アカウント名:
パスワード:
「PCが30%遅くなる!」という分かりやすい煽り文句が先行してWebメディアが騒ぎ立てていることもあって実際のところどの程度ヤバい問題なのかが分からん。
30%とか35%とかいう数字がある一方で、実際は数%という話もあるし、AMD製CPUに影響があるのか無いのかどうにもハッキリしないし、誰でも簡単にパスワードを盗み見できるという話もあれば、実際に攻撃に転用するのはかなり難しいという話もある。OSのパッチで対処できるのか、できないのかも分からん。
できれば情報が出揃うまで静観したいと思うけど、たぶん明日あたりまとめ系サイトでも見た上司が、早くなんとかしろ!と騒ぎ出しそうな予感・・・・
慌ててるのは自動でOSパッチが当たって性能が落ちるかもしれないという恐怖感を持ったPCゲーマーだ
PCIExpressのスループットなんて、半分になっても気が付く人はいないと思いますが。気が付くのは、GPUメモリに収まらないような巨大MODを入れたゲームで遊ぶか、GPGPU用途でぶん回す場合ぐらいじゃない?
別コメでリンクが用意されているphoronixの記事だとゲームは確かに影響度少なそうですね。と言ってもゲームの実装には依存するでしょうけれど。
30%以上のインパクトがあるのは、IOを大量に発行するデータベース、 Webサーバーだと思う。クライアントは言うても大したことない。
Webサーバーは増やせばいいけど、データーベースの性能が30%落ちるとなると、サーバー構成を根本的に見直さざるを得ないかもしれん。
Windowsも緊急リリースでパッチが出とる。
Intelどうするんやろ。賠償に備えて手元資金を厚くするとなると、10nmプロセスは永遠に立ち上がらんかもしれん。
利益率は依然として高いので楽勝でしょう。10nmが立ち上がらないのはインテルの問題というより人類の技術力の問題。
余所様のプログラムが物理的に同居しなければ良いだけじゃないかな。サーバについては、パブリッククラウドを止めてプライベートクラウドに移せば問題は無いはず。それと30%の性能低下を容認するのとどっちが大変なのか分からないけど。
クライアントに関しては、怪しいプログラムもなんぼかは動かすことになるから、対応せざるを得ないけど。
インジェクションされてストアドプロシージャー作られるとあかんのでは?
ストアドなんか作られてる時点で終了しとるやろ、ってツッコミはなし?
その通りやけど、この場合テーブルアクセス権限はいらない。開発担当者のテーブルアクセス権限を消したけど、プロシージャー修正実行権限が残っていて、パスワードがタコだったというレアケースにおいて、カーネルメモリを見て権限昇格出来る可能性がありそうだ。
まあ、無いか
えっ、地震?
> 30%以上のインパクトがあるのは、IOを大量に発行するデータベース、 Webサーバーだと思う。
その用途でも30%は落ちないと思うけどね、いいとこ10%程度だろう最悪状況をひたすら続けるテストコードと同じことが現実のアプリで起きるなんてことはあり得ないから
> クライアントは言うても大したことない。
体感できる性能低下はないだろうね
パッチの詳細見たけど、なんか関係なさそうな気が。
DBサーバーが外部から簡単にアクセスできるようになってるところはまずないだろうしもちろん勝手にソフトをインストールするとこともないかと
サーバが30%遅くなる対処方しかないとしてもその対処方を取る他ないといえばどれくらいやばいかわかるだろ?少なくともハートブリードよりはまずい。
あそこまで簡単に情報を取れるの?SSL heartbleedはPoC時点でヤバいのがわかったけど今回のが本当にそこまで簡単に悪用できるのかは(まだ)疑問なのでは?
