Intel CPU的重大硬件安全bug "Meltdown"，修复后会降低最多30%性能【更新】

本文地址：http://www.moepc.net/?post=4033

更新Windows上的Meltdown补丁检测方法

要修复这些漏洞还需配合BIOS微码更新。

这是微码更新后的完全体：

操作系统版本要求：

Windows 10 (RTM, 1511, 1607, 1703, 1709)
Windows 8.1
Windows 7 SP1

安装2018年1月3日的安全更新

然后运行PowerShell，下载模块
Import-Module PowerShellGet

安装PowerShell模块的代码

PS > Install-Module SpeculationControl

运行PowerShell模块，验证保护是否启用

PS > Get-SpeculationControlSettings

会显示如下代码：

PS C:> Get-SpeculationControlSettings

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True

Windows OS support for branch target injection mitigation is present: True

Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True

Windows OS support for kernel VA shadow is present: True

Windows OS support for kernel VA shadow is enabled: True

Windows OS support for PCID optimization is enabled: True

是True的就代表开启了。完全修复需要全部为Ture，AMD处理器不需要修复Meltdown [CVE-2017-5754，rogue data cache load]

AMD处理器不受Meltdown影响，因此VA shadowing为False

Intel处理器受Meltdown影响，因此需要VA Shadowing

这只是Windows补丁的检测方法。Windows补丁对性能影响并不大。Windows补丁+BIOS微码更新都生效的时候，才会有比较明显的影响。

=====早前的内容 2018/01/03========

正在流传关于Intel CPU重大硬件bug的消息，该bug【现在还处于保密状态】导致的安全问题直接影响到Amazon、Google等巨型云服务商，能够直接对同一台主机内的其他虚拟机进行读写操作。

相应的补救措施正在进行中，据称修复后对硬件性能会带来最高30-35%的负面影响。

【更新去年11月的一则补丁信息：通常会有个位数的性能影响，平均5％；但最差的情况下性能会降低30％，比如有大量syscall(系统调用) 和context switch(上下文切换) 的环回网络测试

Phoronix的最新测试表明个别极端情况下会超过50%。

更新Phoronix对Linux补丁的性能测试，I/O，SQL等测试性能下降明显，部分项目超过50%。

这是Phoronix今年1月3日在Linux 4.15的测试。

本文地址：http://www.moepc.net/?post=4033

x264等基本只活动于用户空间的程序则基本不变

本文地址：http://www.moepc.net/?post=4033

Linux游戏性能没有变化

Epicgames称Fortnite的后端服务之一打了Meltdown补丁后导致登录问题和服务不稳定
主机负载情况如下

Elasticache Sauce服务器

 AWS EC2 Sauce

EVE Online服务器

不影响.jpg?】

Page Table Isolation （PTI）正被被迅速引入Linux4.15内核标准，还被移植回了4.14。大量内核改动被放进KAISER 系列补丁，首次发布是在10月。

本文地址：http://www.moepc.net/?post=4033

概念很简单，当进程在用户空间中运行时，通过尽量不在进程页表中映射Linux内核，阻止试图从非特权用户空间的代码对内核虚拟地址范围进行的识别。

抽象来讲，当用户代码在CPU中运行时，会移除内存管理硬件中内核地址空间的所有信息。

该代码已经涉及到了内核的基础 – 核心部分，而且补丁的优先级非常高，十万火急。

通常Linux内存管理的补丁，在整合前很久就会发布首个reference，然后经历无数轮测试、退回、测试、退回的轮回。

而KAISER(现在称KPTI)在3个月内就完成了整合。

【那行X86_CPU_BUG_INSECURE的flag已经足够明显…附带“CPU不安全，需要PTI”的注释】

微软从去年11月也开始进行类似功能 – ASLR/VA Isolation的开发，Windows 10 Fast Ring的用户应该很快会收到补丁。

PTI是给Intel CPU准备的，为的就是解决Intel CPU硬件bug导致的安全问题。PTI影响到虚拟内存等核心功能，因此在某些情况下会带来极大的性能损失：i7-6700【Skylake-S】降低29%性能；i7-3770S【IvyBridge-S】会损失34%性能。受影响的是所有乱序执行的 Intel处理器，免于其难的只有Itanium和顺序执行的Atom – Saltwell和Bonnell。

AMD Linux内核/软件工程师 Thomas Lendacky称AMD CPU由于架构上并不允许memory references，并不受这类bug的影响，也无需开启PTI。

【0104更新：AMD提交的PATCH已经整合进Linux 4.14.12和4.15.RC7，不必担心和Intel一起性能受损失了。

– /* Assume for now that ALL x86 CPUs are insecure */
– setup_force_cpu_bug(X86_BUG_CPU_INSECURE);
+ if (c->x86_vendor != X86_VENDOR_AMD)
+ setup_force_cpu_bug(X86_BUG_CPU_INSECURE);

如果CPU不是AMD的，就会强制开启PTI。】

本文地址：http://www.moepc.net/?post=4033

via：https://www.reddit.com/r/sysadmin/comments/7nl8r0/intel_bug_incoming/?st=jbxs4ws8&sh=9ece41ac

更新：Phoronix

https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pt

MOEPC.NET编译，转载请保留出处。