Retbleed Fix prive les machines virtuelles Linux jusqu’à 70 % de performances
Rate this post

Les machines virtuelles Linux sous VMware ESXi perdent jusqu’à 70 % de leur puissance de calcul en raison d’un correctif contre le retbleed dans le noyau Linux actuel.

Un correctif contre Retbleed, une vulnérabilité de la famille Spectre dans de nombreux processeurs modernes, fait perdre jusqu’à 70 % de leur puissance de calcul aux machines virtuelles Linux exécutant VMware ESXi. Bien que le correctif puisse être contourné via un paramètre de démarrage du noyau, cela permet toujours aux attaquants potentiels d’exécuter des attaques par canal latéral sur les systèmes affectés.

Jusqu’à 70 % de performances en moins par rapport à la version 5.19 du noyau Linux

Comme l’a rapporté Manikandan Jagatheesan, ingénieur des performances chez VMware, la mise à jour du noyau Linux vers la version 5.19 entraîne une baisse des performances allant jusqu’à 70 % dans les machines virtuelles Linux sur ESXi. L’équipe VMware en voit la cause dans un commit avec lequel un développeur a tenté de réduire le risque d’exploitation de la vulnérabilité spectre_v2, également connue sous le nom de retbleed.

Les pertes de performances vont de 70 % en puissance de calcul et 30 % en performances réseau à 13 % en performances de stockage des systèmes concernés. Cependant, le paramètre de démarrage du noyau « spectre_v2=off » peut être utilisé pour désactiver la nouvelle fonction et restaurer entièrement les performances des machines virtuelles. Cela confirme que le commit connexe 6ad0ad2bf8a6 (« x86/bugs : signaler la vulnérabilité de retbleed d’Intel ») est la seule cause de la dégradation des performances observée. Cependant, la désactivation de la fonctionnalité a également ses inconvénients. Par conséquent, les systèmes concernés sont toujours susceptibles d’exploiter Retbleed s’ils s’appuient sur certains modèles de CPU.

Retbleed permet des attaques par canal latéral grâce à une exécution spéculative du processeur

Spectre, la famille à laquelle appartient Rebleed
Rebleed fait partie de la famille Spectre
Source : Wikipédia

Retbleed appartient à la famille dite Spectre, une collection de vulnérabilités dans de nombreux processeurs. Avec une solution logicielle appelée Retpoline, la première génération de Spectre devrait être atténuée avec une perte de performances minimale. Retbleed, cependant, permet aux attaquants de contourner les retpolines, laissant à nouveau vulnérables de nombreuses générations de processeurs répandues.

La vulnérabilité découverte en juillet 2022 profite de l’exécution spéculative du processeur. Cela garantit une augmentation significative des performances des processeurs modernes, car les calculs peuvent être effectués avant que le système ne les demande. Cependant, l’exécution spéculative permet également des attaques par canal latéral. Il est donc possible avec Retbleed de lire le contenu de la mémoire qui devrait en fait être protégé. Cela inclut les hachages de mot de passe, que les attaquants peuvent utiliser pour obtenir des droits plus élevés dans le système.

Rebleed affecte un certain nombre de générations de processeurs modernes. Les processeurs AMD Zen 1, Zen 1+, Zen 2 et Intel Core Generation 6, 7 et 8 sont parfois affectés. AMD et Intel fournissent tous deux de plus amples informations sur les processeurs concernés sur leurs sites Web.

Retbleed Fix prive les machines virtuelles Linux jusqu’à 70 % de performances