https://www.youtube.com/watch?v=RbHbFkh6eeE [youtube.com]
3行でまとめて
リンク先は対策に当たっている発見者グループの動画です。回避不能だからってメンヘラ発動しないでくださいな。
嘘情報をたれ流すのはやめてください。
> 動画リンク先はあえて一切見ないで書いておくが、エクスプロイトを突く動画なんて> 自動化して1か月ずっとやり続けて1000万回やってる中で1回成功したところを状況再現して撮影する、> みたいな内容であって> 現実の複数主体の中での攻撃としては成立しえないんだけどね
> それを極大化して報道しまくってる勢力がなんかいる> ここは日本以外も含めた警察によって取り締まりが行われるだろう
> サーバが30%遅くなる対処方しかないとしてもその対処方を取る他ないといえばどれくらいやばいかわかるだろ?> 少なくともハートブリードよりはまずい。
そもそもその前提自体が誇張されまくった怪情報そのものなので、まったく意味ないよ
はい、おつかれ
ハートブリードは不正なデータ送りつけるだけで、リモートから攻撃成功してたから攻撃の容易さでいったら最上位だよね。こっちはまず攻撃対象と同じハードウェア上で任意のコードを実行させないといけない。仮想マシン単位でサーバーを貸し出すクラウドサービスとかでは致命的な問題だけどね。
ハートブリードはバッファの近くの特定メモリ領域しか取得できないから、おいしいデータがとれるかどうかは運しだい。ただしリモートから攻撃できるから大事に。
今回は、同一マシン上で動いていなければいけないけれど、2Kbyte/sec の速度で、主記憶の全メモリを見ることが可能。
昔のモデムの速度ぐらいだなーと思って電卓叩いてみたら、サーバに乗ってそうな128GBメモリで全部読むのに2年ぐらいかかる計算になる。いや、全部読む必要ないのは分かってるけどね。
最近のこの手の奴は効率はあんまりハードルにならんのだよね。山ほどのターゲットの中から偶にマグレで拾えれば良いだけだし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
重要度がどの程度なのやら (スコア:0)
「PCが30%遅くなる!」という分かりやすい煽り文句が先行してWebメディアが騒ぎ立てていることもあって
実際のところどの程度ヤバい問題なのかが分からん。
30%とか35%とかいう数字がある一方で、実際は数%という話もあるし、
AMD製CPUに影響があるのか無いのかどうにもハッキリしないし、
誰でも簡単にパスワードを盗み見できるという話もあれば、実際に攻撃に転用するのはかなり難しいという話もある。
OSのパッチで対処できるのか、できないのかも分からん。
できれば情報が出揃うまで静観したいと思うけど、
たぶん明日あたりまとめ系サイトでも見た上司が、早くなんとかしろ!と騒ぎ出しそうな予感・・・・
Re:重要度がどの程度なのやら (スコア:2)
Re: (スコア:0)
慌ててるのは自動でOSパッチが当たって性能が落ちるかもしれないという恐怖感を持ったPCゲーマーだ
Re:重要度がどの程度なのやら (スコア:2)
PCI Expのスループットが落ちなきゃほとんど影響がないのでは。
まあ,会社の場合,買い換え稟議を通すチャンスよね,本来。
Re: (スコア:0)
PCIExpressのスループットなんて、半分になっても気が付く人はいないと思いますが。
気が付くのは、GPUメモリに収まらないような巨大MODを入れたゲームで遊ぶか、GPGPU用途でぶん回す場合ぐらいじゃない?
Re: (スコア:0)
別コメでリンクが用意されているphoronixの記事だとゲームは確かに影響度少なそうですね。
と言ってもゲームの実装には依存するでしょうけれど。
Re:重要度がどの程度なのやら (スコア:1)
30%以上のインパクトがあるのは、IOを大量に発行するデータベース、 Webサーバーだと思う。
クライアントは言うても大したことない。
Webサーバーは増やせばいいけど、
データーベースの性能が30%落ちるとなると、サーバー構成を根本的に見直さざるを得ないかもしれん。
Windowsも緊急リリースでパッチが出とる。
Intelどうするんやろ。賠償に備えて手元資金を厚くするとなると、10nmプロセスは永遠に立ち上がらんかもしれん。
Re: (スコア:0)
利益率は依然として高いので楽勝でしょう。
10nmが立ち上がらないのはインテルの問題というより人類の技術力の問題。
Re: (スコア:0)
余所様のプログラムが物理的に同居しなければ良いだけじゃないかな。サーバについては、パブリッククラウドを止めてプライベートクラウドに移せば問題は無いはず。それと30%の性能低下を容認するのとどっちが大変なのか分からないけど。
クライアントに関しては、怪しいプログラムもなんぼかは動かすことになるから、対応せざるを得ないけど。
Re: (スコア:0)
インジェクションされてストアドプロシージャー作られるとあかんのでは?
