огромной уязвимости в процессорах" неправильно ...в Интелах, зачем пугать всех?)))Мощно конечно лопухнулись. В общем, АМД можно Райзен 1.5 отменять, и так продажи пойдут.))))
Услышав магическое "30% просадка производительности", многие пользователи решат рискнуть и не ставить этот патч, и не только домашние.
> Услышав магическое "30% просадка производительности", многие пользователи решат рискнуть
> и не ставить этот патч, и не только домашние.Ты так говоришь, как будто это плохо.
Ботоводы всего мира одобряют это решение.
В конце ноября "Крзвыйсапогич" продал половину своих акций Интела, оставив только необходимый минимум для СЕО.
Совпадение? Не думаю.)))
"Более новые чипы от Intel имеют в своём арсенале возможности (PCID / ASID), позволяющие сократить провал в производительности при применении исправления."Не сильно обнадежило. Когда ждать чипов БЕЗ этой уязвимости и без потерь производительности? Уже в 2019м году?
Я на 95% уверен, что Intel уже несколько месяцев работает над новой ревизией всех актуальных процессоров и скоро они появятся в продаже. С новым степпингом. С модной надписью: "KPTI Free!". На старые процессоры немного урежут ценники. На ~10-20%.// b.
PoC уже готов: https://twitter.com/brainsmoke/status/948561799875502080// b.
> Разработчики ядра Linux в шутку предлагали следующие...Разработчики Intel им не предлагали (в шутку, конечно) спрятать лучше эту дыру на своём процессоре? :)
> Компания AMD утверждает, что её процессоры уязвимости не подвержены.
Fix: Компания AMD утверждает, что её процессоры уязвимости Intel не подвержены.
Есть же лучший процессор и это - 144-ядерный процессор Чарльза Мура.
А то! Сразу на Форте херачить можно. Сказка ж!
Скорее всего это глупости, что - интел и амд сотрудничают с разведкой, если это было бы так, то и хакеры постоянно бы нас взламывали. А это уже конкретная паранойя - Корпорации, Хакеры, продавцы в магазинах и правительство все против народа. Народ выходящий из метро исчезающий как только отойдешь от него. Это БРЕД!!!
Большинство из нас - это Неуловимые Джо. Мало-мальски значимым людям следует беспокоиться.
Большинство из нас -- не только ценный мех, но и два-три килограмма денег для маркетолухов, для которых пользователи и их персональная инфа всего лишь товар. Если уж цру наркотой промышлять не гнушается, что уж говорить об инет-овцах?
>>что - интел и амд сотрудничают с разведкойкакой наивный )))
>>то и хакеры постоянно бы нас взламывали
дык анб и есть корпорация этих хакеров )))
пс: по вашему "Вася Пупкин из ксакепа" - хакер ?
>то и хакеры постоянно бы нас взламывали.В своё время (когда ты ещё ходил в младшую школу) BND бодалась с правительством Германии на предмет того, можно ли ей невозбранно ставить трояны на компьютеры подозрительных лиц, или всё же нужно решение суда. Вопрос, сможет ли она удалённо поставить троян, даже не рассматривался, это подразумевалось само собой.
Подозреваю, что ты и теперь ничего не понял, но что поделать.
и как проверить есть ли у меня PCID поддержка ;)?
cat /proc/cpuinfo | grep pcid например.
Но...наличие pcid личшь слегка уменьшает просадку по производительности, а не решает проблему.
В принципе все логично - чем старее процессор тем сильнее он затормозится от патча, потому что его владелец завно не поднимал продажи Intel.
у мну нет такого расширения ;)
>Архитектура ARM64 также подвержена уязвимости.Не ставит ли это крест на планах Microsoft по выпуску ноутбуков на ARM процессорах?
Ведь там x86 эмулируется и имеет весьма низкую производительность, а теперь даже эту низкую производительность порежут совсем уже до мусорного уровня.
>>Архитектура ARM64 также подвержена уязвимости.
> Не ставит ли это крест на планах Microsoft по выпуску ноутбуков на
> ARM процессорах?
