AMDのCPUにおけるRDRAND命令に不具合、Systemdが影響を受ける

AMDのCPUにおけるRDRAND命令に不具合、Systemdが影響を受ける 110

ストーリー by hylom 2019年07月17日 16時30分
そこを吸収するのがOSの仕事では部門より

Linux向けのサービス・システム管理ソフトウェアSystemdは、いくつかのAMD製プロセッサを搭載するマシン上で適切に動作しないという。その結果、いくつかのLinuxディストリビューションでブートに失敗するなどの不具合が報告されている（Ubuntu systemd packageでのバグ報告、Phoronix、本の虫）。

2018年12月にリリースされたSystemd 240では、x86-64アーキテクチャにおいてカーネルが提供する乱数源である/dev/urandomではなくRDRAND命令を使って乱数を生成するよう変更が行われた。この変更については、システムの起動直後には/dev/urandom経由では十分なランダム性が得られないためと説明されている。

しかし、特定のAMD CPUではRDRAND命令に不具合があり、その影響でRDRAND命令を使用するよう変更されたSystemd v240以降で問題が発生することが2月に確認された。2月の時点で問題となったのはAMDのExcavatorアーキテクチャおよびそれ以前のアーキテクチャを採用するCPUで、これらのCPUではサスペンド/レジューム後にRDRAND命令がランダム値ではなく必ず「-1」（0xFFFFFFFFFFFFFFFF ）を返すようになっていたという（systemdのissuesに投稿されたコメント、TechPowerUp）。これによってsystemdが特定の状況下で乱数を得られず、問題が発生していたという。

この問題はカーネルもしくはドライバの問題だとして当初は対応されなかったのだが、その後5月になって修正コードがマージされている。ただ、現時点でリリースされている最新版であるSystemd v242ではこの修正はまだ適用されていないようだ。

そして、今度はRyzen 3000シリーズでRDRAND命令が常に不適切な値を返し、さらにそれを検出することはできないという不具合の存在が確認された。この問題は2月に確認されたものよりも影響が広く、これによってLinuxのブートに失敗する不具合が発生するとのこと。

これらの問題の影響を受けるのは、RDRAND命令を使用するよう変更されたsystemd v240以降を採用しているLinuxディストリビューション。また、この問題と原因が同じであるかは分からないが、Windows向けのゲーム「Destiny 2」でもRyzen 3000系CPUでゲームをプレイできない不具合が確認されているという（ExtremeTech）。

AMDはこれらの問題を修正するBIOSをマザーボードメーカーに提供済みで、BIOSアップデートによって対応できると説明している（Phoronix）。

また、この問題の影響を受けることが報告されているUbuntu 19.04ではすでに修正パッチを適用したパッケージがリリースされている。

なお、RDRAND命令についてはハードウェアに脆弱性がある可能性を考慮してセキュアな用途では使用すべきではないという意見もある（過去記事）。ただ、Systemdでは暗号化などのために乱数を使用しているわけではないため問題は無いと説明していた。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索110コメント Log In/Create an Account

買わない理由ができた (スコア:2, おもしろおかしい)

by Anonymous Coward on 2019年07月17日 17時43分 (#3653110)

Ryzen2にも問題があるらしいので、BIOSのアップデートで改善されるとはいえ、なんか気に入らないので、Ryzen3を待つぜ。
Haswell延命の理由ができた。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  2019-07-07 に発売されたのは Zen2 アーキテクチャに移行した 3世代目の Ryzen なんですけどね
  なのでずーっと待ってもおそらく Ryzen3 ってのは出ないと思いますよw
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    何言っているんですか！
    Ryzen3 どころかもう Ryzen9 まで出ていますよ！
    # Zen2 世代の G 付きが欲しかった……
    - Re:買わない理由ができた (スコア:1)
      
      by Anonymous Coward on 2019年07月17日 23時23分 (#3653331)
      
      何言っているんですか！
      Ryzen3 どころかもう Ryzen9 まで出ていますよ！
      知っているのかっ!Ryzen3
      
      シェア
      
      親コメント
乱数なら-1が連続してもいいのでは (スコア:0)

by Anonymous Coward on 2019年07月17日 16時40分 (#3653027)

