Когда мы счастливы, мы всегда добры; но когда мы добры, мы не всегда счастливы

В школьной столовой. ...

В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla
Tue, 15 Jan 2019 21:10:37 +0300

Проект LLVM ввёл в строй официальное Git-зеркало в ходе миграции с SVN
Tue, 15 Jan 2019 10:18:08 +0300

Разработчики GTK+ 3 тестируют обновлённую тему оформления
Mon, 14 Jan 2019 23:15:44 +0300

Проект Fedora проведёт чистку пакетов, оставшихся без сопровождения
Mon, 14 Jan 2019 23:06:52 +0300

Firefox 67 начнёт использовать отдельные профили для разных установок
Mon, 14 Jan 2019 10:15:10 +0300

В Firefox 69 планируется по умолчанию отключить поддержку Flash
Sun, 13 Jan 2019 13:19:47 +0300

Около 4.3% имеющихся монет Monero получены в результате майнинга вредоносным ПО
Sat, 12 Jan 2019 12:17:05 +0300

Проект Fedora предложил оценить новые варианты логотипа
Fri, 11 Jan 2019 11:28:49 +0300

Медиаплеер VLC преодолел рубеж в три миллиарда загрузок. Выпуск VLC 3.0.6
Fri, 11 Jan 2019 09:15:46 +0300

Google наметил на 9 июля начало массовой блокировки в Chrome неприемлемой рекламы
Thu, 10 Jan 2019 12:48:52 +0300

В DNF предлагают встроить UUID для идентификации установок Fedora
Wed, 09 Jan 2019 12:19:43 +0300

Debian тестирует поддержку UEFI Secure Boot
Tue, 08 Jan 2019 07:46:54 +0300

GitHub частично перевёл приватные репозитории в разряд бесплатной опции
Mon, 07 Jan 2019 23:21:50 +0300

NVIDIA объявила о поддержке открытого стандарта FreeSync/VESA Adaptive-Sync
Mon, 07 Jan 2019 13:15:57 +0300

Европейская комиссия учредила вознаграждение за поиск ошибок и уязвимостей в СПО
Mon, 07 Jan 2019 10:45:47 +0300

Новости OPENNET
Новости

Исследователи безопасности, выявившие уязвимости в системе спекулятивного выполнения команд современных процессоров, открыли доступ к рабочим протипам эксплоитов, созданным для демонстрации возможности совершения атак Meltdown и Spectre. В том числе открыт код библиотеки libkdump, которая использовалась в демонстрациях возможности перехвата ввода паролей, обхода KASLR, доступа к памяти хост-системы из гостевой системы KVM и определения содержимого произвольных областей физической памяти (physical_reader и memdump). Наилучшие результаты работы эксплоитов отмечаются на процессорах с поддержкой Intel TSX (Intel Core i7-5xxx, i7-6xxx или i7-7xxx). Ранее доступ к репозиторию на GitHub был ограничен.

Кроме того, накопилась большая подборка заметок с оценкой изменения производительности систем, после применения к ядру Linux патчей KPTI и retpoline для блокирования атак Meltdown и Spectre. Общий вывод указывает на то, что накладные расходы вполне терпимы на системах, поддерживающих PCID (Processor-Context ID). На системах без поддержки PCID замедление работы существенно и необходимо отдельно оценивать, что важнее, провал производительности, который может составлять до 30%, или риск эксплуатации уязвимости Meltdown (например, атака маловероятна на однопользовательских системах и рабочих станциях с обновлёнными версиями браузеров).

В обычных условиях при использовании патча KPTI переключение контекста во время системного вызова приводит к сбросу кэша с данными трансляции физических адресов в виртуальные, что значительно снижает производительность. PCID позволяет обойтись без сброса кэша трансляции адресов (TLB, Translation Lookaside Buffer), давая возможность привязать содержимое прокэшированных страниц памяти TLB к идентификатору контекста и ограничить операции сопоставления только для разрешённого в данный момент контекста (элементы кэша TLB с другим PCID не затрагиваются при переключении контекста).

PCID поддерживается в большинстве моделей процессоров, выпускаемых с 2010 года (проверить можно по наличию флага "pcid" в /proc/cpuinfo). В гостевых системах KVM и VMWare, а также в половине окружений AWS, PCID не доступен. Кроме того, поддержка PCID появилась только в ядре Linux 4.14, поэтому снижение накладных расходов будет заметно только на системах с ядром 4.14+ или в дистрибутивах, портировавших поддержку PCID в более старые ядра. Для систем x86 исправления включены в обновление 4.15-rc7 и 4.14.12 (рекомендовано подождать 4.14.13 с дополнительными правками) и также подготовлены для веток 4.9 и 4.4. Исправления для ARM64 включены в состав вариантов ядра для платформы Android

3.18,

4.4 и

4.9, но в основном ядре появятся только в выпуске 4.16.

