Kernel geheugen lekt op intel cpu's, is dit het einde van intel?

Wil je iets weten over de hardware van een computer? Draait je CPU fan niet meer? Je printer wil niet meer mee?
Dan moet je hier zijn.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

MAC / windows / linux affected indien intel CPU

https://it.slashdot.org/story/18/01/02/ ... s-redesign
https://www.theregister.co.uk/2018/01/0 ... sign_flaw/

AMD is niet affected
https://lkml.org/lkml/2017/12/27/2

voor intel is er een linux workaround door beide memory spaces volledig te scheiden, maar met een 5 a 30% performance hit
dit lijkt wel voer voor een class action tegen intel

als je ziet dat ze tegen apple een zaak hebben aangespannen voor het vertragen van oudere iphones met een versleten batterij om de batterijduur artificieel te verlengen, dan zou het mij niet verbazen

de implicaties in grote intel deployments zijn gigantisch
Fireblade
Premium Member
Premium Member
Berichten: 521
Lid geworden op: 03 feb 2008, 14:29
Locatie: Ninove
Uitgedeelde bedankjes: 11 keer
Bedankt: 15 keer

Afwachten wat MS gaat doen, hoe zij KPTI gaan aanpakken. Hopelijk doen ze W10 Home niet aan, en zo wel, dat ze dan maar 's goed geoptimaliseerde code schrijven ('t zou ook één van de zeldzame keren zijn dat dat zou gebeuren).

29% performance verlies op m'n i7-6700 (bron https://hothardware.com/news/intel-cpu- ... dows-macos), dat kan ik me van tijd tot tijd moeilijk veroorloven..
To download or not to download, that's the question.
ubremoved_983
Elite Poster
Elite Poster
Berichten: 3868
Lid geworden op: 20 maa 2004, 20:10
Uitgedeelde bedankjes: 84 keer
Bedankt: 46 keer

Fireblade
Premium Member
Premium Member
Berichten: 521
Lid geworden op: 03 feb 2008, 14:29
Locatie: Ninove
Uitgedeelde bedankjes: 11 keer
Bedankt: 15 keer

He knows it. He effing knows it.
To download or not to download, that's the question.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

insider trading
tb0ne
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 24 aug 2012, 11:49
Uitgedeelde bedankjes: 27 keer
Bedankt: 85 keer

Dat maakt Ryzen nog wat aantrekkelijker...
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Blijkbaar is het intel probleem het topje van de ijsberg:

ASLR on the Line: Practical Cache Attacks on the MMU

http://www.cs.vu.nl/~giuffrida/papers/anc-ndss-2017.pdf
Gebruikersavatar
mailracer
Elite Poster
Elite Poster
Berichten: 3872
Lid geworden op: 23 feb 2010, 21:03
Uitgedeelde bedankjes: 217 keer
Bedankt: 315 keer

Ik verwacht serieus marktverlies voor Intel nu. Ik ben benieuwd hoe ze zich hieruit gaan helpen. Praktische elke CPU heeft er last van. Wel raar dar het nu pas naar boven komt en AMD er blijkbaar al een beveiliging voor heeft ingebakken. En dat in het begin van een nieuw jaar. Lijkt wel opgezet spel. :roll:
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

mailracer schreef:Ik ben benieuwd hoe ze zich hieruit gaan helpen.
Een recall zoals de Pentium bug destijds ?

Maar als dit onderdeel is van hun design moet men dat wel eerst fixen.
mailracer schreef:AMD er blijkbaar al een beveiliging voor heeft ingebakken
AMD heeft er geen beveiliging voor ingebakken... ze gebruiken het concept gewoon niet in hun design.
Tomby
Elite Poster
Elite Poster
Berichten: 6350
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1287 keer
Bedankt: 486 keer
Recent bedankt: 2 keer

mailracer schreef:Wel raar dar het nu pas naar boven komt en AMD er blijkbaar al een beveiliging voor heeft ingebakken.
Voor zover ik het begrijp, heeft het niets met betere beveiliging van AMD te maken, maar met een design flaw in een Intel feature ('speculatieve geheugenreferenties') dat AMD niet heeft : https://tweakers.net/nieuws/133451/patc ... nlijk.html . Dus het eerder dat AMD een risicovol feature niet ingebakken heeft, en dat dus een goede beslissing bleek.
r2504 schreef:Een recall zoals de Pentium bug destijds ?
De vulnerability zou er al verschillende generaties zijn, dus de impact is veel groter dan met die Pentium bug destijds. Een full recall lijkt me compleet onmogelijk.
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

mailracer schreef:ik ben benieuwd hoe ze zich hieruit gaan helpen
Een bon/code die je kan claimen die je recht geeft op een korting gelijk aan 30% van de waarde van je huidige Intel CPU. Uiteraard enkel geldig bij je volgende Intel aankoop.