> Ведь там x86 эмулируется и имеет весьма низкую производительность, а теперь даже
> эту низкую производительность порежут совсем уже до мусорного уровня.Ой, ну подождут пол года исправленых чипов, подумаеш потеря, ведь в продажу ещо не пошли.
ПС: а эмулировать там нада будет токо левый софт, главный софт будет нативным.
У меня процу в этом году 10 лет.
офк АМД
зачем параша от интел?
Так проблема в том, что первые коредуо от интела до сих пор более производительные на ядро, чем всё что есть и было у амд до райзена.
Те я вот купил бристоль 9700 а у него ядра слабее чем у коредуо, ну их 4 да ещё и видюха в том же ТДП, но ядра всё равно слабее, хотя в целом он немного шустрее.
С райзенами у меня тоже было приключений столько, что если как нынче модно пересчитать в человеко часы то выйдет что амд мне не только бесплатно должен был камень отдать но и приплатить сверху ещё штуки на 2-3 таких же камней, как минимум.Я к тому, что у амд не было ничего конкурентного для десктопа и серверов до райзена и пока интел не пихал жвачку под крышку.
Моё знакомство с амд (первые самостоятельные приобретения для личного пользования) начались с заката, потому что 25 Ватт и 6 сата портов, мАТХ - у интела такого не было, у интела атомы хоть и производительнее на Ватт но сильно кастраты.
И продолжилось оно АМ1 сокетом по той же причине.
Это идеальные платформы для домашнего самосбора, лично под мои хотелки.Да, если нынче старые системы просядут на 10-30% то они конечно будут хуже амд до райзена, ну а райзен сам по себе конкурентоспособен.
Собственно планирую взять ещё пару райзенов в течении года, бристоль кину на полку, он только для проверки платформы и годен.
А где при покупке процессора интел я подписал соглашение о поставке процессора AS IS? Пускай меняют дефектные процессоры.
А это дефект? Это ж можно аргументировать как просто отсутствие фичи "безопасность". Спеке соответствует? Значит не дефект.
Я буду жить урааааа))) У меня есть PCID)))
dmesg | grep PCID Features2=0x7fbae3bf<SSE3,PCLMULQDQ,DTES64,MON,DS_CPL,VMX,EST,TM2,SSSE3,CX16,xTPR,PDCM,PCID,SSE4.1,SSE4.2,x2APIC,POPCNT,TSCDLT,AESNI,XSAVE,OSXSAVE,AVX,F16C,RDRAND>Я думаю что все таки такие гиганты как Amozon будут сильно не довольны таким поворотом дел и предъявят коллективны
Коллективы предъявлять должны не амазон, а мы. Тогда эффект будет сильнее.
Я сейчас изучаю международное законадательство с целью подать ИСК. Нужен повод. И грамотный переводчик который сможет верно трактовать.
Надо искать на реддите и кооперироваться/черпать инфу. Амеры в первых рядах всегда как дело пахнет коллективным иском на Жирного Мамонта.А в местных реалиях оно накой не облокотилось почти всем: ок/вк работает, сериальчик смотрится, водка есть - пипл схавает.
> международное законадательствоПроблемы неисключительных иключительных не волнуют.
Вообще-то похоже на развод в стиле Apple. Intel и иже с ними подумали, а почему Apple можно (бред в стиле замедления iPhone типа из-за устаревания аккумулятора), а нам нет. Вот Intel/Microsoft/СпонсорыLinux и придумали отмазку в стиле Apple. Ранее Microsoft заявлял, что будет исскуственно блокировать возможность установки всех старых версий кроме Win10 на новые процессоры. Имхо, всё как-то выглядит как звенья одной цепи - одного прикола. Это ж, что за исправление такое и какими "индусами" должно быть написано, чтобы общая производительность падала на 20%, даже не на 2-5%, а на целых 20-25%, а то и больше, Карл! И это на современных мощных процах. Или на рынке ИТ кризис - активно покупают только смартфоны, а вот продажи компов падают - так вот получите на ровном месте проблему - срочно все поголовно выбрасывайте свои компы/ноуты и немедленно покупать самое свежее железо. Ах как красиво развивается рынок ИТ. Раз проблема так серьёзна и это реально проблема разработчика тогда почему бы ему не поступить как делают на рынке авто - проблема по вине производителя - отзывают всю серию автомобилей и БЕСПЛАТНО и БЕЗВОЗМЕЗДНО заменяют технику на исправленную!
