Gather Data Sampling vulnerability (GDS) - CVE-2022-40982
Environment
- Red Hat Enterprise Linux
- 所选的 Intel CPU
Issue
收集数据采样(GDS) (也称为 "Downfall")是一个临时执行端通道漏洞,影响某些 Intel CPU。 它可能允许攻击者使用数据采样攻击,类似于 Microarchitectural Data Sampling (MDS),从之前使用的 AVX2 或 AVX-512 向量寄存器中检索过时的数据。 在最糟糕的情况下,此类攻击可用来提取加密密钥。
Resolution
可通过安装更新的 CPU 微码来缓解此漏洞 - 此微码更新将由红帽在以后的 microcode_ctl 软件包版本中提供。通过监控 CVE 页面 https://access.redhat.com/security/cve/CVE-2022-40982 检查修复的可用性。
安装微码后,默认在受影响的 CPU 上启用缓解,无论安装的内核版本如何。
除了更新微码外,还建议更新内核,这添加了漏洞和缓解状态报告。 它还添加了禁用缓解的功能。
Root Cause
gather 是 Intel Advanced Vector Extensions 2 (Intel AVX2)和 Intel Advanced Vector Extensions 512 (Intel AVX-512)提供的功能,它是单指令、多数据(SIMD)指令的集合,使用向量索引内存从内存读取非连续数据。
当收集指令从内存执行负载时,在某些情况下,之前使用向量寄存器中的过时数据可能会因为 CPU 硬件优化而临时转发到相关指令。此问题允许恶意攻击者从之前使用的向量寄存器中推断出过时的数据。
过时数据暴露的范围仅限于相同的物理处理器核。 具有本地代码执行权限的攻击者可以根据抽样(类似于 Microarchitectural Data Sampling)观察过时的数据,但不能直接控制或指定过时数据的源。
使用 AVX 或隐式使用内部向量寄存器指令(例如 REP MOVS 指令)处理的数据可能会受到后续 GDS 攻击的影响。
性能影响
微码缓解的性能影响仅限于使用 Intel 高级向量扩展(AVX2 和 AVX-512)和 CLWB 指令提供的收集指令的应用程序。 实际性能影响将取决于应用程序使用这些指令的程度。 红帽对最坏情况下微基准的内部性能测试显示性能显著下降。 但是,使用向量收集的更现实的应用程序只显示较低的个位数百分下降。
如果用户在进行了全面的风险分析后决定禁用缓解(例如,系统不是多租户,且不会执行不受信任的代码),则用户可以禁用缓解。 应用微码和内核更新后,用户可以通过在内核命令行中添加 gather_data_sampling=off 来禁用缓解。
另外,要禁用所有 CPU 推测行缓解方案,包括 GDS,请使用 mitigations=off。
请注意,CLWB 性能丢失在 Skylake 架构上是永久的,即使禁用缓解措施也不会恢复最初的性能。
有关此问题的更多信息,请参阅以下 Intel 材料:
- 收集数据采样技术论文
- Intel 安全咨询 INTEL-SA-00828
Diagnostic Steps
应用微码和内核更新后,可以通过运行以下命令来检查缓解状态:
# dmesg | grep "GDS: "
[ 0.162571] GDS: Mitigation: Microcode
# cat /sys/devices/system/cpu/vulnerabilities/gather_data_sampling
Mitigation: Microcode
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments