Serangkaian patch kernel Linux baru dikirimkan pada hari Jumat untuk mengubah mitigasi Native BHI yang diperkenalkan awal bulan ini untuk prosesor Intel.
Pada Patch Tuesday bulan ini, kernel Linux telah ditambal untuk kerentanan BHI yang kini terbukti relevan di luar eksploitasi (e)BPF. Untuk memitigasi kerentanan Spectre Branch History Injection (BHI) ini memerlukan pembaruan mikrokode CPU pada generasi CPU yang lebih baru atau rangkaian perangkat lunak yang diprogram dengan prosesor Intel yang lebih lama.
Patch mitigasi BHI dengan cepat di-backport ke seri kernel stabil. Pada hari-hari berikutnya berbagai perbaikan dikirimkan dan sekarang seri patch yang lebih besar menunggu untuk menyempurnakan mitigasi BHI di kernel Linux.
Terutama dengan seri patch baru yang berupaya mengurangi cakupan pengerasan panggilan sistem guna meningkatkan kinerja CPU. Meskipun mitigasi BHI tidak menunjukkan banyak perubahan pada CPU Core i9 14900K Raptor Lake Refresh, di ruang server, mitigasi BHI saat ini bisa sedikit lebih berdampak.
Pengujian internal
Red Hat menemukan bahwa mitigasi BHI menyebabkan tolok ukur basis data melambat sebesar 12% pada server Intel Xeon Scalable “Sapphire Rapids” baru-baru ini ketika basis data ditekankan dengan 80+ pengguna sehingga menyebabkan pertentangan sumber daya yang memadai.
Selain kinerja basis data sebesar 12% yang dilaporkan oleh Red Hat, robot uji kernel Intel menemukan beberapa tolok ukur skalabilitas/stress-ng yang menunjukkan “regresi signifikan” untuk prosesor Intel Skylake dengan IBRS.
Untuk mengatasi masalah kinerja ini, pengerasan panggilan sistem dikurangi menjadi hanya menggunakan cabang langsung panggilan sistem ketika cabang tidak langsung dianggap “tidak baik”. Tambalan tersebut menjelaskan:
Pengerasan syscall (mengonversi cabang tidak langsung syscall menjadi serangkaian cabang langsung) telah menunjukkan beberapa regresi kinerja:
– Pengujian internal Red Hat menunjukkan penurunan hingga 12% dalam pengujian benchmark database di Sapphire Rapids ketika DB ditekankan dengan 80+ pengguna sehingga menimbulkan perselisihan.
– Tolok ukur skala kemauan robot uji kernel menunjukkan regresi yang signifikan pada Skylake dengan IBRS.
Untuk memperbaiki perlambatan tersebut, hanya gunakan cabang langsung syscall ketika cabang tidak langsung dianggap “tidak OK”: artinya Spectre v2+BHI tidak dimitigasi oleh HW dan pengguna belum menonaktifkan mitigasi. Solusi tersebut adalah bagian dari solusi baru ini seri tambalan. Patch BHI terbaru ini juga menambahkan opsi kernel “spectre_bhi=vmexit” jika hanya menginginkan mitigasi perangkat lunak untuk diterapkan pada VM yang keluar dari mesin virtual namun masih rentan terhadap serangan panggilan sistem. Opsi spectre_bhi=vmexit ini mungkin berguna untuk server Intel Xeon lama yang sebagian besar menghosting VM/tamu dan ingin melewati overhead kinerja panggilan sistem apa pun. Tambalan ini kemungkinan besar akan masuk sebagai “perbaikan” pada kernel Linux setelah dianggap siap dan ditinjau.
Itulah berita seputar Mitigasi BHI Linux Diubah Setelah 12% Kinerja Basis Data Terkena, semoga bermanfaat. Disadur dari Phoronix.com.