Товарищь, вы заложник конспирологии! Уязвимость имеет место быть, "уязвимость" по всей вероятности, нужна была интел чтобы вырваться вперед среди конкурентов, банальным отключением проверок при повышеннии нагрузок на процессор.
конспиралогия - не конпиралогия, а после этого мы опять побежим покупать камни от интел. новые, без ошибок. Потому что замедление вполовину никому не интересно. То есть результат достигнут - продажи выросли. А была ошибка всерьез или нет знают только те, кто понимают всю глубину проблемы.... Если понимают правильно. И хорошо бы еще проверить наличие проблемы до последнего обновления микрокода.То что винда так или иначе замедляет работу с каждым обновлением, что заставляет покупать компы посвежее это просто факт - никакой конспиралогии. Специально это делается или нет неважно.
> после этого мы опять побежим покупать камни от интел. новые, без ошибок.Не "мы", а "вы".
И, да, вы продолжайте "крепчать".
чтобы не менять сервер целиком, нужно заменить только камень.
иное крайне трудно экономически обосновать.это когда ты не админ локалхоста.
домой лично я купил бы эльбрус. если бы нашел.
> домой лично я купил бы эльбрус. если бы нашел.Почему не RaspberryPi? Эффект тот же. Или просто "бабла немеряно" - девать нЕкуда?
>> домой лично я купил бы эльбрус. если бы нашел.
> Почему не RaspberryPi? Эффект тот же. Или просто "бабла немеряно" - девать
> нЕкуда?Своё ***** теплее. ;D
> Товарищь, вы заложник конспирологии! Уязвимость имеет место быть, "уязвимость" по всей
> вероятности, нужна была интел чтобы вырваться вперед среди конкурентов, банальным отключением
> проверок при повышеннии нагрузок на процессор.Вот образец правильного видения проблемы.
Два чаю этому анониму.
> Это ж, что за исправление такое и какими "индусами" должно быть написано,
> чтобы общая производительность падала на 20%, даже не на 2-5%, а
> на целых 20-25%, а то и больше, Карл! И это на
> современных мощных процах.Мальчик, учи матчасть.
Ну вот и очередной шаг к микроядру с его разделением адрессного пространства.
Не было бы счастья, да несчастье помогло...
>Ну вот и очередной шаг к микроядру с его разделением адрессного пространстваЕсть пруфы и аргументы или просто поток сознания и свободные ассоциации?
Что не так то? Микроядро критикуют за накладные расходы при переключении контекста. Что, кстати говоря, для консюмерской техники давно не проблема, хватает с запасом.
Но при таких раскладах разница в производительности все меньше.
>Но при таких раскладах разница в производительности все меньше.Наоборот, переключение контекста замедляется.
И фундаментальная проблема микроядер не в переключении конекста
а в чем?
> а в чем?В сложности реализации взаимодействия между подсистемами ядра в условиях изолированности адресных пространств.
Переключить контекст ― это мелочь, а вот передать данные и синхронизировать выполнение сложнее. Это усложняет и без того сложную архитектуру ядра ОС.
> переключение контекста замедляетсяда, приближается к микроядрам.
> фундаментальная проблема микроядер не в переключении контекста
конечно, в бюджетах. seL4 человек десять всего пилят
>> переключение контекста замедляется
> да, приближается к микроядрам.В микроядрах переключения не медленнее, а более частые. Соответственно, после патча микроядра, провал производительности будет заметнее.
В микроядерной Singularity емнип переключений не было вообще. Всё в ring 0, защита на уровне системы типов языка.
В Windows в пользовательских приложениях всё не так плохо:https://www.hardwareluxx.de/index.php/news/hardware/prozesso...
https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheit.../
Intel может спать спокойно.
// b.
Ну так приложения приложениям рознь. Фороникс вот тестировали на играх - разницы не заметили в линуксах.
Интел выпустили пресс-релиз, в котором ничего нового не сказали: https://newsroom.intel.com/news/intel-responds-to-security-r.../но отметили, что "Intel believes its products are the most secure in the world and that, with the support of its partners, the current solutions to this issue provide the best possible security for its customers".
