https://www.opennet.ru/openforum/vsluhforumID3/113843.html Компания Intel сообщила (https://newsroom.intel.com/editorials/advancing-security-silicon-level/) о реализации в следующем поколении процессоров Intel Xeon Scalable (Cascade Lake) и Intel Core (gen 8), которые поступят в продажу во второй половине 2018 года, аппаратной защиты от эксплуатацией уязвимостей, вызванных оседанием в кэше информации в процессе работы механизма спекулятивного выполнения инструкций. Сообщается, что аппаратная защита будет эффективная для атаки Meltdown (CVE-2017-5754) и второго варианта Spectre (CVE-2017-5715), но для первого варианта Spectre (CVE-2017-5753) потребуется применение программной защиты (перекомпиляция с применением инструкции LFENCE). Реализуемая аппаратная защита сводится к дополнительной изоляции процесса спекулятивного выполнения.<br><br><br><br>Кроме того, компания Intel открыла (https://downloadcenter.intel.com/download/27591?v=t) доступ к стабильному варианту обновления микрокода для организации защиты от второго варианта уязвимости Spectre. Если ранее данный микрокод рас https://www.opennet.ru/openforum/vsluhforumID3/113843.html#134 Thu, 22 Mar 2018 14:36:06 GMT &gt;&gt;&gt; аппаратная защита будет эффективна <br>&gt;&gt; Получай рута, шли пару байт в MSR и дампи пароли соседней виртуалки.<br>&gt; Как бы рута на оракле на поверах получить,<br><br>Не печалься, Power тоже дырявый от спекуляции. <br> https://www.opennet.ru/openforum/vsluhforumID3/113843.html#133 Thu, 22 Mar 2018 11:40:15 GMT &gt;&gt;&gt; куда именно нужно этот lfence вставлять?<br>&gt;&gt; Да куда приспичит, туда и вставляй :) В ядре критично, в прикладухе <br>&gt;&gt; не заметишь, <br>&gt;&gt; ну можно только в совсем часто и интенсивно используемых местах.<br>&gt; Так при переключении контекста обычно ставят, разве нет?<br><br>Ты применяешь абстрактные слова для определения работы аппаратной инструкции.<br><br>{m,l,s}fence - инструкции упорядочивания загрузки команд.<br>Юзают там, где нужна синхронность и гарантии, т.е. SMP и многотреды/форки. <br><br>Есть у тя два треда, и ты прям доусрaч... уверен, что ни глобальная перемен., <br>ни спинлоки/мутехи,ни атомарные, не гарантирую того, что данные не изменены <br>в соседнем треде, то можешь воткнуть lfence :)<br><br>Реалтаймщики особо не парятся, пихают где не попадя. <br>Но им столько счастья привалило с мелтдаунами/спектрами, глобально отрубаешь IBRS/IBPB и полный реалтайм! <br> https://www.opennet.ru/openforum/vsluhforumID3/113843.html#132 Wed, 21 Mar 2018 23:21:14 GMT &gt;&gt; куда именно нужно этот lfence вставлять?<br>&gt; Да куда приспичит, туда и вставляй :) В ядре критично, в прикладухе <br>&gt; не заметишь, <br>&gt; ну можно только в совсем часто и интенсивно используемых местах.<br><br>Так при переключении контекста обычно ставят, разве нет?<br> https://www.opennet.ru/openforum/vsluhforumID3/113843.html#130 Wed, 21 Mar 2018 07:58:06 GMT &gt; никаких других массовых и достаточно мощных процессоров все равно нет - ни <br>&gt; у интела, ни у amd, ни у ibm. Ло...клиенты никуда не <br>&gt; денутся.<br>&gt; так что, скорее всего - анонсировали то, что реально делается и будет <br>&gt; сделано в установленные сроки. Дабы не очень губы раскатывали и далеко <br>&gt; не разбредались. Опять таки - у конкурентов и того нету.<br><br>Да ну кто его знает насколько быстро IBM починит свои power-ы?<br><br>И основные проблемы видятся как раз в клиентах типа крупных корпораций и хостеров, если сейчас начнут пробивать виртулаки amazon-ов/гугла/крупных облачных провайдеров/!БАНКОВ! то тут в дело могут пойти жалобы регуляторам и паяльники от спецслужб, а это наверняка не понравится текущим управляющим.<br>А это как раз отличный момент что-бы выстрелить тому-же Oracle или кому поменьше, со своими немного специализированными процессорами под конкретные нужды.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/113843.html#129 Wed, 21 Mar 2018 07:52:22 GMT &gt;&gt; Intel обеспечит аппаратную защиту <br>&gt; "Аппаратную". Теперь будет тормозить из коробки, и отключить будет невозможно.<br><br>ну так дошли до крышки по производительности даже с шагом &lt;10% сейчас под предлогом безопасности снизят на 30% и можно будет ещё спокойно 3 новые поколения выпускать.<br> https://www.opennet.ru/openforum/vsluhforumID3/113843.html#128 Wed, 21 Mar 2018 07:49:33 GMT &gt;&gt; аппаратная защита будет эффективна <br>&gt; Получай рута, шли пару байт в MSR и дампи пароли соседней виртуалки. <br><br>Как бы рута на оракле на поверах получить, мне всего-то пару пакетов доставить, а то не могу hash нормальный посчитать для списка :)<br>p.s. Шутка...<br><br> https://www.opennet.ru/openforum/vsluhforumID3/113843.html#125 Tue, 20 Mar 2018 19:01:00 GMT &gt; А вот то, что продажи процессоров просели в ожидании какох-то вариантов не <br>&gt; подверженных уязвимости - это уже совсем другое дело, никто не хочет <br><br>и какой тогда смысл ронять их еще больше - обещая в самом ближайшем будущем цветную капусту?<br><br>&gt; Причем самое забавное что вполне вероятно что ничего в общанный срок в <br>&gt; продажу не поступит.<br><br>и продажи и еще упадут. Ну и - зачем ?<br><br>Если действовать в этом направлении - правильней проанонсировать какие-нибудь глобальные изменения лет этак через несколько. Чтобы все понимали, что бизнес-планы на ближайшие три года пересматривать бестолку, надо брать что есть и побольше (разнося сервисы по физически изолированным железкам), побольше. <br>(через три года все уже забудут, можно будет извиниться и сказать что ой, не получилось)<br><br>никаких других массовых и достаточно мощных процессоров все равно нет - ни у интела, ни у amd, ни у ibm. Ло...клиенты никуда не денутся.<br><br>так что, скорее всего - анонсировали то, что реально делается и будет сделано в установленные