Intel kämpft mit schwerer Sicherheitslücke (Update: Intel veröffentlicht Server-Benchmarks)

Ok, ich versuche mal ein Praxisbeispiel:

Fast alle Serveranbieter haben nicht nur Pakete, in denen ein Nutzer auch seinen eigenen Server hat, sondern es gibt auch virtuelle private Server. Dabei teilen sich mehrere Nutzer eine Hardware / einen Server. Nutzer 1 kommt aufgrund der Speicherzuteilung aber niemals an Daten im Speicher von Nutzer 2. Theoretisch ließe sich diese Barriere mit dem Bug umgehen und Nutzer 1 könnten auf Daten im Speicher zugreifen, die Nutzer 2 gehören.

Ich hoffe das einfache Beispiel bringt etwas Klarheit.

Na da hat Intel auf dem Desktop im Privatbereich wohl nochmal Schwein gehabt, dass die Performance idR. kaum einbricht und der Einbruch sogar kaum Messbar ist. Ich hätte mit mehr Verlangsamung gerechnet.

Etwas krasser find ich die Einbrücke bei schnellen NVMe Drives und die Ganze Thematik um Virtuelle Maschinen!

Ich habe vor einer Weile meinen Windows Desktop komplett virtualisiert. Und mittels GPU-Passthrough spiele ich nun in einer KVM/QEmu VM unter einem Ubuntu Host. Dazu bin ich auf AMD Ryzen unterwegs... Und werde das Problem wohl eher nicht haben (hoffe ich).

Nichts desto trotz.... Mein Arbeitgeben setzt sehr massiv auf VMs im Unternehmen. Und wenn ich sehe was für eine Last da zum Teil auf unseren ESXi Servern ist... puuuh ...

Wir vermieten zwar keine unserer VMs an Dritte und lassen auch keinen unsere Kunden auf unsere VMs, aber dennoch ist eine potentielle Gefährdung vom Innerhalb der Firma schon kritisch zu betrachten! Wenn ich überlege das es nun Möglich ist, dass eine unserer "Spacken-VMs" Daten aus unseren "Very-Imported"-VMs mit Kundendaten darauf lesen kann... boar... Hammer...

Wenn ich jetzt noch überlege dass unsere VMware Server demnächst durch Patches langsamer werden, dann können wir demnächst mind. einen neuen ESXi anschaffen, da wir nach dem Sicherheitspatches wohl echt zuwenig CPU Power haben. Da reden wir von 5 stelligen Summen!

Unsere ESXi's sind jetzt schon zum Teil brechend langsam weil ausgelastet...

Mein Sicherheitsbeauftragter und mein System-Administrator "freuen" sich schon.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn ich überlege das es nun Möglich ist, dass eine unserer "Spacken-VMs" Daten aus unseren "Very-Imported"-VMs mit Kundendaten darauf lesen kann...

Warum laufen eure Spacken-VMs auf dem gleichen Server wie eure "Very Important"-VMs mit Kundendaten?
 
Eins verstehe ich nicht. Es wird was von 30% Leistungseinbruch gelabert. Die Benchmark Erbgebisse zeigen aber kein 30 % Leistungseinbruch. Ja was denn nun? Wenn der 30% Leistungseinbruch nur Linux triff, ist das doch irrelevant.
 
Lesen hilft.

Es gibt Anwendungen, gerade im Serverbereich, die oft und viele content switches durchführen. DAS führt mit dem workaround zu massivem Performance-Verlust.

Spiele oder 0815-casual Kram den wir machen betrifft das nicht. Bei DRM-heavy Spielen könnte das anders aussehen.

Sollte sich das tatsächlich als Intel only Problem herausstellen und die Patches gerade im Serverbereich nur bei Intel CPUs greifen, dann büßt nur Intel diese Performance im spezifischen workload ein.

AMD ist bei dem Linux Patch als Beispiel auch mit drin und verliert ebenso identisch zum Intel Pendant Leistung. Wenn die Patches final sind, AMD nicht betroffen ist und ausgeklammert wird im workaround, könnte das bedeuten, dass AMD im Serverbereich deutlich besser dasteht als Intel.

Hier muss man sehen, was die Patches am Ende leisten und ob nicht-betroffene AMD CPUs sauber ausgeklammert werden.
 