Стыда у них нет после Intel ME такое заявлять.
// b.
Помню как с меня ржали, когда в 2012м из-за отсутствия бабок купил Феном 970й. Похоже через 5 лет все стало на свои места
Вот если б ты пять лет назад купил интел, а сейчас сменил его на райзен - мог бы хвалиться умом. А так - только отсутствием бабок.
Я, собственно, не жалею. Все равно он сейчас работает с заниженными частотами, избыточен. Так что советчики, которые "хвалятся умом", продолжайте радоваться, а лучше купите сразу 2 новых айфона. Это круто.
> Помню как с меня ржали, когда в 2012м из-за отсутствия бабок купил
> Феном 970й. Похоже через 5 лет все стало на свои местаЭм, а шо можна было вместо его купить, ы3? Ну я ржал над теми кто ы3 вместо фена советовал.
i5-2500K и i7-2600K вышли как бы еще в 2011 году. В 2012 уже был и i7-2700K. Которые - в отличие от фенома - и до сих пор, почти 7 лет спустя не потеряли актуальности.. (сам с начала 2011 сижу на 2500K@4.5 и все устраивает.. и никакие потери производительности из-за исправления этого бага не сделают его медленнее любого фенома)Думаю, ОП перепутал год: где-нибудь в 2009 или даже 2010 купить Phenom II было действительно неплохой идеей. Особенно 6-ти ядерный, когда у интела для десктопов был максимум "Quad" склейкой из двух Duo через небыструю шину. Но в 2011 году и позже - весьма сомнительной.
> Думаю, ОП перепутал год: где-нибудь в 2009 или даже 2010 купить Phenom
> II было действительно неплохой идеей. Особенно 6-ти ядерный, когда у интела
> для десктопов был максимум "Quad" склейкой из двух Duo через небыструю
> шину. Но в 2011 году и позже - весьма сомнительной.Мы смотрим на разные критерии: ты сравниваеш чисто по производительности, а я делаю тоже самое с поправкой на цену.
И я отлично помню как х4 фены, с возможностью разгона, по цене конкурировали с блокированым ы3 2 ядра 4 потока.
И все х4 фены гнались до 4 ГГц, от чего ставали значительно более выгодным вложением чем ы3.
А вот для ы7 у АМДы небыло конкурентов, особенно учитывая разгон голубых до 5 ГГц.
Интел всегда был хорош в тестах, а амд -- в работе.
Fake news, fake tests...
> Интел всегда был хорош в тестах, а амд -- в работе.
> Fake news, fake tests...Совершенно верно. Что Атлоны всех поколений, что Феномы (кроме бажного первого), что FXы, что Оптероны (кроме бажных) — отлично делают свою работу, разве что хотелось бы от них чуть меньшего энергопотребления и тепловыделения.
> разве что хотелось бы от них чуть меньшего энергопотребления и тепловыделения.От того, что они начнут рисовать на свои процы фейковые TDP, как это делает интель, они ни меньше, ни больше потреблять не станут. Или тебе "холодной" надписи достаточно?
Мне достаточно моего любимого камушка AMD и рядом с ним стоящих для сравнения ксеонов, которые, имея почти все формальные показатели лучше, умудряются работать зримо хуже.Раньше мне казалось, что это мне действительно просто кажется, что органолептика неприменима к таким вещам, однако нет: все современные камни AMD (то есть начиная с первых Атлонов) для работы всегда лучше сопоставимых по цене процессоров Интела. Когда это всё ощущаешь, так сказать, в развитии, в сериях и тиражах процессоров, то интеловскую рекламу уже смотришь только как на враньё ожиревших упорoтых маркетологов или религиозных проповедников.
> Раньше мне казалось, что это мне действительно просто кажется, что органолептика неприменима
> к таким вещам, однако нет: все современные камни AMD (то есть
> начиная с первых Атлонов) для работы всегда лучше сопоставимых по цене
> процессоров Интела. Когда это всё ощущаешь, так сказать, в развитии, в
> сериях и тиражах процессоров, то интеловскую рекламу уже смотришь только как
> на враньё ожиревших упорoтых маркетологов или религиозных проповедников.FX вообще МОРЕ почти бесплатной каши дал, по этому в многозадачности он сильно недооценен.