Dit zou perfect legaal zijn, geen extreem groot marktverlies betekenen (toch niet direct) en financieel doenbaar te zijn door de volgende generaties (nog) duurder te maken. Hoe je het ook draait of keert, de consument is zwaar gepakt hiermee. In hoeverre dat ik mij daar nu persoonlijk druk om maak is iets anders, ik durf gerust te stellen dat het performance verlies voor het gros van de consumenten in de praktijk niet zichtbaar gaat zijn (buiten dan als je een benchmark gaat draaien natuurlijk)

Ik maak me wel zorgen over datacenters en virtualisatie performance op hosts met vsphere, xen of kvm bvb ... ik denk dat dat voor bedrijven en providers een serieuze opdoffer gaat zijn. Ik durf zelfs stellen dat het performantie verlies op vsphere e.d. Een pak hoger zal zijn dan wat nu word aangetoond in de synth. Benchmarks.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Gebruikersavatar
mailracer
Elite Poster
Elite Poster
Berichten: 3872
Lid geworden op: 23 feb 2010, 21:03
Uitgedeelde bedankjes: 217 keer
Bedankt: 315 keer

AMD processors are not subject to the types of attacks that the kernel page table isolation feature protects against. The AMD microarchitecture does not allow memory references, including speculative references, that access higher privileged data when running in a lesser privileged mode when that access would result in a page fault.
https://www.theregister.co.uk/2018/01/0 ... sign_flaw/
tb0ne
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 24 aug 2012, 11:49
Uitgedeelde bedankjes: 27 keer
Bedankt: 85 keer

Zoals ik het zie heeft Intel een berekend risico genomen om zijn chips sneller te laten werken.
AMD heeft gekozen dat niet te doen, daar kunnen ze nu hun voordeel uit halen.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

't is nog veel erger dan gedacht:

https://googleprojectzero.blogspot.be/2 ... -side.html

o.a. KVM guests die de kernel memory van de host kunnen lezen

Dit wordt de nachtmerrie van de cloud:

https://spectreattack.com/
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ub4b schreef:'t is nog veel erger dan gedacht:

https://googleprojectzero.blogspot.be/2 ... -side.html
Ik heb het niet helemaal gelezen maar hierin geeft men aan dat AMD en ARM processors WEL kwetsbaar zijn !?
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

Er gaan gewoon wat koppen rollen en verder gaat het zijn gewone gang weer verder gaan. Ik denk niet dat dit het einde is van Intel.
De CEO voelde de bui al hangen, in november wist hij al van het probleem en heeft hij 24 miljoen aan aandelen verkocht :roll:
liber!
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 09 apr 2006, 17:48
Twitter: nathan_gs
Uitgedeelde bedankjes: 231 keer
Bedankt: 80 keer
Recent bedankt: 1 keer

ub4b schreef:Dit wordt de nachtmerrie van de cloud:
De major cloud providers: AWS, Azure & GCP rollen de patchen nu uit. Hoelang gaat het duren tot de lokale IT dit doet?
tb0ne
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 24 aug 2012, 11:49
Uitgedeelde bedankjes: 27 keer
Bedankt: 85 keer

Sommige AMD processoren hebben ARM cores aan boord voor zover ik begrijp.

Iemand enige info over Vmware?
brubbel
Elite Poster
Elite Poster
Berichten: 919
Lid geworden op: 04 jul 2012, 16:55
Uitgedeelde bedankjes: 76 keer
Bedankt: 174 keer
Recent bedankt: 1 keer

Mijn 11 jaar oude Intel core 2 duo wordt dus 30% sneller(*)!
(* relatief gezien)
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1322
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 77 keer
Bedankt: 135 keer

brubbel schreef:Mijn 11 jaar oude Intel core 2 duo wordt dus 30% sneller(*)!
(* relatief gezien)
Neen, want Meltdown treft alle Intel CPU's vanaf de Intel Pentium Pro en daaropvolgende Pentium 2, 3, Pentium M, Core (1), Core 2 en nu de Core i<X>. De Pentium Pro wordt al verkocht sinds eind jaren negentig, dus je kan stellen dat die bug al minstens twintig jaar bestaat.
brubbel
Elite Poster
Elite Poster
Berichten: 919
Lid geworden op: 04 jul 2012, 16:55
Uitgedeelde bedankjes: 76 keer
Bedankt: 174 keer
Recent bedankt: 1 keer