Eins verstehe ich nicht. Es wird was von 30% Leistungseinbruch gelabert. Die Benchmark Erbgebisse zeigen aber kein 30 % Leistungseinbruch. Ja was denn nun? Wenn der 30% Leistungseinbruch nur Linux triff, ist das doch irrelevant.

1. Linux ist alles andere als irrelevant 😉
2. Die Einbrüche mit bis zu 30 % sind Worst-Case-Szenarien.
 
Es wird was von 30% Leistungseinbruch gelabert. Die Benchmark Erbgebisse zeigen aber kein 30 % Leistungseinbruch.
Kann ja verstehen wenn man kein Experte in Sachen CPU-Architektur ist. Aber dass eine CPU und ein Betriebssystem Kernel sehr komplex aufgebaut sind und unterschiedliche Anwendungen unterschiedliche Befehlssätze, Cache- und Kernel-Aufrufe nutzen bzw. davon profitieren, sollte doch jedem halbwegs Technik interessierten Leser einleuchten. Die genannten Leistungseinbußen können eben besonders bei Servern z.B. Datenbanksystemen auftreten. Solche Workloads und Anwendungsfälle wirst du in deinem 1337-Gaming Alltag natürlich weniger haben.

Wenn der 30% Leistungseinbruch nur Linux triff, ist das doch irrelevant.
Der Bug liegt in der Hardware und die Patches für die Betriebssysteme (ja auch Windows und MacOS) führen einfach dazu, dass Zwischenspeicher innerhalb der CPU nach bestimmten Operationen geleert werden, damit keine anderen Prozesse darauf zugreifen können. Das Leeren des Cache ist anscheinend relativ aufwendig und führt natürlich auch dazu, dass teilweise benötigte Daten neu aus dem Hauptspeicher geladen werden müssen. Die Leistungseinbußen dürften also nicht primär OS spezifisch, sondern von der Art der Anwendung abhängig sein.
 
Zuletzt bearbeitet:
Kann ja verstehen wenn man kein Experte in Sachen CPU-Architektur ist. Aber dass eine CPU und ein Betriebssystem Kernel sehr komplex aufgebaut sind und unterschiedliche Anwendungen unterschiedliche Befehlssätze, Cache- und Kernel-Aufrufe nutzen bzw. davon profitieren, sollte doch jedem halbwegs Technik interessierten Leser einleuchten. Die genannten Leistungseinbußen können eben besonders bei Servern z.B. Datenbanksystemen auftreten. Solche Workloads und Anwendungsfälle wirst du in deinem 1337-Gaming Alltag natürlich weniger haben.

Der Bug liegt in der Hardware und die Patches für die Betriebssysteme (ja auch Windows und MacOS) führen einfach dazu, dass Zwischenspeicher innerhalb der CPU nach bestimmten Operationen geleert werden, damit keine anderen Prozesse darauf zugreifen können. Das Leeren des Cache ist anscheinend relativ aufwendig und führt natürlich auch dazu, dass teilweise benötigte Daten neu aus dem Hauptspeicher geladen werden müssen. Die Leistungseinbußen sind also primär nicht OS spezifisch, sondern abhängig von den Anwendungen.
Welche CPU ist den betroffen? Server oder Desktop. Es geht doch um den ME Bug in Server Bereich. Laut ASUS sind da die normalen Desktop´s gar nicht betroffen. Jedenfalls als ich nach einen Patch für ME gefragt hatte. Wurde gesagt, der BUG betrifft nur Server. Die Geschichte ist auch nicht neu sondern ein alter Hut. Wenn es nur die Server Betrifft wird hier eine Geschichte aufgebauscht die uns gar nicht betrifft.

- - - Updated - - -

1. Linux ist alles andere als irrelevant
2. Die Einbrüche mit bis zu 30 % sind Worst-Case-Szenarien.

Bei Gamer und Normal Anweder ist Linux nicht der rede Wert. Liegt in Promille Bereich.
 
Zuletzt bearbeitet:
1. Linux ist alles andere als irrelevant

Ach was, natürlich ist Linux irrelevant! Auf meinem PC läuft nur Windows 10, und auf allen anderen Geräten in meinem Haus läuft Android, Fritz!OS, das Speedport OS, Tizen oder ownCloud. Linux kommt mir nicht ins Haus!!

Bei Gamer und Normal Anweder ist Linux nicht der rede Wert. Liegt in Promille Bereich.