Перешов с фена х3 на фикус х6 прям какую то плавность всего обрел...
> FX вообще МОРЕ почти бесплатной каши дал, по этому в многозадачности он
> сильно недооценен.
> Перешов с фена х3 на фикус х6 прям какую то плавность всего
> обрел...Да я как бы в курсе…
Думаю подождать, пока не снизится цена до полсотни за FX-83xx — и можно покупать. :) Или оптеронами закупиться из самых проверенных.
> уже исправлена в ядре 4.14.11, учитывая огромный размер инкрементного патча (229
> KiB).он не огромный, он обычный, если сравнить его с другими. эти воркэраунды туда вворачивать начали с 4.14.9, где подготовились к этому и все подчистили, в 4.14.10 продолжили и в 4.14..11 похоже закончили.
В общем, всё стало известно:Читаем для просветления https://googleprojectzero.blogspot.com/2018/01/reading-privi... и https://spectreattack.com/
Процессоры AMD к одной из атак уязвимы!
// b.
Старые процессоры AMD. Ryzen нет
> Старые процессоры AMD. Ryzen нетА Ryzen там не тестировался. :Р
К тому же предсказалку он тоже имеет (именно из за нее как понимаю проблемы) :З
Experiments were performed on multiple x86 processor
architectures, including Intel Ivy Bridge (i7-3630QM),
Intel Haswell (i7-4650U), Intel Skylake (unspecified
Xeon on Google Cloud), and AMD Ryzen. The Spectre
vulnerability was observed on all of these CPUs. Similar
results were observed on both 32- and 64-bit modes, and
both Linux and Windows. Some ARM processors also
support speculative execution [2], and initial testing has
confirmed that ARM processors are impacted as well.Эксперименты были проведены на разных x86-разновидностях,
включая Intel Ivy Bridge, Intel Haswell, Intel Skylake, AMD Ryzen.
Уязвимость Spectre наблюдалась на всех из них.
Так же, результаты наблюдались и в 32х, и в 64х битных режимах, на Linux и Windws
ссылка вот https://spectreattack.com/spectre.pdf
> Процессоры AMD к одной из атак уязвимы!Если я правильно понял AMD FX протестирован, но как имеющий проблему не отмечен.
В стане линукс дофига людей сидящих на подкормке у интеля. Интель не хочет идти ко дну в одиночестве и будет переводить стрелки аки бешеный. Ну и ща вылезет какой-нить сектовидный перонаж из госдепо и скажет что виноваты, конечно же, эти ужасные русские хакеры.
> Ну и ща вылезет какой-нить сектовидный перонаж из госдепо и
> скажет что виноваты, конечно же, эти ужасные русские хакеры.Так это ж они спроектировали все интеловские процессоры (под руководством бабаяна) - разве нет?
Не факт. Может это привет от Пентковского :)
> Так это ж они спроектировали все интеловские процессоры (под руководством бабаяна) -
> разве нет?АНБ придумал OoO? Или русские хакеры? Я запутался. Впрочем, если кто-то настолько хорошо придумывает чтобы всех поломать - пусть продолжает :)
>Если я правильно понял AMD FX протестирован, но как имеющий проблему не отмечен.Там 2 проблемы. Одна катастрофический зашквар с доступом к памяти ядра и для которой пишутся все эти стрёмные патчи. Другая проблема надуманная и не лечится патчами ядра. Первой проблеме подвержен только Intel. На AMD и ARM очень старались её воспроизвсти, но [пока] не шмогли. Об этом пишет чувак из АМД (ссылка в статье):
"AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against. The AMD microarchitecture
does not allow memory references, including speculative references, that
access higher privileged data when running in a lesser privileged mode
when that access would result in a page fault."
> В общем, всё стало известно:
> Читаем для просветления https://googleprojectzero.blogspot.com/2018/01/reading-privi...
> и https://spectreattack.com/
> Процессоры AMD к одной из атак уязвимы!... через eBPF. Чего только не придумают интелоидные лгуны из-за жжения ниже спины.
