Hallo zusammen,
Wie seht ihr das eigentlich? Hyperthreading wird ja kritisch gesehen. Allerdings - angeblich - nur für ältere Intel Prozessorgenerationen? Ganz logisch ist mir das allerdings nicht, da die Kernproblematik ja die gleiche bleibt und eigentlich einfach noch kein Exploit besteht. Oder sehe ich das falsch?
Siehe auch: https://kb.vmware.com/s/article/55806
Ich habe nach langem hin und her nun auf aktuelle AMD-EPYC Systeme gewechselt bzw. bin daran zu wechseln (Systeme schon hier) und frage mich nun was ich tun soll. Grundsätzlich HT auf Systemebene im BIOS deaktivieren oder eben nicht.
Was ist da nun Sache bzw. empfohlen?
Gruss und Danke
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
[Security] Hyperthreading
-
irix
- King of the Hill
- Beiträge: 12902
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: [Security] Hyperthreading
Moin,
bitte nicht Hyperthreading generell verteufeln... Im Falle von L1FT war/ist es nun mal moeglich auf Ergebnisse von Sprungvorhersagen von "anderen" Prozessen zuzugreifen da Intel es vergessen hatte diese Ergebnisse zu schuetzen und man auch nicht dachte das diese dort lange vorhanden sind. Ja das L1FT haette man ohne HT bzw. so wie designed nicht gehabt.
Da der VMware KB nur CPU bis Skylake listet hab ich mal in https://software.intel.com/content/dam/ ... aug20.xlsx rein geschaut und in der Tat ist CascadeLake nicht gelistet als anfaellig gegen L1TF.
Fuer unsere Hosting Umgebung haben wir es deaktiviert ueber vSphere. Fuer intern bzw. reine Kunden Onpremise Installation muss man halt reden und gucken wer die Kontrolle ueber die VMs hat bzw. der da drin arbeitet, schauen das keine RDS Hosts laufen und ob dann SCAv2 reicht als Schutz.
Ich habe Kunden welche ihre logischen CPUs halbiert haben und dadurch in spuerbare Performance Probleme gelaufen sind da die Auslastung schon entsprechend war und da war die Reserve nicht hoch genug.
Gruss
Joerg
bitte nicht Hyperthreading generell verteufeln... Im Falle von L1FT war/ist es nun mal moeglich auf Ergebnisse von Sprungvorhersagen von "anderen" Prozessen zuzugreifen da Intel es vergessen hatte diese Ergebnisse zu schuetzen und man auch nicht dachte das diese dort lange vorhanden sind. Ja das L1FT haette man ohne HT bzw. so wie designed nicht gehabt.
Da der VMware KB nur CPU bis Skylake listet hab ich mal in https://software.intel.com/content/dam/ ... aug20.xlsx rein geschaut und in der Tat ist CascadeLake nicht gelistet als anfaellig gegen L1TF.
Fuer unsere Hosting Umgebung haben wir es deaktiviert ueber vSphere. Fuer intern bzw. reine Kunden Onpremise Installation muss man halt reden und gucken wer die Kontrolle ueber die VMs hat bzw. der da drin arbeitet, schauen das keine RDS Hosts laufen und ob dann SCAv2 reicht als Schutz.
Ich habe Kunden welche ihre logischen CPUs halbiert haben und dadurch in spuerbare Performance Probleme gelaufen sind da die Auslastung schon entsprechend war und da war die Reserve nicht hoch genug.
Gruss
Joerg
Re: [Security] Hyperthreading
Vielen Dank für die Antwort. Also heisst das, neuere System sind wirklich nicht anfällig dafür?
-
irix
- King of the Hill
- Beiträge: 12902
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: [Security] Hyperthreading
"...A blank cell indicates the product is not affected or no action is required for mitigation"...
so lese ich das.
Was AMD angeht.... ich meine gelesen zu haben vor < 2 Wochen das die sich was aehnliches eingefangen haben. Aber solange es einfache Dinge wie PrinterNightmare und MS Exchange gibt ....
Gruss
Joerg
so lese ich das.
Was AMD angeht.... ich meine gelesen zu haben vor < 2 Wochen das die sich was aehnliches eingefangen haben. Aber solange es einfache Dinge wie PrinterNightmare und MS Exchange gibt ....
Gruss
Joerg
Re: [Security] Hyperthreading
OK... Dann lasse ichs mal so =)
Yep, mit Printer + Exchange ist man eigentlich bereits gut bedient =)
Yep, mit Printer + Exchange ist man eigentlich bereits gut bedient =)
Wer ist online?
Mitglieder in diesem Forum: Google [Bot] und 1 Gast