乱数に何を期待しているのか。
- Re:乱数なら-1が連続してもいいのでは (スコア:3)
  
  by manmos (29892) on 2019年07月17日 18時47分 (#3653152) 日記
  
  さすがに、ずっと-1だと作られるハッシュがずっとコリジョンしちゃう。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ハッシュのシード値を何だと思っているのか。
- Re:乱数なら-1が連続してもいいのでは (スコア:1)
  
  by Ooty (29466) on 2019年07月18日 0時50分 (#3653380) 日記
  
  乱数なので、好きに解釈すれば良いのかも知れませんが、
  普通は unsigned ですよね???
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  少なくとも-1という特定の値が連続することは期待してないだろう。
  それでよければ最初から乱数ではなく-1の固定値を使えばいいだけの話だしね。
  - Re:乱数なら-1が連続してもいいのでは (スコア:3, 興味深い)
    
    by Anonymous Coward on 2019年07月17日 17時25分 (#3653083)
    
    -1しか出目が無いのは乱数とは言えないけど出目が連続するのなんか当たり前(むしろ絶対に連続して同じ値が出ないと規定するほうが乱数としては悪い)だし
    そもそもランダム性が無いとブートできない理由がわからない
    あちこちに本の虫を読めとオウムみたいな書き込みがあったから読んでみたけど結局理由は書いてないし
    
    シェア
    
    親コメント
    - Re:乱数なら-1が連続してもいいのでは (スコア:1)
      
      by Anonymous Coward on 2019年07月17日 19時05分 (#3653167)
      
      ああ、確かに「(2^-64の確率で)出目が連続したときにブートしない不具合」とも言えるか
      
      シェア
      
      親コメント
  - Re:乱数なら-1が連続してもいいのでは (スコア:1)
    
    by Anonymous Coward on 2019年07月17日 17時00分 (#3653047)
    
    同じ値が来たらブートできない脆弱性があるということですか？
    つまり、RDRAND命令を使わない場合でも天文学的確率でブート不能な場合があるということで…
    
    シェア
    
    親コメント
    - Re:乱数なら-1が連続してもいいのでは (スコア:2)
      
      by Sukunahiko (28860) on 2019年07月18日 0時08分 (#3653349) 日記
      
      なんで、そうなるんだろう?
      
      同じハッシュ値を持ちたくないって仕様だから、前と同じシード値が来たら、
      普通は異なる値が来るまでリトライするよね。
      乱数であれば、そのうち、別の値になることが期待できるだろうし…
      でも、延々リトライさせてストールさせるわけにはいかないから、
      ある程度繰り返しても変化がなければそこで、処理をあきらめる必要がある。
      
      で、今回の件はかならず -1 を返すので必ずリトライオーバでブートに失敗する
      ってのは、systemd が要求している仕様からでも導けるし、
      通常の乱数の中で同じ値がたまたま数回連続しても、ほぼ大丈夫な実装だろう
      ことは想像できると思うのだけど
      
      シェア
      
      親コメント
    - - Re: (スコア:0)
        
        by Anonymous Coward
        
        なんか嫌なことでもあったの？
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        職質でもされたんだろう
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        ハッシュのシード値にしてるだけなら-1でも別に問題ないので、ブートしない理由になってなくない？（と調べずにコメントする）
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        > 今時ハッシュテーブルを毎回同じで初期化するとかバカなのレベルだし
        いやいや、「毎回同じで初期化する」処理でなんでブートできないのって話題で、
        これはこれで脆弱性なのでは？という話です。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        別に環境的にそうであるならそのまま使っても良いじゃん。
        安全性高くできるならその様に、出来ないのならやっぱりその様に使えば良いだけじゃ。
        んでもって、「AMDだと安全性に疑問があるから直してね」って言えば良いだけに思えるが。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        -1でブートするように書き換えてビルドしろと
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        ハッシュテーブルのシード値が毎回変わらないからと言ってブートできなくなるのは、
        「Linuxは低い確率でリブートに失敗します」
        ってこと
        
        Re:乱数なら-1が連続してもいいのでは (スコア:1)
        
        by Anonymous Coward on 2019年07月17日 18時19分 (#3653136)
        
        乱数って同じ値が連続する事は絶対ないのでしたっけ？
        
        シェア
        
        親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    純粋な乱数で-1が連続した場合正常に動作しないコードってこと？
    乱数って必ず-1が連続してはならないって定義あったっけ？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  慣れないながらもソース読んでみたけど分からんね
  ・hashmap の初期 hash_key に使っている
  　→初期値にだけ使ってるから衝突しないし、衝突しても O(N) になるだけだし問題ない（のが普通だよね）
  ・root パスワード暗号化のソルトに使ってる
  　→暗号強度的なチェックが入っていれば引っかかりそうだけど、見つからず
  ・UUID で使ってる？
  　→コメントでは使っていると書いているけど見つからず。ただ same_entry で同じ UUID がないかのチェックをしていて、これに失敗するとコケるっぽい
  UUID がぶつかるのって天文学的確率だし、私も衝突しない前提で書くこと多いけど……バグまで考慮するとそうもいかないのか
  - UUIDの衝突が原因で失敗したっぽい？ (スコア:0)
    