Обновился до 4.14.11, пока снижения производительности не заметно.
Пофиг на интел и амд. Вот с армом как быть? Он ведь и так тормозной.
Ну с линуксом понятно, а как например с неткой обстоят дела? Это случаем не про это?
NetBSD Security Advisory 2018-001
=================================Topic: Several vulnerabilities in context handling
Version: NetBSD-current: source prior to Sat, Sep 2nd 2017
NetBSD 7.1: affected
NetBSD 7.0 - 7.0.2: affected
NetBSD 6.1 - 6.1.4: affected
NetBSD 6.0 - 6.0.5: affectedSeverity: Privilege escalation / Local DoS
Fixed: NetBSD-current: Sat, Sep 2nd 2017
NetBSD-7-1 branch: Sun, Oct 1st 2017
NetBSD-7-0 branch: Sun, Oct 1st 2017
NetBSD-7 branch: Sun, Oct 1st 2017
NetBSD-6-1 branch: Fri, Oct 13th 2017
NetBSD-6-0 branch: Fri, Oct 13th 2017
NetBSD-6 branch: Fri, Oct 13th 2017
...
2) The handling of the GDT on amd64 creates a condition where a page fault
can be generated if a segment register is reloaded with a "high" selector,
located near the end of the GDT. An incorrect check in a linux32 syscall
allowed unprivileged user processes to have the kernel page fault in such
a condition. However, the kernel does not correctly handle such exceptions:
it re-enters itself but does not switch to the kernel TLS, and instead uses
userland's. Userland therefore had a way to control a generic kernel
pointer, which allowed for full privilege escalation.
Мне кажется, не разработчики операционок должны дыры латать, а интел должен за свой счёт своё глюкалово заменить. Иначе не честно получится.
верни по гарантии
есть две мешающие причины: оно запаяно, и в гарантии о непригодности проца к работе написано "мы не отвечаем за пригодность проца к работе", так что тут надо принимать какие-то меры высшего порядка
Вероятно, пришлось бы менять все камни, начиная с первого i3-5-7, если даже не с более ранних. Это нереально.
Что-то вдруг стало любопытно: а что мешает мелко-мягким заявить о том, что патч для устранения будет выпущен для, скажем, Windows 8 и выше. А всё что ниже — обновляйтесь, ребята, до новых версий наших продуктов :-)
Основные покупатели негромягких - бизнес, который по сути своей консервативен в плане технологий не основного профиля деятельности: там Вынь7 ещё долго будет пыхтеть.
> Основные покупатели негромягких - бизнес, который по сути своей консервативен в плане
> технологий не основного профиля деятельности: там Вынь7 ещё долго будет пыхтеть.Именно. А ещё производство. Много где вовсю пыхтят DOS, винтукей и ХР, причём отлично справляются.
> пыхтят DOS, винтукей и ХР, причём отлично справляются.Нет.
А ты когда-нибудь видел банкомат на десяточке?
А я в Индии на линуксе видел) Хз как там софт работает но боюсь что из под вайна....
на ХР они все вроде. был у нас умелец один на комп выводящий номерки в сбербанке установил убунту ;) в общем он забыл удалить все ланчпадовские штучки и апдэйтер ну и багрепортер встроенный и оставил так ;) прихожу в сбербанк а там бубунта булькает во всю и требует обновится и вылазит поверх презентации этой с номерками по очереди оплачивать кто берет ;))) в общем я хз как он презентуху эту под бубунтой запустил, но его косяк был только в одном, он не удалил встроенные сервисы бубунты и не остановил их, ну и мэнэджеры бабы с директором отделения поржали над этим, мол бубунту овно, потом позвали другого человека на букву му и он им воткнул туда ХР, но я лично считаю это не показатель, просто челу не дали доделать все по человечески, ну и он молодой, не врубился что половину сервисов бубунты надо было выкашивать. но они видимо считают что доказали себе и всему миру мол детище Майкла Шаттлворта уг по умолчанию, дескать ХР по дефолту ничего не вылазит, а у вас вылазит.......короч планктон офисный :) все это могло бы у них и на линуксе работать, но они по ходу еще с военкомата привыкли к ХР, там у них тоже везде ХР стоит и тотал коммандер любимый) вот они привыкли к этому и не хотят сваливать никуда. консерваторы ;)
><i>процессоры Intel при спекулятивном выполнении кода не выполняют проверки на безопасность инструкций, которые позволяют читать сегменты памяти, что позволяет любому пользовательскому приложению получить доступ к памяти ядра, тем самым позволяя прочитать закрытые данные, такие как ключи шифрования и пароли</i>что это означает для пользователя линукс на десктопе? какие "закрытые данные, такие как ключи шифрования и пароли", ценные для пользователя, могут находиться в памяти ядра?
