News Meltdown & Spectre: Details und Bench­marks zu den Sicherheits­lücken in CPUs

[Steffen]

Seltsam so wie Golem das formuliert ist AMD auch von den Leistungseinbußen betroffen:

https://www.golem.de/news/spectre-u...schon-seit-juni-2017-bekannt-1801-131958.html

(steht so im letzten Absatz)

was stimmt denn nun?

Meltdown betrifft nur Intel und hat je nach Benchmark einen Performance Impact. Dazu schreibt AMD aber richtigerweise, dass AMD-CPUs davon nicht betroffen sind. Folglich gibt es durch die Meltdown-Gegenmaßnahmen auf AMD-CPUs auch keine Leistungseinbußen (zumindest unter Linux, wie das unter Windows umgesetzt wird bleibt afaik abzuwarten).

Der von AMD auf https://www.amd.com/en/corporate/speculative-execution erwähnte "Negligible performance impact" steht bei Variant 1, also bei Spectre. Offenbar rechnet AMD also durch Spectre-Gegenmaßnahmen mit kleinen Leistungseinbußen (die kämen bei Intel dann vermutlich noch obendrauf).

Etwas verwirrend könnte sein, dass die Reihenfolge der Sicherheitslücken im Google-Blog und auf der AMD-Website ("Variants 1, 2 und 3") eine andere ist als auf der Bug-Website und in unserer News (dort geht es jeweils erst um Meltdown und dann um Spectre).

Variant 1 = Spectre
Variant 2 = Spectre
Variant 3 = Meltdown

Ich habe das in die News eingebaut: "AMD rechnet durch Spectre-Gegenmaßnahmen mit vernachlässigbaren Leistungseinbußen („negligible performance impact expected“), die bei Intel-CPUs zusätzlich zu den Leistungseinbußen durch Meltdown vermutlich noch obendrauf kommen (aber auch in Summe überschaubar sein dürften)."

 

[Tammy]

AMD wohl nicht, aber ARM schon (Cortex-A75 ist ebenfalls von Meltdown betroffen). Es ist also nicht nur Intel.

Und AMD hat auch schon mal richtig daneben gegriffen, mit seiner TLB-Implementation. Das hat ihnen den Marktstart der ersten Phenom-Generation komplett versalzen. Damals war es, wenn ich mich richtig erinnere, keine Sicherheitslücke, sondern es kam zu unkontrollierbaren Zuständen im Speicher, was zu Abstürzen oder (zumindest im professionellen Bereich noch schlimmer) verfälschten Daten führen konnte.
Auch damals musste es ein Workaround-Patch richten, der ziemlich viel Leistung gefressen hat.

Kritik an Intel ist in diesem Fall sicher angebracht. Vor allem an ihren nahezu irreführenden Aussagen zum Thema. Aber die Kritik ist viel wirkungsvoller, wenn sie sachlich und konstruktiv bleibt.
Intel totale Inkompetenz oder gar böse Absicht vorzuwerfen ist nicht gerade zielführend.

Und deine ständigen Relativierungen machen es auch nicht besser, wenn wir weiter forschen entsinnen wir uns sicher auch des FDIV-Bug, welcher alle Pentium der ersten Generation betraf.

Ich schreie aber nicht jetzt 2:1 für Intel, was schwerwiegende Bugs angeht, sondern prangere das verheimlichen des Bugs seitens Intel und deren lächerliche Erklärung an.

Ich kann nur hoffen, das alle Käufer deren Intel CPU noch in den Gewährleistunsgzeitraum fallen ihre CPU reklamieren.

Das sich Intel nicht von selber bewegt dürfte nach der "Käufer für Dumm verkaufen" PR von gestern klar sein.

 

[NoXPhasma]

Infantil ist es, von einem Mega-Konzern wie Intel zu erwarten, innerhalb kurzer Zeit, hier Abhilfe schaffen zu können bzw. die Produktion gänzlich umzulegen.

Kurze Zeit ist aber relativ, Intel, AMD und ARM wurden über die Lücke bereits Juli 2017 informiert

 

[Krautmaster]

Das war KB4056891. (Habe natürlich auch den Updater angeworfen um zu schauen ob er schon was dazu hat )

https://www.deskmodder.de/blog/2018/01/04/kb4056891-windows-10-15063-850-manueller-download/

hab ich bekommen was laut diverser Seiten das Meltdown / Spectre Update ist.

Security updates to Windows SMB Server, the Windows Subsystem for Linux, Windows Kernel, Windows Datacenter Networking, Windows Graphics, Microsoft Edge, Internet Explorer, and the Microsoft Scripting Engine.