Eben. Ich hab kein einziges Gerät im Haus, das mit Linux läuft. Meine Betriebssysteme habe ich oben ausgelistet!
 
Zuletzt bearbeitet:
Welche CPU ist den betroffen? Server oder Desktop. Es geht doch um den ME Bug in Server Bereich.
Was genau hindert dich daran mal die aktuellen Berichte aufmerksam zu lesen? Dort findest du alle Antworten. Und nein, es geht nicht um den Intel ME Bug.

Lord Wotan schrieb:
Bei Gamer und Normal Anweder ist Linux nicht der rede Wert.
Wow, und was nutzt wohl der Großteil der Serverbetreiber? Nur weil Gamer nicht von den teils massiven Leistungseinbußen betroffen sind ist das Thema "aufgebauscht"? Zumal das Problem nichts mit Linux oder Windows zu tun hat..

@Fallwrrk: d'accord.:d Auch wenn in deinen Beispielen x86 unüblich ist.
 
Zuletzt bearbeitet:
Ach was, natürlich ist Linux irrelevant! Auf meinem PC läuft nur Windows 10, und auf allen anderen Geräten in meinem Haus läuft Android, Fritz!OS, das Speedport OS, Tizen oder ownCloud. Linux kommt mir nicht ins Haus!!



Eben. Ich hab kein einziges Gerät im Haus, das mit Linux läuft. Meine Betriebssysteme habe ich oben ausgelistet!

Es ist auch ein Server CPU ME Problem und sonst nichts. Hier wird so getan als ob das alle betrifft. Komisch das ASUS sagt es trifft nur Workstation und Server aber nicht Desktop CPU´s. Also ist die Aufgebauschte Geschichte, für Gamer total irrelevant, da sie einfach gar nicht betroffen sind. Oder Spielt hier irgenteiner mit einen Intel Linux Server Windows Desktop Games?
 
Es ist auch ein Server CPU ME Problem und sonst nichts. Hier wird so getan als ob das alle betrifft. Komisch das ASUS sagt es trifft nur Workstation und Server aber nicht Desktop CPU´s.
Ein letzter Versuch. Vielleicht klappts ja doch noch mit dem Lesen:
Bereits in den letzten Wochen musste Intel Negativschlagzeilen wegen Sicherheitslücken im Management Engine Interface über sich ergehen lassen. Doch gestern hat The Register eine Welle an Nachrichten angestoßen, die weit über die MEI-Problematik hinausreichen. In Intel-Prozessoren mit Support für x86-64 befindet sich offenbar eine gravierende Sicherheitslücke, die es Angreifern erlaubt, auf prozessfremde Speicherbereiche zuzugreifen. Da es sich dem Vernehmen nach um einen Hardware-Bug handeln soll, der nicht mit einem Microcode-Update gefixt werden kann, ist die Bedrohungssituation potenziell erheblich, schließlich stecken in der überwiegenden Mehrzahl der x86-64-Systeme Intel-Prozessoren. Der Bug ist unabhängig vom Betriebssystem – Windows, Linux und MacOS sind betroffen.
Quelle
 
Es ist auch ein Server CPU ME Problem und sonst nichts. Hier wird so getan als ob das alle betrifft. Komisch das ASUS sagt es trifft nur Workstation und Server aber nicht Desktop CPU´s. Also ist die Aufgebauschte Geschichte, für Gamer total irrelevant, da sie einfach gar nicht betroffen sind. Oder Spielt hier irgenteiner mit einen Intel Linux Server Windows Desktop Games?

Mach dir einfach mal Gedanken auf welchen Kisten die Gameserver laufen, auf denen du spielst. Oder was mit deinem NAS ist. Du magst das als Gamer nicht direkt merken. Das macht die Sache aber nicht besser, weil sich nun ein shitload an Unternehmen neue Server hinstellen darf, weil die Leistung sonst zu knapp wird, um zu skalieren. Ich bezweifle zwar, dass du das selber irgendwie merken wirst, aber das verharmlost das Problem in keinster Weise! Und es ist auch kein Server-CPU-Problem. Es ist eine Sicherheitslücke in ALLEN Intel-Prozessoren der letzten 10 Jahre, ohne Ausnahme. Der Bugfix für diese Sicherheitslücke macht die CPUs langsamer, mal mehr mal weniger. Und du darfst dich höchstens freuen, dass du als Gamer in die Kategorie "weniger" fällst. Andere Menschen haben nicht so viel Glück, denn auf Grund ihrer ToDos haben sie unter Umständen diese erwähnten 30% Leistungsverlust.
 