> Детали уязвимости находятся под эмбаргоЧто за чушь! Куча народу работает над патчами, они что, все давали подписку о неразглашении что ли? Уже чуть ли не эксплойты люди пишут. Кому надо, все знают :)
Поскольку комментарий #512 куда-то делся, а автор остался то ли с очень наивной озвучкой на руках, то ли целенаправленно дурачком прикидываясь, всё-таки отвечу.> Как там альтлинукс школьный поживает?
В последних новостях прошлого года есть анонс Альт Образование 8.2: https://www.opennet.ru/opennews/art.shtml?num=47833
> С чисто внешней точки зрения: пильнули бюджеты с результатом
> около ноля, разослав хлам. Оргвыводов тоже не видно.Вам сюда, если уж за почти десять лет умудрились звон услышать, а с фактами не разобраться (притом, видимо, старательно от них отворачиваясь, раз уж и меня приплели):
http://users.livejournal.com/aen_/110138.html
http://users.livejournal.com/aen_/112333.htmlВкратце -- за торпедирование школьного проекта считаю ответственными Минобраз/ФАО (по ряду косвенных признаков могли быть и неявным заказчиком) и "Пингвинсофт" (как послушного исполнителя); за бракодельство (причём явно клиническое и неизлечимое насквозь по всему менеджменту, судя по ряду случаев за этот десяток лет) -- IBS.
Оргвыводы, разумеется, были сделаны и активно применяются. Вы же не в теме _совсем_, вот и "не видно".
Если о текущем, то мне больше не нравится то, что сейчас в школы требуют поставлять сертифицированные для работы с персональными данными дистрибутивы -- как-то это совсем уж за уши притянуто, если речь не о компьютерах персонала, но в эту тему не вдавался, совсем некогда было (а надо бы).
> А лично вы всю эту схему активно покрывали.
Лично я эту всю схему активно вскрывал, в процессе чего были даже лоерские угрозы данному сайту.
Но ведь почитать, обдумать, проверить -- сложно, а лгать так удобно и легко, не правда ли? Да только отучайтесь, жизнь этого в итоге не прощает.
Удачи.
> Для решения проблемы разработчикам ядер пришлось полностью разделить память ядра и память пользовательских приложенийОй беда-беда... последнее возражение против микроядерной архитектуры - сдохло. :)
>> Для решения проблемы разработчикам ядер пришлось полностью разделить память ядра и память пользовательских приложений
> Ой беда-беда... последнее возражение против микроядерной архитектуры - сдохло. :)Татычо?!
""И второй раз проф.Таненбаум поблагодарил Интель. И вернулся невод с тиною морскою.""
> процессоры Intel при спекулятивном выполнении кода не выполняют проверки на безопасность инструкций, которые позволяют читать сегменты памяти, что позволяет любому пользовательскому приложению получить доступ к памяти ядра,а это типа не забота ОС, заботиться о том, чтобы любое васянское приложение не могло залезть в память собственного ядра?
>> процессоры Intel при спекулятивном выполнении кода не выполняют проверки на безопасность инструкций, которые позволяют читать сегменты памяти, что позволяет любому пользовательскому приложению получить доступ к памяти ядра,
> а это типа не забота ОС, заботиться о том, чтобы любое васянское
> приложение не могло залезть в память собственного ядра?Читай новость внимательнее. Ядро и не дает доступ к своей памяти кому попало.Одно дело ограничивать доступ, другое менять маппинг адресного пространства, что более накладно. А из-за косяка в железе в кеше проца данные все равно оседают.