Некоторые другие события, связанные с уязвимостями Meltdown и Spectre:

  • Компания Intel вчера выпустила обновление микрокода для большого числа актуальных и устаревших моделей процессоров. Обновление доступно в виде пакетов для Red Hat Enterprise Linux, SUSE Linux Enterprise Server, CentOS, Fedora, Ubuntu, Debian и Chrome OS, позволяющих обновить микрокод без обновления BIOS. Обновление микрокода не отменяет необходимости применения KPTI-патчей к ядру Linux (микрокод необходим для полноценного закрытия уязвимости Spectre);
  • Компания Intel также опубликовала результаты собственной оценки влияния исправлений на производительность. В тестах SYSmark 2014 SE на системах с восьмым поколением CPU Intel Core наблюдается снижение производительности на 2-14% (в среднем 6%);
  • По информации от компании Red Hat использование патчей для устранения уязвимостей в Red Hat Enterprise Linux 7 приводит к замедлению выполнения задач на 1-20%:
    • Наибольшее проседание производительности (8-20%) наблюдается в работе СУБД на нагрузках OLTP, при случайном доступе к прокэшированной памяти, при активном буферизированном вводе/выводе, при большой интенсивности переключения контекста между ядром и пользовательским уровнем (выполнение системных вызовов). Большие потери наблюдаются в тестах tpc, sysbench, pgbench, netperf (до 256 байт) и fio (случайный доступ к памяти NvME).
    • Падение производительности на 3-7% отмечается при выполнении аналитических запросов в СУБД, в системах поддержки принятия решений (DSS) и в Java VM, в моменты интенсивного обмена информацией по сети или при обращениях к диску.
    • Снижение производительности на 2-5% наблюдается в решениях HPC (High Performance Computing) при большой вычислительной нагрузке на CPU, если большинство работ выполняется в пространстве пользователя с применением привязки к ядрам CPU или использованием numa-control (например, тесты Linpack NxN и SPECcpu2006);
    • Минимальное влияние на производительность (менее 2%) проявляется в системах, в которых применяются методы прямого доступа к ресурсам в обход функций ядра и различные техники offload-ускорения. Например, тесты DPDK (VsPERF 64 байт) и OpenOnload (STAC-N).
  • Доступно обновление ядра c устранением уязвиомости Meltdown для Ubuntu 12.04 (ядро 3.2), 14.04 (ядро 3.13), 16.04 (4.4) и 17.10 (4.13). Внимание, в обновлении ядра для Ubuntu 16.04 выявлена критическая ошибка, приводящая к невозможности загрузки.
  • Phoronix изучил падение производительности при использовании в Ubuntu ванильного ядра 4.14 и патчей KPTI+Retpoline, падение производительности довольно ощутимо: от 9% до 4 раз в тесте Flexible IO Tester, 18-23% в тесте FS-Mark, 16-22% в тесте Compile Bench, 22-27% в тесте NGINX Benchmark и 26-32% в тесте Apache Benchmark;
  • Проект Debian GNU/Linux выпустил обновление 64-разрядных сборок ядра (3.2, 3.16, 4.9 и 4.14) с патчами KPTI для wheezy, jessie, jessie-backports, stretch и unstable/sid. Для 32-разрядных систем, а также для веток stretch-backports, testing/buster и experimental обновления пока недоступны. Патчи для блокирования Spectre находятся в процессе рассмотрения, из приложений
  • Spectre пока устранён в пакете с Firefox в Debian unstable, обновление Chromium пока не добавлено;
  • Для SUSE/openSUSE выпущено обновление ядра с патчами для противостояния Meltdown и Spectre;
  • Для ALT доступно обновление ядра до версий 4.9.75 (LTS) и 4.14.12 (дополнительное), включающих патчи KPTI;
  • Разработчики OpenBSD и FreeBSD готовят патчи для своих систем. Theo de Raadt, основатель OpenBSD, высказал возмущение практикой упреждающего информирования о проблемах только самых крупных компаний, что ставит остальные в ранг проектов второго сорта. Для DragonFly BSD опубликован начальный вариант патча, который приводит к снижению производительности на 5-12% на процессорах серии Skylake и 12-53% на CPU Haswell;
  • IBM выпустил обновление микрокода для устранения уязвимости Meltdown в процессорах POWER7+ и POWER8. Также опубликованы специфичные для CPU POWER патчи для устранения проблемы в дистрибутивах Linux (RHEL, SUSE, Ubuntu). Для POWER9 обновление запланировано на 15 января. Исправление для AIX и IBM i ожидается 12 февраля;
  • Доступно обновление проприетарных драйверов NVIDIA (390.12, 384.111) с блокированием применения атаки Spectre к драйверам;
  • Для распределённой ФС Lustre отмечена потеря производительности при применении KPTI патчей от 10% до 45% в зависимости от конфигурации и нагрузки. Наибольшие потери наблюдаются при связке "zfs+compression+lustre" и выполнения rsync для большого числа мелких файлов;
  • Инженеры из компании Branch Metrics отметили увеличение нагрузки на CPU примерно на 20% после применения патчей против Meltdown к окружению на базе AWS EC2. Другие пользователи отмечают падение производительности
  • AWS EC2 на 5-30%;
  • Отмечено падение производительности Python на 37% после применения обновления c защитой от Meltdown на платформе Windows 7. Microsoft подтверждает потерю производительности, но не приводит конкретных цифр. Также наблюдаются серьёзные проблемы с совместимостью обновления от Microsoft с антивирусным ПО и надстройками для защиты Windows.

67.0820 76.9498 0.6174 9.9329

НОВОСТИ: Проект elementary OS представил новый браузер Ephemeral Sun, 13 Jan 2019 11:57:54 +0300

Один из основателей проекта elementary OS представил новый web-браузер Ephemeral, развиваемый командой разработчиков elementary OS специально для данного дистрибутива Linux. Для разработки использован язык Vala, GTK3+ и движок WebKitGTK+ (проект написан с нуля и не является ответвлением от Epiphany). Код распространяется под лицензией GPLv3. Готовые сборки подготовлены только для elementary OS, но при желании браузер может быть собран и для других дистрибутивов.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome