Vous en avez probablement entendu parler. Un bug hardware affecte le design des CPU Intel, ceux sortis depuis une dizaine d'année, sur la séparation de la mémoire utilisateur et noyau. Elle entraine un problème potentiel de sécurité, un processus utilisateur pouvant potentiellement lire ou écrire la mémoire en espace noyau, permettant de lire par par exemple des mots de passe ou d'injecter du code.
Un patch, appelé KPTI, Kernel Page Table Isolation, a été accepté d'urgence par Linus Torvalds, et devrait sortir avec le noyau 4.15. Il a recommandé qu'il soit appliqué également à tous les autres noyaux sous maintenance. Il appliquerait une stricte isolation des espace mémoire utilisateur et noyau. mais la conséquence serait une dégradation des performances serveur (notamment bases de données de 5 à 30%).
Voir par exemple cet article de NextInpact (je crois qu'il est en lecture libre) :
https://www.nextinpact.com/news/105903-kpti-correctifs-pourraient-impacter-lourdement-performances-processeurs-intel.htmVoir aussi cet article wikipedia :
https://en.wikipedia.org/wiki/Kernel_page-table_isolationOu de El Register :
https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/Ce problème des CPU Intel (et pas à priori AMD, mais le patch s'appliquerait aux deux marques par défaut), ne concerne pas que Linux, mais tous les systèmes d'exploitation. Il ne peut pas être corrigé côté Intel par un nouveau firmware.
Des mises à jour similaires seraient en préparation côté Microsoft pour windows, appliquées au prochain patch Tuesday, probablement la semaine prochaine. Il affecterait aussi bien sûr les Mac (processeur Intel), mais là pas de patch annoncé encore. Il affecterait aussi les CPU ARM 64 bits.
Il affecterait aussi le noyau Xen, donc un patch de sécurité est sous embargo jusqu'à demain :
http://xenbits.xen.org/xsa/Des mises à jour des cloud publics de Microsoft (Azure), Amazon (AWS), OVH... sont prévues dans les prochains jours.
Verra-ton une baisse significative des performances des serveurs quand elle sera appliquée (pour le noyau linux, on peut la désactiver avec l'option kpti = off) ?