Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Windows et Linux présentent les options permettant de désactiver la technologie Intel TSX sur leurs plateformes
Afin de faire face à la vulnérabilité Zombieload v2

Le , par Christian Olivier

32PARTAGES

16  0 
Récemment, une nouvelle variante de la vulnérabilité Zombieload a été exposée au grand jour et il a été établi que toutes les microarchitectures de processeurs x86 d’Intel depuis 2013 sont vulnérables à ce nouvel exploit portant le nom de code « CVE-2019-11135 » ou « Zombieload v2 » ou faille TAA. Cette nouvelle variante porte à cinq le nombre de vulnérabilités incluses dans la famille MDS telle que définie par Intel. Malheureusement, il n’existe à l’heure actuelle aucune protection matérielle implémentée directement au niveau des processeurs x86 du fondeur américain qui permettrait de se prémunir contre Zombieload v2. Selon Intel, le CVSS (Common Vulnerability Scoring System) de cette nouvelle faille est de 6,5.

Zombieload v2 affecte tous les processeurs d’Intel supportant le jeu d’instruction TSX (Transactional Synchronization Extensions), soit toutes les puces depuis la génération Haswell, jusqu’à la génération récente Cascade Lake. La technologie TSX développée par Intel se présente comme une extension du jeu d’instructions de l’architecture x86 qui ajoute la prise en charge de la mémoire transactionnelle matérielle afin d’améliorer les performances des logiciels multithreadés. Cette technologie a deux sous-fonctionnalités : Restricted Transactional Memory (RTM) et Hardware Lock Elision (HLE). TSX est notamment mis à contribution dans les environnements SQL hautement parallélisés pour empêcher les différents cœurs d’un CPU de se bloquer mutuellement.

La stratégie d’Intel vis-à-vis de Zombieload v2

Intel a publié un patch de sécurité qui cible le logiciel embarqué ou microcode des cartes mères qui prennent en charge les processeurs affectés, y compris ceux de la génération Cascade Lake. Il devrait être distribué par les fabricants de cartes sous forme de mises à jour BIOS. Les plateformes Windows et Linux basées sur des CPU Intel sensibles sont toutes concernées par ce patch de sécurité. Signalons au passage que les processeurs x86 d’AMD, notamment ceux qui dérivent de l’architecture Zen / Zen+ / Zen2, sont intrinsèquement immunisés contre Zombieload v2. Il en serait de même pour les CPU IBM Power9v2. Selon l’avis de sécurité officiel d’Intel, les CPU suivants sont concernés :

Les recommandations de Microsoft

Les équipes de Microsoft et les développeurs du noyau Linux ont ajouté ou fait par des solutions qui permettent de désactiver la prise en charge de TSX. La firme de Redmond a publié sur son site un avis sur la façon dont les administrateurs système peuvent désactiver (1) ou réactiver (2) la fonctionnalité TSX en utilisant des clés de registre comme suit :
(1)
Code : Sélectionner tout
1
2
reg add
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel" /v DisableTsx /t REG_DWORD /d 1 /f
(2)
Code : Sélectionner tout
1
2
reg add
 « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel » /v DisableTsx /t REG_DWORD /d 0 /f
Des informations plus précises pour Linux

Sur les systèmes Linux où les administrateurs ont appliqué les mises à jour de microcode d’Intel, deux options d’atténuation du TAA (TSX Asynchronous Abort) existent. La première se traduit par l’ajout du Model Specific Register (MSR) IA32_TSX_CTRL qui permet de désactiver RTM seul ou RTM et HLE en même temps. La seconde qui est basée sur les anciennes solutions de mitigation de MDS permet de supprimer les données périmées présentes au niveau du CPU par le biais d’une instruction VERW qui efface tous les tampons de la puce. Il semble dans ce dernier cas que l’application des nouvelles mesures de mitigation d’Intel « désactive inconditionnellement » la fonctionnalité HLE des CPU cibles sur les plateformes Linux. Par ailleurs, Intel recommande la désactivation de HLE, mais aussi celle de RTM pour les environnements virtualisés.

L'impact sur les performances des systèmes touchés

Comme l’a récemment souligné un développeur du noyau Linux, il faut rappeler qu’à cause des failles matérielles qui affectent les processeurs Intel et des différentes solutions de mitigation publiées par la firme de Santa Clara, il est recommandé aux utilisateurs, professionnels et entreprises soucieux de la sécurité de leurs données de désactiver la technologie Hyperthreading sur leurs systèmes basés sur des processeurs Intel. Par ailleurs, ils doivent tous s’attendre à une réduction des performances — de l’ordre de 20 % environ (jusqu’à 40 % dans certains cas) — sur les systèmes basés sur les CPU Intel sensibles à ces différents exploits. La découverte de nouvelles vulnérabilités matérielles comme Zombieload v2 et la publication de nouvelles mesures d’atténuation ne fera probablement qu’aggraver ces désagréments.

Source : Microsoft, Linux, Intel

Et vous ?

Qu’en pensez-vous ?

