Abo
  • Services:

Meltown-Patches für Linux

Nutzer von Linux-Systemen sind für Updates gegen Spectre und Meltdown auf die Kernel-Pakete ihrer Distributionen angewiesen, falls diese nicht auf die Upstream-Versionen von Kernel setzen. Aber selbst hier gibt es einige Unterschiede, die es zu beachten gilt. Bei den Updates gegen Meltdown ist die Sachlage noch vergleichsweise übersichtlich. Die aktuelle Kernel-Version 4.14.13 sowie die noch in Entwicklung befindliche Version 4.15 enthalten die Patches für die sogenannten Kernel Page Table Isolation (KPTI). Die finale Version von Linux 4.15 erscheint vermutlich am 21. Januar.

Stellenmarkt
  1. Coroplast Fritz Müller GmbH & Co. KG, Wuppertal
  2. Hornbach-Baumarkt-AG, Neustadt an der Weinstraße

Diese KPTI-Patches basieren wiederum auf den Kaiser-Patches von den Forschern der TU Graz, die die Meltdown-Lücke gefunden haben. Die Kaiser-Patches sind aber bereits zuvor aus anderen Gründen erstellt worden. Kaiser steht für Kernel Address Isolation to have Side-channels Efficiently Removed und die Arbeiten haben sich als gute Grundlage für Gegenmaßnahmen gegen Meltdown erwiesen.

Kernel- und Userspace besser getrennt

Einige offensichtlich frustrierte Kernel-Hacker hatten zwischenzeitlich auch Fuckwit als Codenamen für die Patchserie vorgeschlagen, das steht für Forcefully Unmap complete Kernel with interrupt Trampolines. Unter Windows wird diese Technik als Kernel Virtual Adress (KVA) Shadow bezeichnet. Das Ziel ist es hierbei, den Adressraum des Kernels möglichst weitgehend von dem einer Userspace-Anwedung zu trennen.

  • Die von Intel selbst durch Benchmarks ... (Quelle: Intel)
  • ... mit der jeweiligen Systemkonfiguration. (Quelle: Intel)
  • Ausgabe des Spectre-Meltdown Checkers unter Suse Linux auf einem Intel PC. (Screenshot: Golem.de)
  • Ausgabe des Spectre-Meltdown Checkers unter Suse Linux mit einem Ryzen-Chip von AMD. (Screenshot: Golem.de)
  • Ausgabe des Microsoft Powershell-Tools unter Windows 10 mit einem Broadwell-Chip von Intel. (Screenshot: Golem.de)
Ausgabe des Spectre-Meltdown Checkers unter Suse Linux auf einem Intel PC. (Screenshot: Golem.de)

Bisher war der Kernel standardmäßig in den Userspace gemappt, um einen Kontextwechsel zwischen Kernelspace und Userspace schneller durchführen zu können und den Translation Lookaside Buffer (TLB) hierbei nicht leeren zu müssen. Die CPU sorgt eigentlich für die dennoch notwendige strikte Trennung zwischen Kernel- und Userspace, was bei Meltdown allerdings geschickt umgangen wird. Der Kernel wird künftig nicht mehr so gemappt wie bisher, das neue Verhalten führt damit allerdings zwangsläufig zu einem Leistungsverlust und ist genau deshalb auch bisher vermieden worden.

In zwei ausführlichen Texten beschreibt das Magazin LWN.net die Funktionsweise der Patches sowie die langwierigen Iterationen und von den Kernel-Hackern diskutierte Fehler während der Entwicklung. Gesteuert werden kann die Verwendung von PTI mit der Option pti=(yes|no|auto) über die Kommandozeile des Kernels.

Prozess-Kontexte zu Beschleunigung

Damit die Leistungseinbußen zumindest ein wenig abgemildert werden können, nutzen sowohl Windows als auch Linux Process-Context Identifiers (PCID), sofern die Hardware diese unterstützt. Diese sind zwar seit Jahren theoretisch verfügbar, werden aber erst seit Linux 4.14 sinnvoll unterstützt. Die PCID ermöglichen es, Seitentabellen, die im TLB gecacht sind, mit entsprechenden Kennzeichnungen zu markieren.

Das Nachschlagen (Lookup) im TLB wird dann nur für den jeweiligen Kontext erlaubt, wenn der auf der CPU laufende Thread die gleiche Kennzeichnung hat. Die restlichen Einträge im TLB werden schlicht ignoriert. Das vermeidet das Leeren des TLB bei einem Kontextwechsel. Der Entwickler Gil Tene beschreibt diese Funktion in einem Beitrag sehr ausführlich und erläutert mögliche Probleme bei der Verwendung in Gastsystem von virtuellen Maschinen.

