The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +/
Сообщение от opennews (ok) on 20-Фев-18, 10:34 
Разработчики FreeBSD предложили (https://svnweb.freebsd.org/base?view=revision&revision=329462) для обсуждения (https://lists.freebsd.org/pipermail/freebsd-stable/2018-Febr...) начальный вариант патчей, блокирующих проведение атак Spectre и Meltdown (https://www.opennet.ru/opennews/art.shtml?num=47856).  Защита от Meltdown базируется на уже опробованной в других ОС технике PTI (Page Table Isolation), основанной на разделении таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Патч таже включает оптимизации при помощи инструкции PCID, позволяющие снизить негативное влияние на производительность при включении PTI.


Защита от второго варианта атаки Spectre основана на использования новой инструкции IBRS (Indirect Branch Restricted Speculation), представленной компанией Intel в недавнем обновлении микрокода. IBRS  позволяет во время работы в зависимости от ситуации разрешать и запрещать спекулятивное выполнение косвенных переходов, например, запрещать во время обработки прерываний, системных вызовов и переключений контекста.


Для применения защиты от Spectre обязательно требуется наличие обновлённого микрокода (https://www.opennet.ru/opennews/art.shtml?num=48046) для процессоров Intel, которое пока проходит тестирование OEM-производителями перед началом массового распространения. Применение IBRS может быть отключено через sysctl, но PTI пока не отключаем, с чем в основном и связаны основные пожелания (https://lists.freebsd.org/pipermail/freebsd-stable/2018-Febr...) пользователей, участвующих в обсуждении.

Дополнительно можно отметить выпуск обновления QEMU 2.11.1 (https://www.qemu.org/2018/02/14/qemu-2-11-1-and-spectre-update/), в котором представлен механизм защиты от Spectre и Meltdown для гостевых систем, работающих под управлением гипервизора KVM. Защита от Meltdown основана на патчах  KPTI, а защита от Spectre построена с привлечением инструкций IBRS (Indirect Branch Restricted Speculation) и IBPB (Indirect Branch Prediction Barriers), предложенных в обновлённом микрокоде Intel и AMD.

URL: https://lists.freebsd.org/pipermail/freebsd-stable/2018-Febr...
Новость: http://www.opennet.ru/opennews/art.shtml?num=48105

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +11 +/
Сообщение от A.Stahl (ok) on 20-Фев-18, 10:34 
>предложили для обсуждения начальный вариант патчей

Это даже круче чем новость о выпуске альфа-версии инсталлятора для Дебиан...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  –4 +/
Сообщение от Аноним (??) on 20-Фев-18, 10:46 
>Это даже круче чем новость о выпуске альфа-версии инсталлятора для Дебиан...

Во! Во! Люди делом занимаются, а эти из соседней темы, 200000$ на бабские кружева пускают

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  –3 +/
Сообщение от Аноним (??) on 20-Фев-18, 13:30 
> Люди делом занимаются

* Copy&Paste
* Refactoring Linux code for *BSD

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

28. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +1 +/
Сообщение от Аноним (??) on 21-Фев-18, 09:41 
>>Это даже круче чем новость о выпуске альфа-версии инсталлятора для Дебиан...
> Во! Во! Люди делом занимаются, а эти из соседней темы, 200000$ на
> бабские кружева пускают

Чо ты на бабские кружева возбудился? Бабам они нравятся, а ты завидуешь?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +/
Сообщение от Andrey Mitrofanov on 20-Фев-18, 11:02 
>>предложили для обсуждения начальный вариант патчей
> Это даже круче чем новость о выпуске альфа-версии инсталлятора для Дебиан...

Новость об альфа-версии фикшенного процассера интель бужет ещё ипичнее. Рынки порвёт.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +/
Сообщение от Аноним (??) on 20-Фев-18, 15:06 
>>предложили для обсуждения начальный вариант патчей
> Это даже круче чем новость о выпуске альфа-версии инсталлятора для Дебиан...

Еще круче цитировать что-то несуществующее ... хотя аксакалам не привыкать.
Предлагали еще месяц назад, сейчас оно прилетело в стабильную ветку.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +4 +/
Сообщение от я on 20-Фев-18, 11:00 
ну как бы заголовок новости некорректный.
Предложили еще месяц назад.
Ссылка указана на коммит уже в 11-STABLE.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  –1 +/
Сообщение от пох on 20-Фев-18, 12:42 
который, к сожалению, будет очень непросто теперь откатить.