 

[Moselbär]

Wird ja immer besser - bin mal gespannt wie das weitergeht.

 

[Hotstepper]

Folglich gibt es durch die Meltdown-Gegenmaßnahmen auf AMD-CPUs auch keine Leistungseinbußen.

Das halte ich fuer gewagt. Sollten sie sich unsinnigerweise dafuer entscheiden PTI IMMER zu aktivieren, leidet sicher auch eine AMD CPU unter PTI - eventuell sogar mehr als eine Intel CPU. Warum man eine Vendor ID abfrage allerdings nicht durchfuehren sollte erschliesst sich nicht.

 

[Brrr]

Infantil ist es, von einem Mega-Konzern wie Intel zu erwarten, innerhalb kurzer Zeit, hier Abhilfe schaffen zu können

Naja kurz ist relativ. Schliesslich wissen sie seit Mitte 2017 von dem Problem. Dass man nicht gerade neue Produkte raushauen kann ist logisch, aber dass man zumindest eine Roadmap präsentieren könnte wäre zu erwarten. Aber mal schauen, vielleicht kommt noch was.

 

[Rockstar85]

Also wenn ich hier schon lese, ich kann Produkt x,Y nicht mehr kaufen, dann weiß ich nicht ob ich lachen oder weinen soll.

Nach dem Statement seitens Intel gestern und dem von Google und Linus sind wir ja nun alle etwas schlauer und das Thema betrifft im Regelfall "nur" Serveranwendungen. Das NVMEs und Optame gebremst werden kann, ist ärgerlich, aber man muss hier sehen was die Zukunft bringt.
Spannend finde ich hingegen Intels Hinhaltetaktik, und auch wenn Google das Böse ist, so bin ich sehr froh, dass es Projekt Zero gibt.

Intels Statement liest sich als Whataboutlism, das der TU Graz, Googles und linus eben nicht. Das ist der springende Punkt
Die Frage ist eh, wie gefährlich ist heute Spectre, denn Meltdown ist ein reines Intel und ARM Problem und es gibt Exploits also muss man handeln. Ich sehe es auch sehr kritisch, dass AMD beispielsweise sagt: Alles gut bei uns. Ja in diesem einem Fall mit diesem Exploit vllt. Es heisst aber nicht, dass AMD CPUs nicht angreifbar sind. Es heisst nur, dass man bisher keinen relevanten Bug gefunden hat, der es ermöglicht.
Man muss sich bitte mal vor Augen halten, dass die Fehlerlisten einer CPU nicht unerheblich sind, egal ob AMD, ARM oder Intel. Es kann IMMER zu Exploits kommen (siehe Wannacry, ein gutes Beispiel was passiert, wenn keiner reagiert , bzw zu spät)
Die Testberichte auf CB und im Luxx deuten zumindest darauf hin, dass 90% der Userschaft keine spürbaren Einbußen haben wird. Was das ganze für die Speicherkritischen Zugriffe bedeutet, muss man sehen.
Und wenn ich das richtig verstanden habe, ist Spectre mehr oder minder ein Fehler in Hardware, also wird dieser wohl auch erst schließbar sein, wenn Intel und AMD die Architektur umarbeiten. Vllt dann 2020,. vorher wirds wohl nen Softwarefix tun müssen.

Ich bin aber sehr angetan, wie konstruktiv auch mal hier diskutiert werden kann, auch wenn vieles zusammen geworfen wird, was nicht zusammen gehört.

Heftig hingehen finde ich das Meltdown tatsächlich sogar auf CPUs der 1995er durchführbar sein soll. Dann haben wir es hier mit einem Grundsätzlichen Architektur/Befehlssatz Defekt zutun. Also dann zu sprechen Intel sei unfähig, finde ich arg weit hergeholt.

https://meltdownattack.com/

 

[Wadenbeisser]

Meltdown betrifft nur Intel und hat je nach Benchmark einen Performance Impact. Dazu schreibt AMD aber richtigerweise, dass AMD-CPUs davon nicht betroffen sind.

Wenn der Workaround generell erzwungen wird dann könnte er durchaus auch AMDs Prozessoren treffen, darum wäre ja auch ein Gegencheck angebracht. Es gab unter Linux schließlich auch einen Fix für AMDs TLB Bug beim ersten Phenom, der zudem auch weniger Leistung kostete. Dennoch wurde letztendlich die Holzhammer Methode angewendet und der TLB ganz deaktiviert. Offensichtlich bestand kein Interesse daran eine Extra Wurst für AMD zu braten.

 

[Recharging]

Das sich Intel nicht von selber bewegt dürfte nach der "Käufer für Dumm verkaufen" PR von gestern klar sein.