Linux-Nutzer finden über /proc/cpufinfo heraus, ob ihr Intel-Chip PCID unterstützt. Das erwähnte Powershell-Skript für Windows listet die Unterstützung für diese Optimierung unter KVAShadowPcidEnabled, Windows nutzt also wohl eine ähnliche Methode wie Linux. Die Versionsvielfalt von Linux hat den Entwicklern die Update-Arbeit aber nicht unbedingt erleichtert.

Angaben zu Leistungseinbußen unter Linux variieren sehr stark je nach eingesetztem Benchmark, Distribution und den genutzten Patches. Red Hat listet etwa Einbußen bis zu 20 Prozent, insbesondere bei der intensiven Nutzung von Datenbanken und bei Anwendungen mit vielen Kontextwechseln vom Kernel- zum Userspace. Das Magazin Phoronix hat darüber hinaus teilweise massive Leistungseinbußen bei I/O-Operationen festgestellt.

 Was macht Apple für MacOS-Nutzer?Updates für Langzeit-Linux und ARM64 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10.  


Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. 4,25€

logged_in 14. Feb 2018

i7-930 hier. Hast sicher auch schon oft nach einem guten Upgrade gesucht, und dann aus...

cryptomagic 08. Feb 2018

Der Frage haben wir uns genauer angenommen, und unsere Ergebnisse in einem Artikel...

daydreamer42 28. Jan 2018

Ohne entsprechende Betriebssystem-Patches sind die Microcode-Patches wertlos. Der Linux...

Bachsau 27. Jan 2018

Eben genau nicht. Man braucht keine Root-Rechte.

Der Held vom... 25. Jan 2018

Du hast aber schon gelesen (und verstanden) was ich schrieb, oder? Von Taktraten war da...


Folgen Sie uns
       


Threadripper 2990WX - Test

Wir testen den Ryzen Threadripper 2990WX, den ersten 32-Kern-Prozessor für High-End-Desktops. In Anwendungen wie Blender oder Raytracing ist er unschlagbar schnell, bei weniger gut parallisierter Software wie Adobe Premiere oder x265 wird er aber von Intels ähnlich teurem Core i9-7980XE überholt.

Threadripper 2990WX - Test Video aufrufen
OLKB Planck im Test: Winzig, gerade, programmierbar - gut!
OLKB Planck im Test
Winzig, gerade, programmierbar - gut!

Wem 60-Prozent-Tastaturen wie die Vortex Poker 3 noch zu groß sind, der kann es mal mit 40 Prozent versuchen: Mit der voll programmierbaren Planck müssen wir anders als erwartet keine Abstriche machen - aber eine Umgewöhnung und die Einarbeitung in die Programmierung sind erforderlich.
Ein Test von Tobias Költzsch

  1. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern
  2. Kailh KS-Switch im Test Die bessere Alternative zu Cherrys MX Blue
  3. Apple-Patentantrag Krümel sollen Macbook-Tastatur nicht mehr stören

HDR-Capture im Test: High-End-Streaming von der Couch aus
HDR-Capture im Test
High-End-Streaming von der Couch aus

Was bringen all die schönen neuen Farben auf dem 4K-HDR-TV, wenn man sie nicht speichern kann oder während des Livestreams nicht mehr selber sieht? Avermedia bietet mit den Capture-Karten Live Gamer 4K und Live Gamer Ultra erstmals bezahlbare Lösungen an. PC-Spieler sehen mit ihnen sogar bis zu 240 Bilder pro Sekunde.
Von Michael Wieczorek

  1. DisplayHDR Vesa veröffentlicht erstes Testwerkzeug für HDR-Standard
  2. HDMI 2.0 und Displayport HDR bleibt Handarbeit
  3. Intel Linux bekommt experimentelle HDR-Unterstützung

Leckere neue Welt: Die Stadt wird essbar und smart
Leckere neue Welt
Die Stadt wird essbar und smart

Obst und Gemüse von der Stadtmauer. Salat und Kräuter aus dem Stadtpark. In essbaren Städten sprießt und gedeiht es, wo sonst Hecken wuchern und Geranien blühen. In manchen Metropolen gibt es gar sprechende Bänke, denkende Mülleimer und Gewächshochhäuser.
Ein Bericht von Daniel Hautmann

  1. IT-Sicherheit Angriffe auf Smart-City-Systeme können Massenpanik auslösen

    •  /