Ну просто феерические мyдаки.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +/
Сообщение от X4asd (ok) on 20-Фев-18, 11:26 
> Дополнительно можно отметить выпуск обновления QEMU 2.11.1, в котором представлен механизм защиты от Spectre и Meltdown для гостевых систем, работающих под управлением гипервизора KVM.

отлично!

> Защита от Meltdown основана на патчах KPTI,

нифига не ясно! как можно засунуть KPTI внутрь Qemu, учитывая что Qemu работает как обычная программа (даже без привелегий root)? как она сделает разделение на страницы?

> а защита от Spectre построена с привлечением инструкций IBRS (Indirect Branch Restricted Speculation) и IBPB (Indirect Branch Prediction Barriers), предложенных в обновлённом микрокоде Intel и AMD.

вообще не ясно, что за режим IBRS/IBPB был выбран? какие показатели падения производительности в итоге стали?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  –3 +/
Сообщение от Аноним (??) on 20-Фев-18, 11:39 
в случае QUEMU - он же эмулирует поведение процессора. если он эмулирует поведение хренового процессов, то уязвимость гостевой системы повышается. а если эмулирует уже патченный, то все хорошо
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +1 +/
Сообщение от Andrey Mitrofanov on 20-Фев-18, 12:13 
>> Защита от Meltdown основана на патчах KPTI,
> нифига не ясно! как можно засунуть KPTI внутрь Qemu, учитывая что Qemu
> работает как обычная программа (даже без привелегий root)? как она сделает
> разделение на страницы?

Там. По ссылкам. Не QEMU. Ядра. Патчах ядер.

" (Meltdown mitigation via KPTI does not require additional CPU functionality or microcode, and does not require an updated QEMU, only the related guest/host kernel patches). "

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  –1 +/
Сообщение от X4asd (ok) on 20-Фев-18, 12:18 
то есть в Qemu поправили Meltdown через правки -- хостового ядра и гостевых ядер?

а программисты Qemu молодцы :-)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +/
Сообщение от Аноним (??) on 20-Фев-18, 13:45 
kvm?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

31. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +/
Сообщение от Аноним (??) on 21-Фев-18, 17:39 
а чо kvm? kvm пусть сами у себя правят.
(afaik, у них и так таблица страниц отдельная для каждой vm, то есть меж-vm'ного ликинга быть не должно, а от остального как-то защитит kpti в хосте и в самой vm)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

7. "Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак..."  –2 +/
Сообщение от поледанныхотсутств on 20-Фев-18, 11:41 
А как на счёт MeltdownPrime и SpectrePrime ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак..."  +1 +/
Сообщение от Neptus on 20-Фев-18, 11:45 
Праймы - это производные от Meltdown и Spctre. Т.е. без них уже не живут....
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

20. "Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак..."  +/
Сообщение от anonymous (??) on 20-Фев-18, 16:25 
Новость про них почитай.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +/
Сообщение от Аноним (??) on 20-Фев-18, 15:21 
> но PTI пока не отключаем

amd64/amd64/machdep.c


pti = pti_get_default();
        TUNABLE_INT_FETCH("vm.pmap.pti", &pti);

        for (x = 0; x < NIDT; x++)
                setidt(x, pti ? &IDTVEC(rsvd_pti) : &IDTVEC(rsvd), SDT_SYSIGT,
                    SEL_KPL, 0);
        setidt(IDT_DE, pti ? &IDTVEC(div_pti) : &IDTVEC(div), SDT_SYSIGT,
            SEL_KPL, 0);
        setidt(IDT_DB, pti ? &IDTVEC(dbg_pti) : &IDTVEC(dbg), SDT_SYSIGT,



amd64/amd64/pmap.c:SYSCTL_INT(_vm_pmap, OID_AUTO, pti, CTLFLAG_RDTUN | CTLFLAG_NOFETCH

т.е. принципиально штатная возможность есть, нужно только убрать nofetch. А вот зачем было встраивать проверки в каждую дырку, вместо двух отдельных блоков и ifelse над ними - непонятно. Такое чувство, что плюнули на все, лишь бы как можно быстрее выкатить патч.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +/
Сообщение от пох on 20-Фев-18, 15:46 
> т.е. принципиально штатная возможность есть

только сломана, поэтому и nofetch

> Такое чувство, что плюнули на все, лишь бы как можно быстрее выкатить патч.

