Vlákno názorů k článku Procesory Intel mají vážnou hardwarovou chybu, záplata výrazně snižuje výkon od Milan - Tak, ted nevim, jestli vše dobře chápu, tak...
-
Milan (neregistrovaný)
Mám rád erudované odpovědi. Fakt díky kamaráde!
Já tak usuzuji podle věty "... Řečeno jinak: „útočník“ se může z jedné virtuální mašiny dostat k datům v paměti jiné virtuální mašiny ...". Zajímá mě to tedy pro to, že pokud do stroje nepouštím cizí lidi, tak to asi problém nebude. tedy pokud je služba provozována přímo na železe. V tu chvíli, pokud se do ni útočník dostane, tak mi je tohle už asi jedno.
Je tu někdo, kdo není jen hloupý, kdo to umí potvrdit/vyvrátit a vysvětlit?
Díky!
-
KateStříbrný podporovatelOno to je myšleno spíš tak, že dokonce dovede koukat na jiné virtuály v rámci jednoho hypervizora (což je věc kterou moc zranitelností nedovede) Číst data jiných aplikací v rámci jednoho systému (ať už virtuálního, nebo fyzického) je už banalita.
-
zedd (neregistrovaný)
Zatím jsem narazil jen na oficiální vyjádření Citrix/Xen, který JE postižený. Většinu mám na Proxmox a naštěstí jde většinou o věci, které lze efektivně limitovat firewallem (intranety). Tedy hypervizory i většinu VM zatím nebudu záplatovat a přes weekend zkusím patch na nějakém naklonovaném webhosting serveru, který je z principu otevřený do světa a zároveň je nejpravděpodobnější cestou zneužití v rámci našeho systému.
Izolaci jednotlivých VM zatím řešit nebudu - i když jde o různé subjekty, je v našem případě riziko zneužití ze strany klientů minimální. Asi by se vyplatilo sestěhovat nejvíc ohrožené VM (webhostingy) na jeden hypervizor a ten uvrhnout do jakési poloviční karantény.
Mmch zdědil jsem jeden kousek, kde je DB na stejném stroji jako webserver, což se opět a opět ukazuje jako osina v pozadí ...
-
PeeKay (neregistrovaný)
Z toho co jsem o tom zatím pochytil, tak je řečeno správně. Pokud virtualizace není plná, lze se dostat do paměti "jiného stroje" na stejném železe. Problém je u kontejnerů (openVZ, docker, PV XEN atp.).
U usera s ntb to je asi v zásadě jedno, kolikrát tam mají natažené horší věci, ale záplatovat by měl.
Takže reálně je to problém jen pro někoho, např u XEN s HVM problém zas tak nevidím. A pokud se někomu podaří dostat na hypervisora a nahrát tam něco co využívá tuto chybu, mám zatraceně velkej problém a meltdown to není. Ten hlášený úbytek 30% mi aktuálně převyšuje riziko, ale uvidíme jaké informace se k tomu ještě dozvíme.
