技術支援
文件
登錄
聯繫我們
新的英特爾垮臺AVX2 / AVX-512漏洞及其巨大的性能影響
瓦賈哈特·拉賈
實施期間: 2023年8月15 日 - TuxCare專家團隊
最近發現了一個名為Downfall的新推測執行漏洞,也稱為GDS(收集數據採樣),該漏洞會影響多代英特爾處理器。英特爾垮臺 AVX2/AVX-512 漏洞的範圍涉及 AVX2 和 AVX-512 指令集處理器。 英特爾 CPU 中的此微架構安全漏洞會影響從 Skylake 到 Tiger Lake/Ice Lake 的各種 CPU。儘管最新的英特爾 CPU 代不受影響,但該漏洞是許多使用者擔心和關注的根源。
工作原理
作為記憶體最小化功能,Downfall無意中使內部硬體寄存器可供軟體訪問。AVX GATHER 指令在推測執行期間意外洩漏了內部向量寄存器檔中的數據,是漏洞的來源。這種暴露可能導致潛在的數據洩露。這使得不受信任的軟體可以訪問理想情況下應該保持無法訪問的數據。Daniel Moghimi發現Downfall的現實世界後果包括從Linux內核中提取私人數據和AES密鑰等敏感資訊。
受影響的處理器和緩解措施
Intel Downfall AVX2/AVX-512漏洞的影響圍繞著伺服器端Xeon Scalable Ice Lake處理器和從Tiger Lake到Skylake的用戶端處理器。樺木湖、猛禽湖和藍寶石急流不受 Downfall 的影響,但英特爾迅速提供了微碼緩解措施作為回應。但是,這些緩解措施確實帶有警告。緩解AVX-512漏洞影響可能會導致性能下降,尤其是在應用程式的熱路徑中頻繁使用收集指令時。
後果
微碼緩解的潛在性能後果才是真正重要的。需要大量矢量化的工作負載(例如使用AVX2/AVX-512的工作負載)的性能可能會顯著下降。人工智慧 (AI)、高性能計算 (HPC)、視頻編碼以及不要忘記的轉碼可能會受到特別影響。儘管英特爾沒有做出具體的性能承諾,但合作夥伴報告了高達 50% 的可能影響。英特爾也承認了AVX-512漏洞補丁和性能的這個問題。
如果使用者認為他們的系統不受影響,他們可以選擇關閉微碼更改,作為英特爾對 Downfall 的回應的一部分。儘管英特爾強調了在受控環境之外進行垮台攻擊的難度,但對於此類攻擊在實際情況中的可行性仍然存在分歧。相比之下,Daniel Moghimi的觀點強調了該漏洞在當前共用計算機基礎設施下的有用性。
令人震驚的是,丹尼爾·莫吉米於 2022 年 8 月通知英特爾垮臺的存在。但公開資訊直到一年後才浮出水面。這一延遲突顯了解決這些脆弱性的難度以及快速緩解的困難。
<h2=”path”>The Path Forward
下一次英特爾 CPU 微碼更新和相關 Linux 內核修復提供了對垮台的恢復。由於微碼的潛在性能影響,已經進行了廣泛的基準測試來評估其影響。儘管英特爾一直在積極解決該漏洞,但仍有理由擔心,特別是考慮到AVX2和AVX-512指令集漏洞的潛在性能成本。
結論
由於AVX-512漏洞的這種數據安全風險,Downfall在開發處理器漏洞的領域佔據了至關重要的位置。Tux Care仍然致力於通知您Linux生態系統的重大變化。隨著形勢的發展,我們準備提供管理不斷變化的技術格局所需的幫助和解決方案。
請留意更新,如有任何疑問,請與專家聯繫!
這篇文章的來源包括Phoronix的一篇文章。
