VMware avvisa: le mitigazioni a Retbleed abbattono le prestazioni fino al 70% su CPU Intel
di Riccardo Robecchi pubblicata il 12 Settembre 2022, alle 17:51 nel canale SecuritySecondo dei test condotti da VMware, e comunicati sulla mailing list degli sviluppatori del kernel Linux, le correzioni alla vulnerabilità Retbleed hanno un impatto significativo sulle prestazioni, che in alcuni casi limite arriva al 70%
Il kernel Linux fornisce una mitigazione per Retbleed, vulnerabilità di sicurezza che affligge i processori Intel Skylake, Kaby Lake e Coffee Lake, oltre che AMD Zen, Zen+ e Zen 2, ma tale mitigazione sembra portare a un impatto sulle prestazioni significativo, in particolare in ambienti virtualizzati. È VMware ad annunciare che i test interni che ha condotto sulle CPU Intel hanno svelato un drastico calo prestazionale, che arriva fino al 70% in alcuni casi specifici.
La mitigazione di Retbleed porta a un calo delle prestazioni su CPU Intel
Il kernel Linux 5.19 è il primo a offrire la possibilità di ridurre l'impatto di Retbleed, ma i test condotti da VMware sulle CPU Intel svelano come tali mitigazioni portino a un calo significativo nelle prestazioni in tutti gli ambiti. Stando a quanto scritto sulla mailing list per gli sviluppatori del kernel, i compiti di calcolo puro vedrebbero un peggioramento fino al 70%, quelli di networking fino al 30%, quelli di archiviazione fino al 13%.
C'è da dire che il caso peggiore nei compiti di calcolo puro è relativo alla creazione dei thread, con il tempo necessario che passa da 16 a 27 millisecondi; si tratta di un aumento significativo e di un dato importante, in particolare in ambito server, ma non è indicativo di un calo di tale portata anche in tutti gli altri ambiti.
Le piattaforme coinvolte, per quanto relativamente datate, sono ancora sufficientemente recenti da essere molto diffuse; il fatto che i dati siano particolarmente negativi nel caso si usi Linux all'interno di macchine virtuali eseguite con ESXi rende la situazione grave, in particolare se si guarda al mondo cloud dove l'impiego delle mitigazioni non è un'opzione. Intel è al corrente del problema e sta cercando di trovare soluzioni alternative a quelle implementate al momento, ma ci vorrà del tempo.
Non è chiaro se le mitigazioni abbiano lo stesso effetto deleterio anche quando usate in macchine virtuali con hypervisor diversi da ESXi. Stando ad altri test non condotti da VMware, i processori AMD, invece, sembrano soffrire meno di tali mitigazioni, per quanto l'impatto sia comunque notevole in senso generale.
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infooltretutto non si possono disattivare sul player
oltretutto le mitigazioni non si possono disattivare sul player (non è fattibile dall'interfaccia fornita sul palyer, l'opzione non è in elenco).naturalmente il player non lascia il tempo che trova, però è usato da studenti e altri casi non professionali, dove magari la possibilità di fare prove senza le mitigazioni attive ha il suo perchè.
non ho misurato il calo di prestazioni ma confermo che su SkyLake si sente, su Haswell (decisamente obsoleto ma qualcuno li usa) si va proprio sull'ingestibile.
naturalmente il player non lascia il tempo che trova, però è usato da studenti e altri casi non professionali, dove magari la possibilità di fare prove senza le mitigazioni attive ha il suo perchè.
non ho misurato il calo di prestazioni ma confermo che su SkyLake si sente, su Haswell (decisamente obsoleto ma qualcuno li usa) si va proprio sull'ingestibile.
È chiaro che non si possano disattivare da VMware Player: non è un hypervisor di tipo 1 e non ha accesso diretto all'hardware. Se usi Player devi disattivare le mitigazioni dal sistema operativo ospitante, oltre che nel sistema operativo ospite. Disattivare le mitigazioni su Linux richiede il passaggio di alcuni parametri durante il boot (basta configurare opportunamente il bootloader, che tipicamente è GRUB). Nessuna sorpresa dunque, è normale e giusto che le cose funzionino così.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".