Nein, das ist leider nicht klar, sondern eine Unterstellung und Mutmaßung deinerseits ...
Oder hast du Interna, damit wir wissen, was hinter der Bühne gemacht wird? Solche Fakten würden mich auch sehr interessieren und wohl so manche Staatsanwaltschaft.

Du glaubst doch nicht ernsthaft, dass man hier nun stillschweigend weiter im Rauchsalon seine Zigarre pafft und den Cognac schwenkt.

Ist die PR lachthaft gewesen? Ja, ganz eindeutig.
War das zu erwarten? Natürlich, man ist um Schadensbegrenzung bemüht, es geht schließlich ums liebe Geld, war leider noch nie anders.
Ist der Bug verschleppt oder absichtlich designt? Wohl kaum in der Intensität mit Leistungseinbußen und schwerer Behebbarkeit.

 

[Krautmaster]

Das halte ich fuer gewagt. Sollten sie sich unsinnigerweise dafuer entscheiden PTI IMMER zu aktivieren, leidet sicher auch eine AMD CPU unter PTI - eventuell sogar mehr als eine Intel CPU. Warum man eine Vendor ID abfrage allerdings nicht durchfuehren sollte erschliesst sich nicht.

ganz einfach. Wenn eine AMD CPU so theoretisch auch angreifbar ist dann wird PTI eben immer aktiv gesetzt, egal welche Architektur usw.. Ist im Linux Kernel wohl grad auch der Fall, auch wenns da noch einen nicht gemergten AMD Commit gibt.

Siehe "near zero risk"
http://www.amd.com/en/corporate/speculative-execution

Differences in AMD architecture mean there is a near zero risk of exploitation of this variant. Vulnerability to Variant 2 has not been demonstrated on AMD processors to date.

Near Zero schließt ein Risiko nicht aus.

 

[Photon]

Habe gerade mal den Kraken JS Benchmark laufen lassen.

Vor dem PTI-Update: 949.5ms +/- 3.2%; 998.7ms +/- 7.8%; 932.3ms +/- 1.3%, Durchschnitt: 960ms
Nach dem PTI-Update: 996.2ms +/- 10.8%; 980.8ms +/- 8.1%; 980.4ms +/- 6.0%; 977.6ms +/- 4.3%; 1002.4ms +/- 6.4%, Durchschnitt: 990ms

Keine allzu tolle Statistik (nicht häufig genug ausgeführt, vor allem vor dem Update), aber läuft auf ca. -3% Leistung raus.

edit: Habe einen i3-4160 im Einsatz.

 

[Sithys]

Netcup hat gerade was rausgeschickt:

Guten Tag XXXXXXXXXX,




als Kunde von netcup möchten wir Sie auf Sicherheitslücken in Intel(R)-CPUs hinweisen und darüber informieren, wie wir damit umgehen.


Sicherlich haben Sie es auch bereits aus den Medien erfahren: Es gibt Sicherheitslücken in so gut wie jedem Computer-Prozessor. So gut wie jeder Anbieter von Internetdiensten ist so zum raschen Handeln gezwungen. Auch die von netcup genutzten Prozessoren von Intel(R) sind von den den Sicherheitslücken betroffen.


Falls Sie die Informationen dazu noch nicht gelesen haben, empfehlen wir folgende Medienberichte darüber zu lesen:


http://www.tagesschau.de/ausland/intel-sicherheitsluecke-101.html


https://www.heise.de/security/meldu...PUs-erfordert-umfassende-Patches-3931562.html


oder


https://www.golem.de/news/memory-le...t-zugriff-auf-kernelspeicher-1801-131938.html


Alle Anbieter von Internetdiensten müssen dringend handeln, um die Sicherheit der eigenen Systeme und der Systeme der Kunden nicht zu gefährden. Wir sind bereits schon jetzt aktiv um die Sicherheitslücken zu schließen. Mit dieser E-Mail möchten wir Ihnen das Wichtigste dazu mitteilen.


Es wird vermutlich innerhalb der nächsten 72 Stunden für jeden von uns genutzten Server ein Sicherheitsupdate geben. Dazu ist ein Neustart erforderlich, der von uns durchgeführt wird. Dabei starten wir die Server nach Möglichkeit nacheinander neu. Wir können allerdings nicht ankündigen wann genau Ihre bei uns gebuchten Dienste neu gestartet werden, da wir so künstlich den Neustart hinauszögern müssten, was wir mit unserem Anspruch an Sicherheit nicht vereinbaren können.


Wenn Sie einen managed Server, managed vServer oder ein Webhosting bei uns nutzen, brauchen Sie nichts weiter zu unternehmen. Wir kümmern uns darum das nach dem Neustart, alle Dienste wie vereinbart arbeiten.


Weitere Informationen finden Sie hier:


https://forum.netcup.de/administrat...it-sicherheitlücken-in-cpus-meltdown-spectre/


Wenn Sie Fragen zu dem Thema haben, stellen Sie diese bitte in dem Forenbeitrag. Aufgrund des sehr großen Interesses an der Sicherheitslücke, kann unser Support nicht auf einzelne Supportanfragen dazu eingehen. Anfragen dazu werden nicht von unserem Support per E-Mail beantwortet werden. Wir bitten dafür um Verständnis.




Mit freundlichen Grüßen


Ihr netcup Team

 

[vander]

Stichwort mehr Benchmarks (mit älteren Architekturen): Wir warten jetzt den Patch von MS ab, der wahrscheinlich kommenden Dienstagabend erscheint.

Da bin ich schon mal gespannt. Schade das ihr gerade keine Zeit habt, der Patch soll ja schon draußen sein, auch wenn mein WinUpdate seinen letzten vor zwei Wochen gefunden hat. Manuell installier ich den sicher nicht auf meinem AMD

Das halte ich fuer gewagt. Sollten sie sich unsinnigerweise dafuer entscheiden PTI IMMER zu aktivieren, leidet sicher auch eine AMD CPU unter PTI - eventuell sogar mehr als eine Intel CPU. Warum man eine Vendor ID abfrage allerdings nicht durchfuehren sollte erschliesst sich nicht.

Hättest noch etwas weiter lesen sollen.

Folglich gibt es durch die Meltdown-Gegenmaßnahmen auf AMD-CPUs auch keine Leistungseinbußen (zumindest unter Linux, wie das unter Windows umgesetzt wird bleibt afaik abzuwarten).

 

[Hotstepper]

ganz einfach. Wenn eine AMD CPU so theoretisch auch angreifbar ist dann wird PTI eben immer aktiv gesetzt, egal welche Architektur usw..

PTI hilft aber nur gegen Meltdown und Meltdown betrifft nur Intel CPUs. Eine Vendor String Abfrage waere also angebracht.

 

[Steffen]

Wenn der Workaround generell erzwungen wird dann könnte er durchaus auch AMDs Prozessoren treffen, darum wäre ja auch ein Gegencheck angebracht.

Unter Linux kann man auf AMD-CPUs die Meltdown-Gegenmaßnahme abschalten und in Linux 4.11.12 soll sie auf AMD-CPUs default off sein. Dann gibt es auf AMD-CPUs unter Linux definitiv keine Leistungseinbußen durch Meltdown-Gegenmaßnahmen.

Wie das unter Windows ausschaut ist soweit ich weiß noch nicht bekannt.

 

[Sinnfrei]

@Computerbase: Habt Ihr für Eure Benchmarks der Mitigation auch die Registry-Werte zur Aktivierung gesetzt?

Siehe: Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities


Edit: Beziehungsweise: ADV180002 | Guidance to mitigate speculative execution side-channel vulnerabilities

 

[Berserkervmax]

Seit mitte 2017 bekannt...und jetzt erst an die Öffentlichkeit.....das gibt mir wirklich zu denken !

 

[KillerPlauze090]

haha das thema kocht richtig hoch. sogar die non-tec-medien ard ntv (sogar mit sonderberichterstattung) und co berichten... wohl wieder mal viel massenhysterie, aber dennoch sehr ungut das ganze... alle cpus seit 1995 ... der größte schaden ist also schon entstanden

 

[Gewuerzwiesel]

Meltdown betrifft nur Intel und hat je nach Benchmark einen Performance Impact. Dazu schreibt AMD aber richtigerweise, dass AMD-CPUs davon nicht betroffen sind. Folglich gibt es durch die Meltdown-Gegenmaßnahmen auf AMD-CPUs auch keine Leistungseinbußen (zumindest unter Linux, wie das unter Windows umgesetzt wird bleibt afaik abzuwarten).

Der von AMD auf https://www.amd.com/en/corporate/speculative-execution erwähnte "Negligible performance impact" steht bei Variant 1, also bei Spectre. Offenbar rechnet AMD also durch Spectre-Gegenmaßnahmen mit kleinen Leistungseinbußen (die kämen bei Intel dann vermutlich noch obendrauf).

Alles klar danke für die Klarstellung, an der Stelle möchte ich mich auch nochmal lobend äußern wie ihr das Thema aufgerollt habt!
CB ist und bleibt ein Benchmark für Professionalität im Bereich IT-Journalismus