именно так, смузи...простите, гранты freebsd foundation не могут долго ждать, а по ним нужно отчитываться.

Подобная вредная дрянь, затрагивающая кучу тонких мест в системе, должна была быть выпущена в виде feature, специально включаемой в конфиге, а не kernel tunable, с кучей проверок на ходу.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  –4 +/
Сообщение от Аноним (??) on 20-Фев-18, 16:05 
Ближе бздеконец
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +4 +/
Сообщение от тот самый Аноним on 20-Фев-18, 16:42 
>> Такое чувство, что плюнули на все, лишь бы как можно быстрее выкатить патч.
> именно так, смузи...простите, гранты freebsd foundation не могут долго ждать, а по
> ним нужно отчитываться.

Однако, следует упомянуть, что сообщили о дыре им уже ближе к концу декабря.
А перепончатые, гордо задрав гузку и мигом забыв, что дыру они нашли совсем не сами и полугодовой форе в исправлении обязанны одному из основных, платиновых танцовальщиков - наперегонки уже ехидничали о тормозах "бздунов".
Так что будем надеяться на лучшее.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +/
Сообщение от пох on 20-Фев-18, 18:00 
> Однако, следует упомянуть, что сообщили о дыре им уже ближе к концу декабря.

а какая разница - копипастили-то из понятно чего, а оно тоже только в это же время стало доступным.

> Так что будем надеяться на лучшее.

на svn up -r 329450 мы будем надеяться.
И на то, что cherry-picking вручную не окажется слишком уж сложным занятием - большинство последних патчей в STABLE - полнейший мусор (то нечто для малинок, на которых один хрен до 12 работать ничего не будет, linuxKPI, какие-то sponsored by Mellanox, актуальные только их владельцам, которым все равно надо отслеживать первоисточник и т д)

А к 12й версии, из которой это выпилить слишком геморройно (надо откатить не один и не два комита в правильном порядке, и не задеть ничего рядом), либо шах, либо ишак, либо сам Ходжа...

да, llvm они, к счастью, пока не изуродовали аналогичными gcc патчами.

надежды на то, что кто-нибудь поборет брезгливость, и переделает весь этот мусор в #ifdef FEATURE - и что такой патч примут - ноль, к сожалению.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

32. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  +/
Сообщение от Джон Ленин on 23-Фев-18, 21:14 
Вы уже своим смузи всё кругом затопили, перестаньте течь.

У вас то фряха плохая, что в ней системды нет и вяленда с удевом; то фряха хорошая потому-что из неё яблоки делают (и системда с вялендом там как-бы есть); то у вас линукс плох потому-что там системда с вялендом, то наоборот хороший потому, что там вяленд с системдой содран с яблок.

Заползите в какие-то кусты, и умрите от передоза, пожалуйста.
Спасибо за внимание.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак ..."  –1 +/
Сообщение от Led (ok) on 21-Фев-18, 02:58 
> т.е. принципиально штатная возможность есть, нужно только убрать nofetch

Да, но пока нет.

Жедитоб, залогинься.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак..."  +1 +/
Сообщение от pavlinux (ok) on 21-Фев-18, 04:15 
Пестят, Spectre v1 НИГДЕ ЕЩЁ НЕ ЗАКРЫТ.  IBRS/IBPB...  - пурген в глаза акционеров и NASDAQ

И да, IBRS/IBPB - это не инструкции, это MSR-команды.  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак..."  –1 +/
Сообщение от Аноним (??) on 21-Фев-18, 07:19 
> Spectre v1 НИГДЕ ЕЩЁ НЕ ЗАКРЫТ

У "кого-надо" - закрыт (может быть). Была-же новость про выпуск бетта-прошивки для ограниченного пользования "нужными людьми".

> ...пурген в глаза...

И что предполагается, что потом с их глазами произойдет? :-)

// Спс, поржал.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "Для FreeBSD и QEMU/KVM реализованы механизмы блокировки атак..."  +/
Сообщение от pavlinux (ok) on 21-Фев-18, 17:26 
>> Spectre v1 НИГДЕ ЕЩЁ НЕ ЗАКРЫТ
> У "кого-надо" - закрыт (может быть). Была-же новость про

Новость, новость... обе, IBRS и IBPB, можно заставить ОСи отрубить на время. /* EOF NDA */

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру