Las principales desaceleraciones causadas por el nuevo kernel Linux 4.20 se atribuyen a una mitigación para la variante 2 de Spectre que el fundador de Linux, Linus Torvalds, ahora quiere restringir.
Como señaló el sitio de noticias de Linux Phoronix, las desaceleraciones repentinas han sido causadas por una mitigación recientemente implementada llamada Single Thread Indirect Branch Predictors (STIBP), que está activada de forma predeterminada en el kernel Linux 4.20 para sistemas Intel con microcódigo actualizado.
STIBP es una de las tres posibles mitigaciones que Intel agregó a sus actualizaciones de firmware en respuesta a los ataques de Spectre v2. Otros incluyeron la especulación restringida de sucursales indirectas (IBRS) y la barrera de predicción de sucursales indirectas (IBPB), que podrían ser habilitadas por los fabricantes de sistemas operativos.
STIBP aborda específicamente los ataques contra CPU Intel que han habilitado Hyper Threading, su versión de Simultaneous Multithreading (SMT).
Los puntos de referencia de Phoronix que comparan Linux 4.20 con STIPB habilitado muestran que la mitigación en algunas cargas de trabajo de aplicaciones tiene un impacto severo en el rendimiento.
Con STIBP habilitado, el servidor Xeon Gold de gama alta de Phoronix también pasa de ser el servidor más rápido a ser más lento que el servidor basado en EPYC de AMD, que anteriormente tenía un rendimiento más bajo.
Debido a estas ralentizaciones, Torvalds publicó el domingo un mensaje exigiendo que STIBP ya no esté habilitado de forma predeterminada en el kernel, especialmente porque una opción existente es deshabilitar SMT.
VER: 20 consejos rápidos para facilitar la creación de redes Linux (PDF gratuito)
“Cuando el rendimiento baja un 50 por ciento en algunas cargas, la gente necesita empezar a preguntarse si valió la pena. Aparentemente es mejor simplemente desactivar SMT por completo, que es lo que de todos modos hacen las personas preocupadas por la seguridad”, escribió Torvalds.
“Entonces, ¿por qué el STIBP se ralentiza de forma predeterminada cuando las personas que *realmente* se preocupan ya han desactivado el SMT?”
Los investigadores a principios de este mes presentaron el mismo argumento contra SMT después de revelar la vulnerabilidad del canal lateral PortSmash, que afecta a todas las CPU Intel que admiten Hyper-Threading.
Los investigadores señalaron que “la seguridad y SMT son conceptos mutuamente excluyentes” y alentaron a los usuarios a evitar los chips que incluyan SMT. Un ataque anterior llamado TLBleed provocó que el proyecto OpenBSD deshabilitara la compatibilidad con Intel Hyper-threading.
Torvalds dijo que no era necesario revertir completamente el código, pero sí se debe revertir el comportamiento de que STIPB debe habilitarse “incondicionalmente”.
“Porque era claramente mucho más caro de lo que se decía a la gente”, señaló Torvalds.
Imagen: Universidad Aalto/YouTube
Cobertura anterior y relacionada
Los investigadores descubren siete nuevos ataques Meltdown y Spectre
Los experimentos demostraron que los procesadores AMD, ARM e Intel se ven afectados.
Windows 10 eliminará las ralentizaciones de Spectre con el parche Retpoline de Google
La solución Retpoline de Google para la falla Spectre Variant 2 ayuda a minimizar el impacto en el rendimiento en máquinas con Windows 10
Intel abandona la 'mordaza' del parche de Linux y ofrece una nueva licencia 'inocua'
La licencia de Intel para sus correcciones de seguridad de microcódigo ya no impide que los desarrolladores publiquen resultados de referencia.
Intel 'amordaza' a las distribuciones de Linux al revelar el impacto en el rendimiento de los parches de Spectre
Puede probar el rendimiento después de usar nuestros parches, pero no publique los resultados, dicen los nuevos términos de licencia de Intel.
Nueva variante 4 de Spectre: nuestros parches causan un impacto en el rendimiento de hasta un 8%, advierte Intel
El parche Spectre variante 4 de Intel estará desactivado de forma predeterminada, pero los usuarios que lo activen probablemente verán un rendimiento más lento.
Rendimiento de Linux antes y después de las correcciones de Meltdown y Spectre
Los parches, como se esperaba, redujeron el rendimiento de Linux, pero su impacto no ha sido tan malo como se temía.
Las últimas correcciones de Linux de Oracle: New Spectre, los parches Lazy FPU refuerzan las defensas
Oracle tiene nuevas soluciones disponibles para las fallas de Spectre que afectan a los sistemas Linux en chips Intel y AMD.
La vulnerabilidad de seguridad del chip Spectre ataca nuevamente; parches entrantes
Un desarrollador de Google descubrió una nueva forma de utilizar una verificación estilo 'Spectre' para atacar cualquier computadora que ejecute cualquier sistema operativo.
¿Están a punto de quedar expuestas 8 nuevas fallas 'clase Spectre' en las CPU Intel?
Están surgiendo informes sobre ocho nuevas vulnerabilidades de seguridad de CPU de 'clase Spectre'.
Ex experto en seguridad de Intel: este nuevo ataque de Spectre puede incluso revelar secretos de firmware
Una nueva variante de Spectre puede exponer el contenido de la memoria a la que normalmente el kernel del sistema operativo no puede acceder.
Microsoft para usuarios de Windows: aquí hay nuevas actualizaciones críticas de seguridad de Intel para Spectre v2
Microsoft lanza nuevas actualizaciones de Windows para solucionar la falla de la variante 2 de Spectre que afecta a los chips Intel.
¿Windows 10 en AMD? Esta nueva actualización más el parche de Microsoft bloquean los ataques Spectre
AMD ha lanzado actualizaciones de microcódigo para la variante 2 de Spectre que requieren el último parche de Windows 10 de Microsoft.
Intel: ahora nunca repararemos la falla de la variante 2 de Spectre en estos chips
Un puñado de familias de CPU que Intel debía parchear ahora seguirán siendo vulnerables para siempre.
El parche Meltdown de Windows 7 abre una vulnerabilidad peor: instale las actualizaciones de marzo ahora
La solución Meltdown de Microsoft abrió un enorme agujero en la seguridad de Windows 7, advierte un investigador.
Nueva solución Spectre de Intel: los chips Skylake, Kaby Lake y Coffee Lake obtienen un microcódigo estable
Intel avanza en la reedición de actualizaciones de microcódigo estables contra el ataque Spectre.
¿Tienes una PC vieja? Descubra si recibirá el último parche Spectre de Intel República Tecnológica
Intel ha enumerado una variedad de CPU lanzadas entre 2007 y 2011 que no recibirán una actualización de firmware para ayudar a protegerse contra vulnerabilidades relacionadas con Spectre.
Aumentan las demandas colectivas por Intel Spectre y Meltdown CNET
Desde principios de 2018, el número de casos ha aumentado de tres a 32.