CPU

Linux 4.20修正了「幽靈」v2安全性漏洞,但效能會掉50%!

文.圖/Johan 2018-11-22 12:05:00
2018年伊始,由Google的Project Zero (俗稱GPZ)團隊於2018年1月3日在自家部落格率先揭發出「崩潰」(Meltdown)與「幽靈」(Spectre)這兩種嚴重的處理器安全性漏洞事件,致使後來包括Intel、AMD、ARM等處理器大廠都各自發表聲明,來說明應對方式與解決方法。而軟體大廠也紛紛推出各式安全性更新,以嘗試彌平這次的「災難」!

就連Intel最新的第九代旗艦處理器Core i9-9900K,透過InSpectre軟體來檢測,仍存在著「崩潰」(Meltdown)的安全性漏洞!


Windows平台陸續有更新,Linux也有修正出來了!

先前Intel透過釋出各種微碼更新,搭配各主機板廠商釋出BIOS Update,來將Meltdown與Spectre的漏洞彌補起來,但效能可能降低個最多30%,這還只是Windows平台的部份而已。

至於Linux平台方面,Linux之父Linus Torvards早在2018/1/3當天首度公開表示,有*能力*的CPU研發工程師,可以透過確保「推測執行」不會發生在保護區域,來解決這個問題。他認為Intel公司內部的人需要真正地對待他們的CPU,並且實際上承認他們有問題,而不是寫公關手冊,說明一切都按照設計進行… (請看原文的信函中,裡面有許多不雅的字語出現)。

然而針對Linux平台來說,要彌補這個漏洞似乎不容易,畢竟Spectre與Meltdown的衍生性漏洞一直被發現,因此Linux社群花了不少時間去修補。不過,在最新發布的Linux內核4.20版,已經修正了這個漏洞了! 只是,效能可能掉很多!

某些效能會掉高達50%,使用者可以選擇要不要進行修正

在Linux 4.20的內核中,修正了不少問題,而這個版本也加入了一些Spectre與Meltdown的漏洞修正,可以讓具備SMT(Simultaneous Multi-Threading,同時多執行緒)技術之處理器在進行STIBP (Single Thread Indirect Branch Predictors,單執行緒間接分支預測器)時,免於受到幽靈v2的變種漏洞攻擊。

然而根據Linus Torvards在此信函表示,雖然這次的修正很穩定了,但他在討論區並沒有看到有人提及這次的修補所造成的效能影響有多糟糕!他表示在某些負載下,效能會能會降低50%。因此他建議大家需要開始問自己,使用這樣的修補(卻要降低50%效能)是否值得。他認為應該使用跟與L1TF漏洞相同的邏輯,也就是:自定值不應該是要讓任何會導致效能降低的開關給開啟才對,因此這次的做法有待更正。



由於Linux 4.20自定把STIBP安全性修正開啟,導致效能驟降情況很明顯。影響的處理器範圍,從低階到高階都有,包括低階的Core i3,高階的Core i7,甚至伺服器級的Xeon E5 v3等處理器。根據Phoronix網站的測試,甚至Xeon Gold伺服器的在開啟STIBP安全性修正時,某些效能還輸給EPYC伺服器!

在意效能者,先繼續用Linux 4.19;在意安全者,升級至4.20吧!

簡單來說,當您的Linux已經升級到Kernel 4.20版,且使用Intel處理器,並升級到最新的Microcode(微碼)時,執行一些PHP、Python、Java程式都有可能效能降低,甚至執行一些遊戲,也會有效能減損的問題!據悉,Intel STIBP的安全性修正早在Kernel 4.19版本時就有加入,但當時自定值是關閉的,直到4.19.2時,STIBP自定值就被開啟。而由於不少人是從4.19直接升級到4.20版,才發現效能掉很大!因此Linux社群也議論紛紛,有些是認為是否能在Linux 4.20的Intel STIBP修正中,加入一個選項來關閉這項功能,以讓效能不至於驟降那麼多。



因此,若您在意效能的話,就暫時先讓您的Linux Kernel保持在4.19版以下吧!目前最新的Kernel穩定版是4.19.3,這個版本暫勿更新上去!若您非常重視系統整體安全,絲毫不能承受任何駭客攻擊,那就升級至4.20吧!只是效能可能最多掉了50%!您不如就當作這像是兩顆硬碟拿來做RAID 1,容量減半,但資料更安全就是了!若想要把效能補回,那就再買一台一樣的Intel電腦把效能追回來吧!又或者等下一版的Linux Kernel把STIBP的開關還給使用者之後,讓使用者可以自行決定是否開啟,再升級到新的Linux Kernel吧!

Ubuntu 18.04.1 LTS使用Linux Kernel 4.15,暫時不會有效能降低問題


發表您的看法

請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。

請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。

請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。

請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。

請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。

您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。