Voir aussi

MDS : de nouveaux exploits liés à l'exécution spéculative qui affectent les CPU Intel jusqu'à Kaby Lake et exposent les données des mémoires tampon
Spectre/Meltdown : de nouvelles failles dans les processeurs, elles permettent de lire les registres internes, la mémoire kernel et celle de l'hôte
PortSmash : une nouvelle faille critique qui affecte les CPU Intel exploitant l'Hyperthreading ou le SMT. Des CPU AMD pourraient aussi être touchés
Un développeur du noyau Linux rappelle qu'à cause des failles matérielles qui affectent les CPU Intel il faut désactiver l'hyperthreading et s'attendre à une réduction des performances de 20 %

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Steinvikel
Membre chevronné https://www.developpez.com
Le 16/11/2019 à 2:31
Certains logiciels tirent parti de la fréquence max du CPU, d'autres, du nombre max de coeurs physiques (SMT/HT compris) ...et certains semble plutôt "équilibrés" entre ces deux cas.

Est-il vraiment pertinent de dire que tel ou tel fabricant fabrique de meilleurs produits que son concurrent, alors qu'outre le type de logiciel que l'on souhaite faire tourner dessus, c'est l'implémentation exacte du logiciel qui va, en finalité, dicter si tel ou tel produit est plus approprié pour afficher les meilleurs performances.
La preuve en est faite régulièrement par les bench faussés à coups d'optimisations pour des "contextes" volontairement favorables. Que se soit par du matos équipé de BIOS "presse", ou des démos qui font tourner des scènes s'appuyant fortement sur la solution à mettre en avant pour dire que "ma solution générique est meilleur !".

Réveillez-vous, faite la paix, et partagez vos connaissances... expliquez-vous !
3  0 
Avatar de Fleur en plastique
Membre habitué https://www.developpez.com
Le 15/11/2019 à 11:53
Raz le bol de toutes ces failles sur les CPUs Intel

Une chose est sûre : mon prochain CPU sera un AMD.
2  0 
Avatar de luciole75w
Candidat au Club https://www.developpez.com
Le 15/11/2019 à 21:16
Citation Envoyé par Christian Olivier Voir le message
La firme de Redmond a publié sur son site un avis sur la façon dont les administrateurs système peuvent désactiver (1) ou réactiver (2) la fonctionnalité TSX en utilisant des clés de registre comme suit :
(1)
Code : Sélectionner tout
1
2
reg add
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Control\Session Manager\Kernel" /v DisableTsx /t REG_DWORD /d 1 /f
(2)
Code : Sélectionner tout
1
2
reg add
 « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Control\Session Manager\Kernel » /v DisableTsx /t REG_DWORD /d 0 /f
...
Source : Microsoft, Linux, Intel
Merci pour l'info.

Il y a une erreur dans le chemin de la clé (un "\Control" en trop). La commande donnée par microsoft pour déactiver TSX est :
Code : Sélectionner tout
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel" /v DisableTsx /t REG_DWORD /d 1 /f
1  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 30/11/2019 à 11:26
Petite question d’un néophyte : Pourquoi c’est mieux, la compilation sur Intel ?
Ce n'est ni mieux ni moins bien.

Il peut y avoir des différences de perfs, mais il faut avant tout comparer ce qui est comparable, comparer à fréquence équivalente, taille de cache équivalent nombre de cœurs équivalents, type et quantité de RAM équivalente. Et vu le nombre de produits, c’est pas évident de faire une comparaison juste et objective, surtout qu'il faut aussi prendre en compte les perfs des chipsets.

Après si tu utilises le compilateur Intel avec un CPU Intel, tu auras probablement de meilleures perfs qu'avec un AMD supporté par ce même compilateur.

Tout comme tu pourras avoir une différence d'efficacité entre une compilation sous Windows et une sous Linux, mais il sera objectivement difficile d'impliquer ses différences au compilateur plutôt qu'à l'OS.
1  0 
Avatar de jvallois
Membre habitué https://www.developpez.com
Le 15/11/2019 à 13:21
Citation Envoyé par Aiekick Voir le message
perso je reste sur intel, pour la compilation ya pas mieux
Petite question d’un néophyte : Pourquoi c’est mieux, la compilation sur Intel ?
0  0 
Avatar de Sarénya
Membre régulier https://www.developpez.com
Le 15/11/2019 à 22:04
Citation Envoyé par Aiekick Voir le message
du coup avec cette perte de performance, il seront au niveau des puces AMD.. perso je reste sur intel, pour la compilation ya pas mieux
à par si tu parle du compilateur intel, c'est complètement faux : http://www.comptoir-hardware.com/art...2.html?start=9
0  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 02/12/2019 à 15:43
je ne vais pas jusque la, mais j'ai testé des proc amd et intel équivalent en cache et nombre de coeur. et que ce soit avec le compiler visual studio, mingw32, ou clang, dans tous les cas le compil plus vite avec intel. apres bon c'est mon avis, vous faites ce que vous voulez.
0  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 15/11/2019 à 13:12
du coup avec cette perte de performance, il seront au niveau des puces AMD.. perso je reste sur intel, pour la compilation ya pas mieux
0  3 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 15/11/2019 à 17:56
la rapidité
0  3