Zuletzt bearbeitet:
Bitte verwechselt den Bug der Management Engine (der per Microcode Update behoben werden kann) nicht mit diesem hier! Das sind zwei unterschiedliche Paar Schuhe!
 
Mal abgesehen vom stark Virtualisierten Serverbereich, könnte diese Lücke nicht Problemlos ausgenutzt werden damit jedes beliebige Schadprogramm was Lieschen Müller ohne Adminrechte ausführt sich selbst Adminrechte verschaffen oder einfach Speicherbereiche für Passwörter auslesen kann?
 
Zuletzt bearbeitet:
Mach dir einfach mal Gedanken auf welchen Kisten die Gameserver laufen, auf denen du spielst. Oder was mit deinem NAS ist. Du magst das als Gamer nicht direkt merken. Das macht die Sache aber nicht besser, weil sich nun ein shitload an Unternehmen neue Server hinstellen darf, weil die Leistung sonst zu knapp wird, um zu skalieren. Ich bezweifle zwar, dass du das selber irgendwie merken wirst, aber das verharmlost das Problem in keinster Weise! Und es ist auch kein Server-CPU-Problem. Es ist eine Sicherheitslücke in ALLEN Intel-Prozessoren der letzten 10 Jahre, ohne Ausnahme. Der Bugfix für diese Sicherheitslücke macht die CPUs langsamer, mal mehr mal weniger. Und du darfst dich höchstens freuen, dass du als Gamer in die Kategorie "weniger" fällst. Andere Menschen haben nicht so viel Glück, denn auf Grund ihrer ToDos haben sie unter Umständen diese erwähnten 30% Leistungsverlust.

Dann wäre es aber ein Fall für den Verbraucherschutz, oder? Müsste Intel dann nicht jeden komplette neue Bugfreie Hardware in den Wohnung stellen? Bei einen Auto wären 30% Leistungseinbusse ein Grund für Schadensersatz.
 
Zuletzt bearbeitet:
Ich frage mich auch, wie es mit Schadensersatz aussieht. Für uns Ottonormaluser kein Problem, aber große Firmen......
 
Hatte ich ja auch schon angemerkt, Sammelklagen in D. wohl nicht möglich, in Übersee schon ...
 
Bei Gamer und Normal Anweder ist Linux nicht der rede Wert. Liegt in Promille Bereich.
Spätestens wenn der Gamingserver langsamer läuft, schlägt das auch bei den Gamern auf. Dazu ist Linux meistens auf Kernel-Ebene schneller als Windows, d.h. dort könnte sich das sogar noch stärker auswirken.
 
Spätestens wenn der Gamingserver langsamer läuft, schlägt das auch bei den Gamern auf. Dazu ist Linux meistens auf Kernel-Ebene schneller als Windows, d.h. dort könnte sich das sogar noch stärker auswirken.

ich hatte mich bei Bug vertan. Das hier ist nicht der alte ME Server BUG sondern ein total anderer. Der wirklich jede CPU trifft und 30% Leistung kostet.
 
Wie kommt eigentlich die Diskrepanz von 30-49% Nachteil durch den patch unter Linux, vs 7% bei Windows zustande?
Liegt das nur an der Testmethode oder der Optimierung?
 
Zuletzt bearbeitet:
Die oft erwähnten 30 % Leistungsverlust beschreiben einen Worst Case. Der kann unter Linux und Windows auftreten. Bis zu 30 % heißt auch nicht, dass IMMER 30 % weniger Leistung nach dem Patch vorhanden sind. Noch einmal: Das beschreibt ein extremes Szenario.
 
Also halten wir fest:
1. Nur Intel ist mit seinen x86(-x64)-CPUs betroffen. Egal ob Server, Workstation oder Desktop. Alle. Auch Atom & Co.
2. Ob Windows, MacOS oder Linux spielt keine Rolle. Alle betroffen. Aber die Workarounds stehen quasi bereit.
3. Massive Einbrüche der Leistung sind nur bei der Verarbeitung von Massendaten im RAM sowie von/zu den Massenspeichern zu erkennen.

