如您所知,在今年 7 月,发现了一种新的潜在攻击方法,与现代处理器中的推测代码执行机制有关,包括 Intel Kaby Lake/Coffee Lake 和 AMD Zen 1/1+/2。此漏洞称为Retbleed。变体 CVE-2022-29900 和 CVE-2022-29901 与 Spectre-v2 的不同之处在于,它们允许在处理“ret”指令和组织分支错误预测时执行任意代码,因此得名 Retbleed。
资料来源:lore.kernel.org
该漏洞影响基于 Zen 1/1+/2 架构的第 6 至第 8 代 Intel 处理器和 AMD 处理器。更现代的 CPU 已经具备必要的保护机制。尽管制造公司已经发布了针对新漏洞进行防护的建议,但即便如此,人们仍注意到使用这些方法可能会降低 12-28% 的性能。面对现代数据中心每一个性能百分比的斗争,即使是这样的数字也非常令人不快。
但 VMware 工程师发现,问题不仅限于几十个百分点。他们在 ESXi 环境中对 Linux 5.19 内核的测试表明,启用保护选项后,计算性能可能下降 70%,网络子系统性能下降 30%。这个问题甚至影响了驱动器的工作,速度减慢了大约 13%。需要注意的是,这个问题与 VMware hypervisor 本身无关,而与其中的 Linux 内核的运行有关。
Retbleed 演示
尤其是创建线程时的延迟严重增加,这次从16ms增加到27ms,启动和停止虚拟机所需的时间也增加了,虚拟化网络的吞吐量从11.9Gb/s下降到8.56 Gbps 英特尔目前正在研究成本更低的方法来防止 Retbleed。
为了进行测试,使用了具有四个Intel Xeon Skylake-SP 处理器(112 个线程,2 TB RAM)和主 Ubuntu 20.04 操作系统的服务器。为了检查,还进行了完全禁用保护(spectre_v2=off)的测试,这表明在这种情况下,Linux 5.19 的性能与 Linux 5.18 没有太大区别。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Retbleed漏洞防御导致旧版Intel处理器上的ESXi中出现灾难性的Linux性能损失
