知識星球來自:開源中國
內容整合自:iThome、CSDN、expreview
2018年1月2日,英特爾曝出的CPU設計漏洞事件一經曝光,就迅速引起業內硬體同行、作業系統廠商、雲供應商的迅速反應。如果不能從硬體層面修複該漏洞,那麼將意味著只能在作業系統層面操作,要麼就必須更換新的CPU晶片。
1月22日,多家權威科技媒體報道稱,Spectre 漏洞陰影餘波蕩漾,Linux 作業系統安裝修複程式後頻頻出包。Linux 之父 Linux Torvalds 週一在Linux群組論壇公開炮轟,英特爾提供給 Linux 的 Spectre 修複程式是完全無用的垃圾(complete and utter garbage)。
此前Torvalds就公開評論Intel不承認自己的CPU有問題,而“在公關稿裡混淆視聽,說他們的產品是按照設計正常工作”。此次,由於英特爾遲遲沒有解決晶片設計漏洞的問題,Linux Kernel 4.15版本不得不推遲上線,讓怒不可遏的Torvalds再次怒懟英特爾。
“IBRS就是完全的垃圾”
Torvalds在與亞馬遜工程師David Woodhouse探討Linux Kernel郵件串列中提到:我確實想今天釋出Linux Kernel 4.15版,但事實顯然讓我覺得不太滿意。因為他們告訴我,還有一些網路修複工作還未完成,Laura Abbott 發現並修複了一個非常微小的引導錯誤,並於昨日才開始進入開發週期,所以我無法告訴大家我們的4.15版本是否可行。
……這應該很容易解決。修複 Meltdown和IBRS的部分都沒有做好,完全不能讓人接受。
……有些人並沒有在講真話!為了不明不白的原因,有人正在將完全的垃圾釋出出來!我很抱歉我需要直白地指出這一點……
……這貨究竟在乾什麼?現在的方案實際上忽略了許多更糟的問題,也就是說整個硬體介面實際上是由低能人錯誤設計出來的……
……我們已經知道在現有的硬體 IBRS 的開銷非常大,而且是完全的垃圾。有理智的人沒人會這樣來使用,因為成本太高了。我認為我們需要比這個垃圾更好的東西。
“英特爾的新增補丁都是多餘的”
為了修補Spectre漏洞,英特爾提供的間接分支限制推測(indirect branch restricted speculation, IBRS)功能會造成系統效能大幅降低。Torvalds 認為,“IBRS_ALL功能顯示,英特爾並沒有認真看待此事…他們自己不想啟用此功能,因為效能會十分難看,將責任推到別人身上。因此英特爾將垃圾推給我們。”他說。
Linux Torvalds 認為英特爾在修補 Spectre 上的做法相當糟,採用間接分支限制推測會造成系統效能大幅下滑,因此英特爾不打算啟用這項功能,卻將責任推諉至他人身上,等於試圖將垃圾推給他人。
實際上,關於此次漏洞如何修複,Torvalds有著自己的看法:“首先需要解決Meltdown漏洞的問題,因為它是影響英特爾晶片的關鍵因素,而不是一刀切全面展開,這使得使用者或管理員必須啟動整套修複程式。”
同時,Torvalds還指出,在現有的解決方案中新增的補丁完全是多餘的,或者說沒用的,例如Google Project Zero團隊使用的“retpoline”技術已經緩解了漏洞問題,為什麼英特爾還要多加一層保護呢?
因此,Torvalds推測,英特爾的主要技術IBRS,即“間接分支限制預測”效率太低,根本無法普及,最終導致了效能降低。結果,它使得有關Meltdown漏洞的修複變得不那麼必要,並讓補丁變得越來越複雜。
漏洞修複補丁問題頻發
Torvalds 應該不是唯一一個對 Spectre修複程式感到氣憤的人。光是 Linux 陣營,本月初 Red Hat 曾經釋放出包含英特爾包含 Spectre 漏洞修補機碼的更新,卻分別造成使用者系統效能大幅震蕩甚至無法開機,上週只好再釋放出拿掉機碼的更新,要使用者自己找CPU及伺服器廠商負責。Ubuntu也發生類似的事。
此外,Windows釋放出的Spectre、Meltdown更新也讓AMD Opteron、Athlon和AMD Turion X2 Ultra CPU的Windows電腦無法開機一度撤回,上週修正後再又重新釋出。Linux/AMD組合則尚未聽到問題。
Intel 發聲:暫時別更新補丁
隨後英特爾方面宣告稱:“我們非常重視行業合作伙伴的反饋意見。我們正在積極與包括Linus在內的Linux社群同行進行合作,因為我們正在尋求解決方案。”
很快,以 Intel 資料中心業務總裁 Navin Shenoy 名義發出新的公告,公告稱:
目前經確認導致 Broadwell 和 Haswell 兩個 CPU 平臺頻繁重啟的原因,請包括 OEM 製造商、系統整合商、雲服務供應商、個人使用者暫停更新安全漏洞補丁,新的補丁正在測試當中,將會在本週末釋放。
Intel放出了關於兩大安全漏洞的專題頁面,當事情有了新進展,就會不定期在頁面上更新內容,包括一些新的公告、漏洞研究分析、效能有影響測試等等 。
Intel還讓大家別再更新舊版的安全補丁了,因為頻繁重啟足以影響到你日常使用,安心地等待本週到來的新補丁吧。
●本文編號424,以後想閱讀這篇文章直接輸入424即可
●輸入m獲取到文章目錄
駭客技術與網路安全
更多推薦《18個技術類公眾微信》
涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。
