Защита от уязвимости Retbleed приводит к катастрофическим потерям производительности Linux в ESXi на старых процессорах Intel

 

Как известно, в июле этого года был обнаружен новый способ потенциальной атаки, связанный с механизмами спекулятивного исполнения кода в современных процессорах, включая Intel Kaby Lake/Coffee Lake и AMD Zen 1/1+/2. Эта уязвимость получила название Retbleed. Варианты за номерами CVE-2022-29900 и CVE-2022-29901 отличаются от Spectre-v2 тем, что позволяют выполнять произвольный код при обработке инструкции «ret» и организации неверного предсказания перехода, отсюда и название Retbleed.

 Источник: lore.kernel.org

Источник: lore.kernel.org

Уязвимость касается процессоров Intel с шестого по восьмое поколение и процессоров AMD на базе архитектур Zen 1/1+/2. В более современных CPU уже есть необходимые механизмы защиты. Хотя компании-производители и опубликовали рекомендации по защите от новой уязвимости, уже тогда отмечалось, что использование этих методов может снизить производительность на 12–28%. Даже такая цифра весьма неприятна в условиях борьбы за каждый процент производительности в современных ЦОД.

Но инженеры VMware обнаружили, что парой десятков процентов дело не ограничивается. Как показало проведённое ими тестирование ядра Linux 5.19 в среде ESXi, при включении опции защиты вычислительная производительность могла упасть на 70%, производительность сетевой подсистемы — на 30%. Проблема затрагивала даже работу с накопителями, которая замедлилась примерно на 13%. Следует отметить, что проблема связана не с гипервизором VMware как таковым, а с работой ядра Linux в нём.

Демонстрация работы Retbleed

В частности, был отмечен серьёзный рост задержки при создании потоков, это время выросло с 16 до 27 мс, возросло и время, требуемое на запуск и остановку виртуальных машин, а пропускная способность виртуализированной сети упала с 11,9 Гбит/с до 8,56 Гбит/с. В настоящее время Intel работает над менее затратными способами защиты от Retbleed.

Для тестирования использовался сервер с четырьмя процессорами Intel Xeon Skylake-SP (112 потоков, 2 Тбайт RAM) и основной ОС Ubuntu 20.04. Для проверки также были проведены тесты с полным отключением защиты (spectre_v2=off), которые показали, что в этом случае производительность Linux 5.19 мало чем отличалась от Linux 5.18.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.

Источник:

Постоянный URL: https://servernews.ru/1074107

Комментарии

Система Orphus