Linux 之父恶评 Intel 漏洞修复补丁：完全就是垃圾！Intel：先别更新！

2018年1月2日，英特尔曝出的CPU设计漏洞事件：详解 Intel 漏洞怎么拿到内核数据的（附视频演示）
事件一经曝光，就迅速引起业内硬件同行、操作系统厂商、云供应商的迅速反应。如果不能从硬件层面修复该漏洞，那么将意味着只能在操作系统层面操作，要么就必须更换新的CPU芯片。
1月22日，多家权威科技媒体报道称，Spectre 漏洞阴影余波荡漾，Linux 操作系统安装修复程序后频频出包。Linux 之父 Linux Torvalds 周一在Linux群组论坛公开炮轰，英特尔提供给 Linux 的 Spectre 修复程序是完全无用的垃圾（complete and utter garbage）。
此前Torvalds就公开评论Intel不承认自己的CPU有问题，而“在公关稿里混淆视听，说他们的产品是按照设计正常工作”。此次，由于英特尔迟迟没有解决芯片设计漏洞的问题，Linux Kernel 4.15版本不得不推迟上线，让怒不可遏的Torvalds再次怒怼英特尔。
“IBRS就是完全的垃圾”



Torvalds在与亚马逊工程师David Woodhouse探讨Linux Kernel邮件列表中提到：我确实想今天发布Linux Kernel 4.15版，但事实显然让我觉得不太满意。因为他们告诉我，还有一些网络修复工作还未完成，Laura Abbott 发现并修复了一个非常微小的引导错误，并于昨日才开始进入开发周期，所以我无法告诉大家我们的4.15版本是否可行。



……这应该很容易解决。修复 Meltdown和IBRS的部分都没有做好，完全不能让人接受。
……有些人并没有在讲真话！为了不明不白的原因，有人正在将完全的垃圾发布出来！我很抱歉我需要直白地指出这一点……

……这货究竟在干什么？现在的方案实际上忽略了许多更糟的问题，也就是说整个硬件接口实际上是由低能人错误设计出来的……
……我们已经知道在现有的硬件 IBRS 的开销非常大，而且是完全的垃圾。有理智的人没人会这样来使用，因为成本太高了。我认为我们需要比这个垃圾更好的东西。
“英特尔的新增补丁都是多余的”
为了修补Spectre漏洞，英特尔提供的间接分支限制推测（indirect branch restricted speculation, IBRS）功能会造成系统性能大幅降低。Torvalds 认为，“IBRS_ALL功能显示，英特尔并没有认真看待此事…他们自己不想启用此功能，因为性能会十分难看，将责任推到别人身上。因此英特尔将垃圾推给我们。”他说。
Linux Torvalds 认为英特尔在修补 Spectre 上的做法相当糟，采用间接分支限制推测会造成系统性能大幅下滑，因此英特尔不打算启用这项功能，却将责任推诿至他人身上，等于试图将垃圾推给他人。
实际上，关于此次漏洞如何修复，Torvalds有着自己的看法：“首先需要解决Meltdown漏洞的问题，因为它是影响英特尔芯片的关键因素，而不是一刀切全面展开，这使得用户或管理员必须启动整套修复程序。”
同时，Torvalds还指出，在现有的解决方案中新增的补丁完全是多余的，或者说没用的，例如Google Project Zero团队使用的“retpoline”技术已经缓解了漏洞问题，为什么英特尔还要多加一层保护呢？
因此，Torvalds推测，英特尔的主要技术IBRS，即“间接分支限制预测”效率太低，根本无法普及，最终导致了性能降低。结果，它使得有关Meltdown漏洞的修复变得不那么必要，并让补丁变得越来越复杂。

漏洞修复补丁问题频发
Torvalds 应该不是唯一一个对 Spectre修复程序感到气愤的人。光是 Linux 阵营，本月初 Red Hat 曾经释放出包含英特尔包含 Spectre 漏洞修补机码的更新，却分别造成用户系统性能大幅震荡甚至无法开机，上周只好再释放出拿掉机码的更新，要用户自己找CPU及服务器厂商负责。Ubuntu也发生类似的事。
 
此外，Windows释放出的Spectre、Meltdown更新也让AMD Opteron、Athlon和AMD Turion X2 Ultra CPU的Windows电脑无法开机一度撤回，上周修正后再又重新发布。Linux/AMD组合则尚未听到问题。
Intel 发声：暂时别更新补丁
随后英特尔方面声明称：“我们非常重视行业合作伙伴的反馈意见。我们正在积极与包括Linus在内的Linux社区同行进行合作，因为我们正在寻求解决方案。”

很快，以 Intel 数据中心业务总裁 Navin Shenoy 名义发出新的公告，公告称：

目前经确认导致 Broadwell 和 Haswell 两个 CPU 平台频繁重启的原因，请包括 OEM 制造商、系统集成商、云服务供应商、个人用户暂停更新安全漏洞补丁，新的补丁正在测试当中，将会在本周末释放。 

Intel放出了关于两大安全漏洞的专题页面，当事情有了新进展，就会不定期在页面上更新内容，包括一些新的公告、漏洞研究分析、性能有影响测试等等 。
Intel还让大家别再更新旧版的安全补丁了，因为频繁重启足以影响到你日常使用，安心地等待本周到来的新补丁吧。
转载自公众号「开源中国」，内容整合自：iThome、CSDN、expreview
更多相关文章阅读
用 Python 开发一个企业级的监控平台
用 Python 代码自动抢火车票
携程运维自动化平台，上万服务器变更也可以很轻松
智能运维就是 由 AI 代替运维人员？
看腾讯运维应对“18岁照片全民怀旧”事件的方案，你一定不后悔！运行无间：阿里巴巴运维保障体系的一种最佳实践
芳华永在！一个老运维的20年奋斗史
饿了么异地双活数据库实战运维版《成都》，听哭了多少人...阿里万亿交易量级下的秒级监控
IT 运维的救赎——顺丰运维的理想践行
想近距离了解腾讯 SNG 团队的运维体系？
来第九届 GOPS 全球运维大会吧。
2018年4月13日-14日的深圳。
为期2天的大会，19个精彩专场，涵盖 AIOps、运维自动化和 DevOps 众多技术领域。



点击阅读原文，进入大会官网