Dan is het echt wel een doos van Pandora. Niemand gaat al die 'verborgen' devices (Tv's, smartphones, mediaplayers, routers, etc) updaten.
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

r2504 schreef:
ub4b schreef:'t is nog veel erger dan gedacht:

https://googleprojectzero.blogspot.be/2 ... -side.html
Ik heb het niet helemaal gelezen maar hierin geeft men aan dat AMD en ARM processors WEL kwetsbaar zijn !?
Niet voor Meltdown, wel voor Spectre. Spectre kunnen ze (volgens hun) fixen met een software-update. Meltdown heeft een fix nodig die een performance hit geeft.
Bij Linux heeft AMD alleszins wel uit hun patch gehaald (Phoronix. Maar ik denk dat ze wel nog als insecure worden aangeduid voorlopig.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Het is echt creepy wat mogelijk is:

https://meltdownattack.com/meltdown.pdf

Cpu's met out of order execution + caching kunnen dus met side channel attacks uitgelezen worden.
één zo'n side channel attack is flush+reload, en die werkt dus met sommige oudere AMD's dus wel, maar niet met de laatste versies:

https://eprint.iacr.org/2013/448.pdf

GTA V parodie is nu realiteit geworden:

[youtube]9GP0KDuzgBc[/youtube]
Abusimbal
Elite Poster
Elite Poster
Berichten: 1990
Lid geworden op: 30 okt 2004, 13:34
Uitgedeelde bedankjes: 305 keer
Bedankt: 107 keer

Hardware.info heeft ook een artikerl gemaakt: https://nl.hardware.info/reviews/7848/2 ... het-lek-in
Telenet All-Internet (Gigabit optie)
Samsung Galaxy S22 Ultra
Ubiquiti UDM Pro
Synology DS3615xs
Nvidia Shield TV console
Intel NUC 13 Extreme i7 13700K
Microsoft Surface Pro 8
Garmin VivoSmart 5 (activity tracker)
brubbel
Elite Poster
Elite Poster
Berichten: 919
Lid geworden op: 04 jul 2012, 16:55
Uitgedeelde bedankjes: 76 keer
Bedankt: 174 keer
Recent bedankt: 1 keer

Volgens mij is nl.hardware.info incorrect.
Meltdown (CVE-2017-5754): <knip> De patch die nu voor diverse besturingssystemen beschikbaar komt verhelpt dit lek, doordat er niet langer gecombineerd wordt gespeculeerd over kernel- en userdata.
De patch dumpt de kernel cache uit het virtueel geheugen voordat naar userland wordt geswitcht, waardoor er niets meer 'secret' te rapen valt.
Dat pipelinen van code, dat kan niet afgezet worden. Daar zit ook de performance hit: de cache misses bij switchen naar kernel mode.
https://arstechnica.com/gadgets/2018/01 ... s-patches/

edit: aanpassing, comment gaat over 'Meltdown' zoals JamesEarlGray zegt.
Laatst gewijzigd door brubbel 04 jan 2018, 22:08, in totaal 1 gewijzigd.
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1322
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 77 keer
Bedankt: 135 keer

Ja, Brubbel, dat klopt. Maar dat is echter enkel om Meltdown te omzeilen. Tegen Spectre is helaas weinig te doen, behalve dan misschien Daniel Craig casten.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

JamesEarlGray schreef:Tegen Spectre is helaas weinig te doen
Er zijn wel efforts die Spectre moeilijker maken, bijvoorbeeld Javascript timers minder precies maken (want de aanval is zeer timing-gevoelig), en SharedArrayBuffer ontoegankelijk maken. Zie bijvoorbeeld deze post van Mozilla.

Microsoft heeft Edge hiervoor trouwens al gepatched... https://support.microsoft.com/en-us/hel ... -kb4056890
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1322
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 77 keer
Bedankt: 135 keer

Ja, dat klopt, gelukkig zijn er hier en daar wel al mensen bezig met de grootste gaten te vullen, maar omdat het probleem zo abstract is, valt het moeilijk snel allemaal te bedenken op welke ingenieuze manieren de zwakheid van Spectre kan misbruikt worden, vandaar dat ze stellen dat een grote verandering op niveau van processorarchitectuur nodig zal zijn om dat probleem écht op te lossen.

Maar verder dikke duim voor Mozilla, ze zijn wel goed bezig daar de laatste tijd.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

CentOS/RedHat hebben voor versie 7 van hun OS kernel 3.10.0-693.11.6.el7.x86_64 uit.

Nu draait mijn hypervisor CentOS 7 met dus bovenstaande kernel.

De guests draaien vanalles door mekaar, en daar is het niet mogelijk om CentOS7 met deze laatste kernel even snel uit te rollen.

Uiteindelijk is de side channel attack vanuit een VM mogelijk omdat deze vroeg op laat op echte hardware draait met een paar extra layers ertussen, dus guests kunnen dus het geheugen van de host uitlezen omdat de kernel van de host de caches niet dropped.

Maar wat als de hypervisor gepatched is, en de guests niet. In principe is userspace en kernelspace van de guest virtueel, en worden deze als een userprocess op de hypervisor gedraaid. Dit process kan dan wel IO doen en andere systemcalls waarvoor het de kernel nodig heeft.

Dus deze qemu processen zijn in principe meegepatched, want van zondra de hypervisor switched tussen user en kernel mode omdat qemu een systeemcall moet doen (bvb lezen/schrijven naar een image file, of networking), is KAISER actief.
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1322
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 77 keer
Bedankt: 135 keer

Volgens wikipedia (ik weet, hoort niet gebruikt te worden als bron, maar soit):
One of the paper's authors reports that paravirtualization (Xen) and containers such as Docker, LXC, and OpenVZ, are affected.[23] They report that the attack on a fully virtualized machine allows the guest user space to read from the guest kernel memory, but not read from the host kernel space.
https://en.wikipedia.org/wiki/Meltdown_ ... erability)

Het valt dus nog mee, een écht gevirtualiseerde guest kan niet buiten die context lekken, dus niet naar het host OS.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

JamesEarlGray schreef:Volgens wikipedia (ik weet, hoort niet gebruikt te worden als bron, maar soit):
One of the paper's authors reports that paravirtualization (Xen) and containers such as Docker, LXC, and OpenVZ, are affected.[23] They report that the attack on a fully virtualized machine allows the guest user space to read from the guest kernel memory, but not read from the host kernel space.
https://en.wikipedia.org/wiki/Meltdown_ ... erability)

Het valt dus nog mee, een écht gevirtualiseerde guest kan niet buiten die context lekken, dus niet naar het host OS.
Helaas valt het dik tegen:

https://googleprojectzero.blogspot.be/
kvm-host-from-guest.png
duizend
Elite Poster
Elite Poster
Berichten: 2970
Lid geworden op: 23 apr 2008, 20:36
Uitgedeelde bedankjes: 165 keer
Bedankt: 266 keer
Recent bedankt: 1 keer

Is er al bekend wanneer intel met nieuwe cpu's komt die dit problem niet hebben ?
of zijn die er al ?
Is het zinvol om hierop te wachten, ik dacht mijn pc stilaan te vervangen?
brubbel
Elite Poster
Elite Poster
Berichten: 919
Lid geworden op: 04 jul 2012, 16:55
Uitgedeelde bedankjes: 76 keer
Bedankt: 174 keer
Recent bedankt: 1 keer

Gezien het een architectuurprobleem is, denk ik niet dat er op 1-2-3 een oplossing zal komen.
Gebruikersavatar
cptKangaroo
Elite Poster
Elite Poster
Berichten: 3064
Lid geworden op: 18 dec 2004, 14:33
Locatie: 053 Aalst
Uitgedeelde bedankjes: 666 keer
Bedankt: 227 keer
Recent bedankt: 1 keer

AMD's Ryzen2 zou tegen de lente moeten uitkomen.
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14885
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1054 keer
Recent bedankt: 15 keer

Heeft AMD iets soortgelijks als de NUC?
Ik zoek een small-form factor en had mijn hoop gezet op de NUC8, maar misschien moet ik mijn horizon verruimen :)
(mijn vrouw is trouwens super content van haar NUC7i7)
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Blijkbaar niet... tenzij je zelf gaat knutselen; https://www.neowin.net/forum/topic/1340 ... intel-nuc/

Edit... toch wel wat te vinden... https://liliputing.com/2017/05/zotacs-n ... phics.html
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6438
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Die topic ... "het einde van Intel" wow.
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14885
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1054 keer
Recent bedankt: 15 keer

De eerste NUC8's zijn al gespot (NUC8i7HNK, NUC8i7HVK) maar het is de skull reeks.
$800 en $1000 en niet eens BT5 :(

@ZOTAC
Heeft toch ook vooral Intel CPU's, gelijkaardig aan de NUC's.

Eens de standaard NUC8's er zijn, ga ik eens vergelijken...
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

Ach, 2 dagen later kondigden ze een nieuwe CPU aan en men kraait er al met moeite meer naar. De stock heeft ook alweer een licht positieve trend. People don't care.

Ben ook aan het kijken voor een NUC (of iets vergelijkbaar qua kracht, compactheid en verbruik), voor ESX om wat serverkes op te draaien thuis. Maar ik wacht nog wel effe :).
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6438
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Hahahaha https://www.theverge.com/2018/1/9/16867 ... ce=twitter
Microsoft has paused distributing its Meltdown and Spectre security updates for AMD machines after reports of PCs not booting. Microsoft’s support forums have been full of complaints from PC owners with AMD processors, and the software giant has acknowledged the issue today. Microsoft is blaming AMD’s documentation for the issues.
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Plaats reactie

Terug naar “Hardware”