Sementara jendela penggabungan Linux 6.1 baru saja berlalu dan tambalan “Pelacakan Kedalaman Panggilan” telah dikembangkan beberapa bulan terakhir, sepertinya untuk kernel Linux 6.2 adalah tempat teknik mitigasi alternatif akan diperkenalkan untuk membantu mengimbangi beberapa masalah yang signifikan. regresi kinerja yang terjadi untuk prosesor era Intel Skylake sebagai akibat dari mitigasi kerentanan keamanan CPU baru-baru ini.
Peter Zijlstra dari Intel telah mengerjakan pendekatan mitigasi “Pelacakan Kedalaman Panggilan” untuk perangkat keras era Intel Skylake yang sekarang memerlukan mitigasi Spekulasi Terbatas Cabang Tidak Langsung (IBRS) yang diaktifkan sebagai akibat dari kerentanan Retbleed.
Pelacakan Kedalaman Panggilan menggantikan IBRS untuk era Skylake yang terpengaruh, prosesor Intel telah terbukti memiliki biaya kinerja yang jauh lebih rendah. Lihat artikel sebelumnya ini untuk detail lebih lanjut tentang mitigasi Retbleed alternatif ini.
Selama beberapa bulan terakhir seri tambalan telah beringsut lebih dekat ke jalur utama sementara sekarang telah melewatkan jendela penggabungan Linux 6.1, kecuali jika dikirim sebagai “perbaikan” mengingat sifat keamanannya, sepertinya ini akan berakhir di kernel Linux 6.2.
Setelah penutupan jendela gabungan akhir pekan ini dan rilis Linux 6.1-rc1, cabang TIP x86/core dibuat ulang menjadi 6.1-rc1 dan di atasnya adalah seri patch Pelacakan Kedalaman Panggilan. Jadi pekerjaan Pelacakan Kedalaman Panggilan sekarang siap untuk pengujian di x86/inti TIP. Mengingat itu di x86/core daripada x86/urgent adalah indikasi lebih lanjut itu akan ditunda hingga siklus kernel berikutnya daripada mencoba menggoyangkan jalannya sebagai “perbaikan” untuk 6.1.
Thomas Gleixner merangkum pekerjaan mitigasi baru ini di tambalan ini:
Mitigasi yang sepenuhnya aman untuk underflow RSB pada CPU Intel SKL adalah IBRS, yang menimbulkan penalti hingga 30% untuk beban kerja syscall yang berat.
Pelacakan kedalaman panggilan berbasis perangkat lunak dan pengisian ulang RSB tidak sempurna, tetapi mengurangi permukaan serangan secara besar-besaran. Hukuman untuk kasus patologis sekitar 8% yang masih mengganggu tapi pasti lebih enak dari IBRS.
Tambahkan opsi baris perintah retbleed=stuff untuk mengaktifkan pelacakan kedalaman panggilan dan isi ulang perangkat lunak RSB.
Ini memberi admin pilihan. IBeeRS aman dan menyebabkan sakit kepala, pelacakan kedalaman panggilan dianggap cukup aman. Patch yang menambahkan X86_FEATURE_CALL_DEPTH juga terus mengkritik biaya IBRS Skylake yang ada:
CPU Intel SKL jatuh kembali ke prediktor lain ketika RSB underflow. Satu-satunya mitigasi mikrokode adalah IBRS yang sangat mahal. Muncul dengan penurunan kinerja hingga 30% tergantung pada beban kerja.
Cara yang lebih murah, namun mitigasi yang mengerikan adalah melacak kedalaman panggilan dalam perangkat lunak dan terlalu bersemangat mengisi RSB saat pengembalian di bawah penghitung perangkat lunak.
Berikan simbol konfigurasi dan bit misfeature CPU. Ya, mengaktifkan Pelacakan Kedalaman Panggilan ini dilakukan melalui opsi retbleed=stuff pada kernel yang ditambal. Status mitigasi yang diaktifkan melalui sysfs pada CPU yang terpengaruh juga akan ditunjukkan sebagai “”Mitigasi: Stuffing” untuk Retbleed. Selain retbleed=stuff, kernel Linux yang ditambal juga harus dibuat dengan CALL_DEPTH_TRACKING diaktifkan.
Sementara sayangnya kehilangan jendela penggabungan Linux 6.1, pekerjaan Pelacakan Kedalaman Panggilan ada di x86/core TIP yang baru berbasis ulang dan mudah-mudahan akan ditemukan di siklus Linux 6.2 awal tahun depan untuk membantu mengimbangi biaya kinerja yang signifikan yang disebabkan oleh IBRS sejak pengungkapan Retbleed untuk pengguna Intel Skylake.
Itulah berita seputar Menyelaraskan Pelacakan Kedalaman Panggilan Untuk Linux 6.2 Untuk Mengurangi Hit Kinerja Mitigasi Untuk Intel Skylake, semoga bermanfaat. Disadur dari Phoronix.com.