有消息称,Meltdown的补丁会导致30%的性能下降,如果可能的话,最好避免这种情况。因此,这成为安全性与性能风险评估的问题。

我正在寻找一种经验法则,以评估不打补丁服务器或虚拟机管理程序的风险。

通过阅读白皮书,我的理解是,如果您的计算机确实需要安装补丁:


是运行随机潜在恶意代码的工作站-包括Java脚本来自随机网站的
是可能运行恶意代码的VM(本质上是第一种情况)。
是管理程序,它在敏感VM旁边运行不受信任的VM(本质上是第一种情况),

我的理解是,在以下情况下,风险(显着)较低:


在专用硬件上运行的服务器在运行严格控制的一组进程中运行严格控制的网络(包括不使用Web浏览器访问不受信任的站点)
VM在virtualiz上运行一组严格控制的进程其他受严格控制的VM的堆栈,都在一个受严格控制的网络中。

这是逻辑声音,还是我缺少某些东西?


更新: Azure的早期采用者报告没有明显的速度下降,因此这可能没有任何意义。


相关问题:
不为以下操作系统修补工作站OS有哪些风险?崩溃了吗?

评论

有传言说它对性能的影响还不错,尤其是对于具有PCID的新型处理器。
@ AlexanderO'Mara“ Linux开发人员测得,即使使用PCID优化,对于大多数工作负载,它大约占5%,在某些情况下高达30%”
“有传言将导致30%的性能下降”-当我第一次听说时,人们说“可能是5-30%”的下降。估计可能出现的最严重性能影响似乎已迅速开始被视为可能的性能影响...
@Ave大多数实际的桌面工作负载都在1-2%左右,即使是这么多。综合I / O基准受到的打击最大(> 20%),并且某些服务器工作负载(尤其是DB服务器?)将遭受10-15%的损失。因此,如果考虑性能,那么最好是实际测试实际的工作量(并使用Linux和Windows中可用的配置选项来切换PTI),而不是公开报告数字。
我还想强调@Izkata提到的部分:最坏的情况是提到30%(尽管对于企业环境,甚至有5%很高)。 1月9日,我们将进一步了解该主题的许多部分的禁运,并且微软的补丁也将发布。

#1 楼

基本上,如果您在不希望该代码访问的数据的机器上从不受信任的源运行代码,则需要进行修补。台式计算机应该打补丁,因为它们有遇到不信任代码的不幸习惯。共享主机服务器(尤其是虚拟专用服务器主机)必须进行修补,因为Meltdown允许一个用户访问其他用户的数据。

请注意,Meltdown攻击不能用于突破虚拟机。您可以脱离容器,沙箱或半虚拟化系统,但是在完全虚拟化的系统中执行Meltdown攻击只能使您访问该VM的内核内存,而不是主机的内核内存。

评论

我从VMWare的安全公告中不同意:“利用的结果可能允许信息从一个虚拟机泄露到在同一主机上运行的另一个虚拟机”。白皮书仅提及突破容器,但我怀疑该漏洞利用可以更广泛地应用。

–麦克·恩斯沃思(Mike Ounsworth)
18年1月4日在16:33


@MikeOunsworth(和Mark),此问题的VM部分应在单独的问题中解决。

– NH。
18年1月4日在19:21
尽管有其他出色的问答环节,但该答案和以上评论应进行更新以反映该帖子的内容-此处的答案或评论不正确吗?

– Tim
18年1月5日,0:06
@Tim,该评论基于对安全公告的误读。 Spectre可以突破虚拟机,Meltdown则不能。

–马克
18年5月5日在1:03
再次重申:VMWare公告正在讨论Spectre,又名CVE-2017-5753和CVE-2017-5715。该答案正在讨论Meltdown,又名CVE-2017-5754。

–马克
18年1月5日在19:06

#2 楼

我对此问题的理解是这是本地信息泄漏,其中本地意味着信息“仅”泄漏到同一物理硬件上的进程,而不是(直接)泄漏到远程系统。而且,这是一种已被证明在实践中实际上可用于提取敏感信息的攻击,即使目前尚不容易利用。但是,如Rowhammer所看到的那样,漏洞利用的容易程度可能会迅速改变,Rowhammer在很短的时间内就从仅是一个主要的理论问题演变为使用浏览器内部的Javascript或根植Android手机来更可靠地利用该漏洞。

因此,如果有可能在服务器上执行了一些不受信任的代码,则应进行修补。这就是为什么所有较大的云提供商都已经对其系统进行了修补或将很快进行修补的原因。这就是为什么补丁如此之快地集成到Linux内核中的原因,这对于更改内存子系统非常不寻常。

请注意,不信任的代码可能不仅会在系统上有不信任的用户时运行。如果您处理源自不受信任来源的数据,也会发生这种情况。例如,攻击者可以使用您的Web服务器的现有功能来上传图片,然后在您的服务器上进行转换(即缩放或类似操作)。考虑到图形库中的错误历史,这种对话不会导致代码执行。考虑到问题的性质,我怀疑沙箱,泊坞窗或类似工具是否会停止利用该错误。

评论

严重性是补丁如此快地并入Linux的一半原因。另一半是补丁已在开发中,作为对KASLR保护机制的扩展。

–马克
18年1月4日在8:59
@strugee:是的,非常需要引用。但是无论如何:在大多数情况下,在浏览器中运行Javascript绝对是从不受信任的来源运行代码。

– Steffen Ullrich
18年1月4日在9:13


@SteffenUllrich @strugee源代码在白皮书的第6页,JavaScript的示例实现。 Quote:编写了JavaScript代码,该代码在Google Chrome浏览器中运行时允许JavaScript从运行过程中读取私有内存

– Steffen Winkler
18年1月4日在14:01


@JohnDvorak:仅当Firefox不JIT其JavaScript时。

–约书亚
18年1月4日在23:36
@JohnDvorak Firefox 57.0.4-于昨天(2018年1月4日发布)-包括针对Meltdown和Spectre攻击的“修复程序”(缓解措施),根据:[1] mozilla.org/en-US/firefox/57.0 .4 / releasenotes; [2]blog.mozilla.org/security/2018/01/03/…和[3] mozilla.org/zh-CN/security/advisories/mfsa2018-01

–ricmarques
18年1月5日在10:58