VMware 警告说,与 Linux 内核 5.18 版本相比,在启用 Retbleed 缓解措施时,在 Linux 内核 5.19 上运行的 ESXi VM 的性能可能会下降多达 70%。
更具体地说,VMware 性能团队注意到 ESXi 虚拟机在计算方面的衰退高达 70%,在网络方面降低了 30%,在存储方面降低了 13%。
从 VMware 的测试中可以清楚地看出,突然且非常显着的降级是由于引入了针对“Retbleed”漏洞的缓解措施造成的。
“在内核 5.18 和 5.19 之间执行二等分后,我们确定根本原因是通过提交 6ad0ad2bf8a6(“x86/错误:报告 Intel retbleed 漏洞”)启用了针对 spectre_v2 漏洞的 IBRS 缓解,” VMware 解释道。
VMware 发现,通过“ spectre_v2=off”内核启动参数禁用 Retbleed 安全缓解可将 Linux VM 的性能恢复到 5.18 版本的水平,确认修复是性能下降的唯一原因。
但是,禁用缓解措施将被视为安全风险,因为系统容易受到某些 CPU 型号的网络攻击。
代价高昂的权衡
Retbleed 是2022 年 7 月发现的一种推测执行攻击,它可以利用 CPU 中的返回指令来提取敏感信息。
Retbleed 可能泄漏的数据示例包括内核内存中包含的项目,例如 root 密码哈希,如下面的视频所示。
推测执行是现代处理器上的一项性能增强功能,允许 CPU 在请求之前执行计算,从而减少完成所需的时间。
从安全的角度来看,这种性能提升功能会产生负面影响,因为它使旁道攻击成为可能。
一个值得注意的例子是“Spectre”,它通过 “Retpoline” 修复得到缓解,这是一种基于软件的解决方案,对性能的影响最小。
事实上,Retbleed 不仅是对 Retpoline 修复程序的绕过,而且是缓解措施的滥用者,其目标是返回操作以在内核地址空间中注入分支目标。
不幸的是,Linux 在内核版本 5.19 上对 Retbleed 的缓解对性能产生了不利影响,这可能导致生产系统和云基础架构上出现广泛的业务问题。
Retbleed 影响 Intel Core CPU 从第 6 代 (Skylake – 2015) 到第 8 代 (Coffee Lake – 2017) 以及 2017 年至 2019 年间发布的 AMD Zen 1、Zen 1+ 和 Zen 2 处理器,这些处理器在服务器系统中仍然无处不在。
由于这样的性能下降,许多认为 Retbleed 对他们的系统更多是理论上的威胁而不是真正的威胁的系统管理员将愿意通过禁用缓解措施来进行权衡。
目前,Linux 内核开发团队尚未讨论对性能的巨大影响,也没有承诺重新审视缓解措施并实施更“外科手术”的修复,因此情况仍然存在风险。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » VMware通过Retbleed修复,Linux ESXi VM性能下降70%
