Bis zu 70 Prozent langsamer: Kernel-Fix gegen Retbleed macht Linux-VMs lahm

Der Patch, der im Linux-Kernel 5.19 die Spectre-Variante Retbleed schließt, bringt große Leistungseinbußen bei VMs von VMware: Das zeigen Tests des Anbieters.

In Pocket speichern vorlesen Druckansicht 66 Kommentare lesen
Linux Kernel 5.1

(Bild: Charles Bergman / shutterstock.com)

Lesezeit: 2 Min.

Der Patch, der in Linux Kernel 5.19 die neue Version der Spectre-Sicherheitslücke Retbleed schließen soll, soll auf virtuellen Maschinen unter bestimmten Voraussetzungen offenbar viel Leistung kosten. Das schließt der VM-Anbieter VMware aus Tests.

In einem Post in der Linux Kernel Mailing List beschreibt VMware-Mitarbeiter Manikandan Jagatheesan das Testvorgehen. So prüfe VMware die Auswirkungen der Linux-Kernel-Releases auf die Performanz der eigenen virtuellen Maschinen regelmäßig. Beim Vergleich zwischen Kernel 5.19 und dem Vorgänger 5.18 habe man dabei Einbußen bei der Rechenleistung von 70 Prozent, bei der Netzwerkgeschwindigkeit von 30 Prozent und bei der Speicherleistung von 13 Prozent beobachten können.

Beim Test kam eine virtuelle Linux-Maschine mit Ubuntu 20.04.3 auf dem VMware-Hypervisor ESXi und Intel Skylake CPU zum Einsatz. Die Vermutung, der Retbleed-Patch könnte für die Einbußen verantwortlich sein, habe man dann in der Praxis bestätigen können, so Jagatheesan in seiner Nachricht an die Mailingliste weiter. So habe man den commit 6ad0ad2bf8a6, der den Patch für die "spectre_v2 vulnerability" enthält, über den Kernel-Boot-Parameter spectre_v2=off in Kernel-Version 5.19 deaktiviert. Bei den anschließenden Tests hätte die virtuelle Maschine dann auch mit der neuen Version des Linux-Kernels die gleiche Leistung erzielt, wie mit Version 5.18.

Weil der Patch die spekulative Ausführung im Prozessor unterbindet, die Spectre und Retbleed erst ermöglichen, sind Leistungseinbußen zu erwarten. Dennoch erscheinen die von VMware angegebenen Werte sehr hoch. Retbleed ist eine neue Schwachstelle aus der Familie der Spectre-Lücken. Die Sicherheitslücke haben Schweizer Forscher im Juli 2022 veröffentlicht. Spectre selbst ist bereits seit 2018 bekannt. Der Linux Kernel 5.19 erschien Ende Juli mit einer Woche Verspätung – unter anderem wegen des Patches gegen Retbleed, der im vorherirgen Release-Kandidaten zu einem Leistungseinbruch führte.

(jvo)