Ergebnis:
Für uns Otto-Normalos & "Freaks" belanglos. Wir spüren davon nichts. Nur werden NVMe-SSDs deutlich sichtbar eingebremst. Spürbar ist das trotzdem nicht, weil man einen Unterschied von SSD zu NVMe nicht wirklich "spüren" kann.

Für Server-Betreiber ist jetzt ein WorstCase-Szenario ausgebrochen. Da muss gepatcht werden und bei Betreibern von Systemen mit hoher RAM-Last (VM) oder hoher Massenspeicherlast (Datenbanken) wird eine deutliche Performanceeinbuße hinzunehmen sein. Egal ob mittelständische Unternehmen oder Betreiber von Serverfarmen - das könnte eine beispiellose Welle von Botnetzen auslösen, wenn das Problem nicht ausreichend kommuniziert wird.

Ich mag mir übrigens noch keine Vorstellung von den modernen IoT-Geräten machen, die mit Atom-Chip bestückt sind. Patches beim Toaster oder Kühlschrank? Fehlanzeige. Da darf man ebenfalls eine Welle von "Zombie"-Geräten erwarten.
 
Wie kommt eigentlich die Diskrepanz von 30-49% Nachteil durch den patch unter Linux, vs 7% bei Windows zustande?
Liegt das nur an der Testmethode oder der Optimierung?
Ist das den überhaupt schon gefixt worden unter Windows 10 pro? Kann mich nicht an solchen Patch erinnern. Und Patch Woche bei Microsoft ist doch erst am 09.01.2018 Somit stellt sich die Frage wie man das Linux Patch mit den Windows 7, 8.x und 10 Patch vergleichen will, wenn es noch gar nicht draußen ist. Oder habe ich das Patch verpasst?
 
Zuletzt bearbeitet:
Die Windows 10 Insider Preview (Build 17063) enthält den Patch bereits.
 
Nein, morgen am 4. Januar soll es die ersten offiziellen Informationen geben. Dann werden sich womöglich auch Intel und Microsoft dazu äußern.
 
Leute, denkt doch mal nach.

Das ist ein WorstCase-Szenario! Die Patches sind fertig und müssen nur noch verteilt werden. Bis jetzt ist aber fast nichts über den Fehler und seine konkrete Ausnutzung auf Programmierebene bekannt. Der Patch wird also zügig kommen - bei Windows vorstellbar, dass er noch vor einem offiziellen Patch-Day kommt.

Und Lord Wotan, bitte lies endlich den Artikel.
 
Komisch, wie manche hier das Problem herunterspielen wollen. Meinen Infos nach kann selbst ein JavaScript durch die Lücke vom Browser aus Passwörter aus Kernel-Speicherbereichen auslesen, wenn es das Betriebssystem nicht durch den Patch verhindert.

Angeblich hat Intel durch die Nicht-Prüfung des Zugriffs eine etwas bessere Performance, während AMD diese Prüfung wohl macht - wie auch immer die elektronisch aussieht. Dementsprechend ist der Performanceverlust auf AMD-CPUs wohl geringer.

Skandalös dagegen ist, dass man insgesamt die x86_64- Architektur per Software patcht, und damit auch funktionsfähige AMD-CPUs. Selbst wenn es noch mehr Leistung kostet, muss Intel dafür ganz alleine die Konsequenzen tragen - es kann nicht zulasten anderer Verbraucher gehen, die funktionsfähige Geräte haben.

Ich bin wirklich ziemlich angenervt, weil ich mich nun mit mehreren defekten Geräten herumschlagen muss. (Mein Hauptsystem ist dank Ryzen wenigstens nicht betroffen) Die Management Engine ist eigentlich Grund genug, die CPUs als mangelhaft anzusehen - eigentlich kann der Verkauf in Deutschland nur grundgesetzeswidrig sein.
Dass nun auch noch die Hardware weitere dermaßen heftige Sicherheitslücken zu Tage fördert, die nur durch Performanceeinbußen behoben werden können, setzt der Sache nun die Krone auf.

Nehmen wir mal an, man installiert ein Windows per CD oder USB-Stick, die noch nicht den Patch enthält: Bis Windows dieses Update installiert hat, kann schon längst jemand das ganze System mit Viren verseuchen... Da reicht schon ein Werbebanner während man Treiber herunterlädt.
Bei Linux lädt man sich zwar in der Regel das neueste Image, aber auch da kann so etwas passieren, wenn man alte Images bootet.
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh