パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響」記事へのコメント

  • by Anonymous Coward on 2018年01月04日 21時03分 (#3339862)

    「PCが30%遅くなる!」という分かりやすい煽り文句が先行してWebメディアが騒ぎ立てていることもあって
    実際のところどの程度ヤバい問題なのかが分からん。

    30%とか35%とかいう数字がある一方で、実際は数%という話もあるし、
    AMD製CPUに影響があるのか無いのかどうにもハッキリしないし、
    誰でも簡単にパスワードを盗み見できるという話もあれば、実際に攻撃に転用するのはかなり難しいという話もある。
    OSのパッチで対処できるのか、できないのかも分からん。

    できれば情報が出揃うまで静観したいと思うけど、
    たぶん明日あたりまとめ系サイトでも見た上司が、早くなんとかしろ!と騒ぎ出しそうな予感・・・・

    • クラウドサーバは即対応すべき案件だが,クライアントはそこまで慌てるような話じゃない。
      親コメント
      • by Anonymous Coward

        慌ててるのは自動でOSパッチが当たって性能が落ちるかもしれないという恐怖感を持ったPCゲーマーだ

        • つーても,グラボ命なゲームは,
          PCI Expのスループットが落ちなきゃほとんど影響がないのでは。

          まあ,会社の場合,買い換え稟議を通すチャンスよね,本来。
          親コメント
          • by Anonymous Coward

            PCIExpressのスループットなんて、半分になっても気が付く人はいないと思いますが。
            気が付くのは、GPUメモリに収まらないような巨大MODを入れたゲームで遊ぶか、GPGPU用途でぶん回す場合ぐらいじゃない?

          • by Anonymous Coward

            別コメでリンクが用意されているphoronixの記事だとゲームは確かに影響度少なそうですね。
            と言ってもゲームの実装には依存するでしょうけれど。

    • by Anonymous Coward on 2018年01月04日 22時48分 (#3339921)

      30%以上のインパクトがあるのは、IOを大量に発行するデータベース、 Webサーバーだと思う。
      クライアントは言うても大したことない。

      Webサーバーは増やせばいいけど、
      データーベースの性能が30%落ちるとなると、サーバー構成を根本的に見直さざるを得ないかもしれん。

      Windowsも緊急リリースでパッチが出とる。

      Intelどうするんやろ。賠償に備えて手元資金を厚くするとなると、10nmプロセスは永遠に立ち上がらんかもしれん。

      親コメント
      • by Anonymous Coward

        利益率は依然として高いので楽勝でしょう。
        10nmが立ち上がらないのはインテルの問題というより人類の技術力の問題。

      • by Anonymous Coward

        余所様のプログラムが物理的に同居しなければ良いだけじゃないかな。サーバについては、パブリッククラウドを止めてプライベートクラウドに移せば問題は無いはず。それと30%の性能低下を容認するのとどっちが大変なのか分からないけど。

        クライアントに関しては、怪しいプログラムもなんぼかは動かすことになるから、対応せざるを得ないけど。

        • by Anonymous Coward

          インジェクションされてストアドプロシージャー作られるとあかんのでは?

          • by Anonymous Coward

            ストアドなんか作られてる時点で終了しとるやろ、ってツッコミはなし?

            • by Anonymous Coward

              その通りやけど、この場合テーブルアクセス権限はいらない。
              開発担当者のテーブルアクセス権限を消したけど、プロシージャー修正実行権限が残っていて、パスワードがタコだったというレアケースにおいて、カーネルメモリを見て権限昇格出来る可能性がありそうだ。

              まあ、無いか

              えっ、地震?

      • by Anonymous Coward

        > 30%以上のインパクトがあるのは、IOを大量に発行するデータベース、 Webサーバーだと思う。

        その用途でも30%は落ちないと思うけどね、いいとこ10%程度だろう
        最悪状況をひたすら続けるテストコードと同じことが現実のアプリで起きるなんてことはあり得ないから

        > クライアントは言うても大したことない。

        体感できる性能低下はないだろうね

      • by Anonymous Coward

        パッチの詳細見たけど、なんか関係なさそうな気が。

      • by Anonymous Coward

        DBサーバーが外部から簡単にアクセスできるようになってるところはまずないだろうし
        もちろん勝手にソフトをインストールするとこともないかと

    • by Anonymous Coward

      サーバが30%遅くなる対処方しかないとしてもその対処方を取る他ないといえばどれくらいやばいかわかるだろ?
      少なくともハートブリードよりはまずい。

      • by Anonymous Coward

        あそこまで簡単に情報を取れるの?
        SSL heartbleedはPoC時点でヤバいのがわかったけど
        今回のが本当にそこまで簡単に悪用できるのかは(まだ)疑問なのでは?

        • by Anonymous Coward
      • by Anonymous Coward

        > サーバが30%遅くなる対処方しかないとしてもその対処方を取る他ないといえばどれくらいやばいかわかるだろ?
        > 少なくともハートブリードよりはまずい。

        そもそもその前提自体が誇張されまくった怪情報そのものなので、まったく意味ないよ

      • by Anonymous Coward

        ハートブリードは不正なデータ送りつけるだけで、リモートから攻撃成功してたから攻撃の容易さでいったら最上位だよね。
        こっちはまず攻撃対象と同じハードウェア上で任意のコードを実行させないといけない。
        仮想マシン単位でサーバーを貸し出すクラウドサービスとかでは致命的な問題だけどね。

        • by Anonymous Coward on 2018年01月05日 18時01分 (#3340257)

          ハートブリードはバッファの近くの特定メモリ領域しか取得できないから、おいしいデータがとれるかどうかは運しだい。
          ただしリモートから攻撃できるから大事に。

          今回は、同一マシン上で動いていなければいけないけれど、
          2Kbyte/sec の速度で、主記憶の全メモリを見ることが可能。

          親コメント
          • by Anonymous Coward

            昔のモデムの速度ぐらいだなーと思って電卓叩いてみたら、サーバに乗ってそうな128GBメモリで全部読むのに2年ぐらいかかる計算になる。
            いや、全部読む必要ないのは分かってるけどね。

            • by Anonymous Coward

              最近のこの手の奴は効率はあんまりハードルにならんのだよね。
              山ほどのターゲットの中から偶にマグレで拾えれば良いだけだし。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...