Re: (スコア:0)
ストアドなんか作られてる時点で終了しとるやろ、ってツッコミはなし?
Re: (スコア:0)
その通りやけど、この場合テーブルアクセス権限はいらない。
開発担当者のテーブルアクセス権限を消したけど、プロシージャー修正実行権限が残っていて、パスワードがタコだったというレアケースにおいて、カーネルメモリを見て権限昇格出来る可能性がありそうだ。
まあ、無いか
えっ、地震?
Re: (スコア:0)
> 30%以上のインパクトがあるのは、IOを大量に発行するデータベース、 Webサーバーだと思う。
その用途でも30%は落ちないと思うけどね、いいとこ10%程度だろう
最悪状況をひたすら続けるテストコードと同じことが現実のアプリで起きるなんてことはあり得ないから
> クライアントは言うても大したことない。
体感できる性能低下はないだろうね
Re: (スコア:0)
パッチの詳細見たけど、なんか関係なさそうな気が。
Re: (スコア:0)
DBサーバーが外部から簡単にアクセスできるようになってるところはまずないだろうし
もちろん勝手にソフトをインストールするとこともないかと
Re: (スコア:0)
サーバが30%遅くなる対処方しかないとしてもその対処方を取る他ないといえばどれくらいやばいかわかるだろ?
少なくともハートブリードよりはまずい。
Re: (スコア:0)
あそこまで簡単に情報を取れるの?
SSL heartbleedはPoC時点でヤバいのがわかったけど
今回のが本当にそこまで簡単に悪用できるのかは(まだ)疑問なのでは?
Re: (スコア:0)
https://www.youtube.com/watch?v=RbHbFkh6eeE [youtube.com]
Re: (スコア:0)
3行でまとめて
Re: (スコア:0)
リンク先は対策に当たっている発見者グループの動画です。回避不能だからってメンヘラ発動しないでくださいな。
Re: (スコア:0)
嘘情報をたれ流すのはやめてください。
> 動画リンク先はあえて一切見ないで書いておくが、エクスプロイトを突く動画なんて
> 自動化して1か月ずっとやり続けて1000万回やってる中で1回成功したところを状況再現して撮影する、
> みたいな内容であって
> 現実の複数主体の中での攻撃としては成立しえないんだけどね
> それを極大化して報道しまくってる勢力がなんかいる
> ここは日本以外も含めた警察によって取り締まりが行われるだろう
Re: (スコア:0)
> サーバが30%遅くなる対処方しかないとしてもその対処方を取る他ないといえばどれくらいやばいかわかるだろ?
> 少なくともハートブリードよりはまずい。
そもそもその前提自体が誇張されまくった怪情報そのものなので、まったく意味ないよ
Re: (スコア:0)
はい、おつかれ
Re: (スコア:0)
ハートブリードは不正なデータ送りつけるだけで、リモートから攻撃成功してたから攻撃の容易さでいったら最上位だよね。
こっちはまず攻撃対象と同じハードウェア上で任意のコードを実行させないといけない。
仮想マシン単位でサーバーを貸し出すクラウドサービスとかでは致命的な問題だけどね。
そのかわり、すべてのメモリを取得可能なんだ (スコア:1)
ハートブリードはバッファの近くの特定メモリ領域しか取得できないから、おいしいデータがとれるかどうかは運しだい。
ただしリモートから攻撃できるから大事に。
今回は、同一マシン上で動いていなければいけないけれど、
2Kbyte/sec の速度で、主記憶の全メモリを見ることが可能。
Re: (スコア:0)
昔のモデムの速度ぐらいだなーと思って電卓叩いてみたら、サーバに乗ってそうな128GBメモリで全部読むのに2年ぐらいかかる計算になる。
いや、全部読む必要ないのは分かってるけどね。
Re: (スコア:0)
最近のこの手の奴は効率はあんまりハードルにならんのだよね。
山ほどのターゲットの中から偶にマグレで拾えれば良いだけだし。