多名 VMware 工程师测试发现,Linux Kernel 中用于修复 Retbleed 推测执行攻击的补丁,导致虚拟机计算性能下降高达 70%,网络性能下降 30%,存储性能下降高达 13%。
在标题为“Performance Regression in Linux Kernel 5.19”(Linux 5.19 性能衰退)的 Linux Kernel 邮件列表中,VMware 性能工程人员马尼坎丹·贾加提桑(Manikandan Jagatheesan)表示在其公司内部测试中,发现在 ESXi 管理程序上使用 Linux Kernel 5.19 的 Linux 虚拟主机时候,在单核 vCPU 情况下性能最多可下降 70%,网络性能下降 30%,存储性能下降高达 13%。
贾加提桑表示在 Linux Kernel 5.19 中关闭 Retbleed 修复之后,ESXi 性能恢复到了 5.18 以下版本的水平。因为推测执行的存在是为了加快处理速度,所以禁用它会影响性能也就不足为奇了。然而,计算性能下降 70% 将对应用程序性能产生重大影响,这可能导致某些业务流程出现不可接受的延迟。
VMware 的测试在英特尔 Skylake CPU 上运行,这款 2015 年至 2017 年间发布的芯片仍将出现在许多服务器机群中。随后的 CPU 解决了允许 Retbleed 和其他类似 Spectre 攻击的潜在问题。
但许多 VMware 用户可能会在生产环境中使用 Skylake CPU,或者(可能在不知不觉中)在云中使用它们。假设这些用户采用了 5.19 版内核——这可能不太可能——但他们可以做出选择。那么面对性能和安全,这些用户会如何选择呢?
贾加提桑在帖子的结尾写道:“我们相信这些发现将对 Linux 社区有用,并希望记录下来”。这可能是呼吁社区重新审视 Retbleed 修复并降低它的副作用。