    by Anonymous Coward
    
    ソースコードは読めないペーペーなので、どこで使っているかは確認してませんが、
    本の虫でリンクされているコードのコメントによると、サービスにinvocationIDを採番する
    (システムの起動直後ではシステム固有のID(?)が取得できないため乱数に頼るしかないらしい)のに使用しているらしいです。
    で、該当のコードのログをたどると、#11810 [github.com]で、
    UUIDの衝突のために、invocationIDが採番できずに処理が失敗するとあるようです。
    # ブートではなくて、終了時の話だけど・・・
ryzen2も同じバグ (スコア:0)

by Anonymous Coward on 2019年07月17日 16時43分 (#3653031)

があったやべーな
Systemdでは暗号化などのために乱数を使用しているわけではない (スコア:0)

by Anonymous Coward on 2019年07月17日 16時45分 (#3653032)

では、何のために使っているのでせうか
プロセスIDとか?
- Re:Systemdでは暗号化などのために乱数を使用しているわけではない (スコア:2)
  
  by ncaq (46027) <ncaq@ncaq.net> on 2019年07月22日 22時10分 (#3655932) ホームページ
  
  このBoot IDとかだったりして(調べてない) % hostnamectl Static hostname: strawberry Icon name: computer-desktop Chassis: desktop Machine ID: 31adb60a1a4a61feb40a9bf15c9f824f Boot ID: 80c6bca063aa41588c5e264f20c39140 Operating System: ]8;;https://www.gentoo.org/Gentoo/Linux]8;; Kernel: Linux 5.1.17-gentoo Architecture: x86-64
  
  シェア
  
  親コメント
- Re:Systemdでは暗号化などのために乱数を使用しているわけではない (スコア:1)
  
  by Anonymous Coward on 2019年07月17日 18時59分 (#3653162)
  
  シードとか、UUIDとか、そこまでの精度が要るものなのかね…/dev/randomが十分でないっていうのなら、なんでも取り込むsystemdの流儀に従って、systemd-randomとかを作って自前で乱数供給したらいいんじゃない？
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  本の虫に書いてあんじゃん
  そのままGithubの方も見に行けばわかるよ
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ははは皆そういう疑問を持つのは自然なのだから
    ちょこっと伝文に書いてくれればいいのにね
    みんなリンク先なんか見やしねーのは伝統
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    本の虫よくわかんないんだよね
    何て書いてあるの？
てっきり暗号化の為かと思っていたけど、 (スコア:0)

by Anonymous Coward on 2019年07月17日 16時48分 (#3653035)

最後の一行でひっくり返された。
んじゃブート時の何に乱数が必要だったんだろう？
それもセキュラでなくても問題ないとか。
- - Re: (スコア:0)
    
    by Anonymous Coward
    
    本の虫の人は、とても頭が良いみたいで、俺らと違う次元にいるからなあ。
    全く雑味の無い、完全に正しい事実だけを正確に文に起こしていくから
    多分（理解できれば）誤解のしようのない完璧な文章なんだろうけど
    感情的で感覚的に生きている俺ら一般人には、そもそも理解が難しいという。。。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      へ？本の虫が？雑味ない？
      あんな味わい深くて、主観まみれのブログが？（もちろんフェイクサイトって意味じゃないよ）
      「俺ら一般人」とやらには、完全で完璧に見えるものなの？？
      うーん、とりあえず、#3653086とは違う次元に属しているということはなんとなく理解できた。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    これって要は「使用はは非推奨なんだけど使いたいことも有るんだよ。だから使える様に実装してね」って話だよね。
    記事的にそこは表に出さないとマズイ所なんじゃないかな。
    何故か周辺の話ばかりで直接原因の所が逆にリンク先に隠されて居る。
    その結果、同時多発的に疑問を持つ人間が出ちゃって居ると。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ブート失敗する理由は見当たらないんだけど引用してくれる？
    - Re:てっきり暗号化の為かと思っていたけど、 (スコア:1)
      
      by Anonymous Coward on 2019年07月17日 21時51分 (#3653278)
      
      > UUID generation: UUIDs are supposed to be universally unique but are not cryptographic key material.
      ソースのコメントに書いてあることから察すると、UUIDが被るのが起動しない原因っぽい。
      つまり、生成された乱数が被らないことを期待してRDREAND叩いていたsystemdの設計が糞ってこと。
      
      シェア
      
      親コメント
    - - Re: (スコア:0, すばらしい洞察)
        
        by Anonymous Coward
        
        systemdのソースなんて読みたくないな
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        本の虫に書いてあるって言ったくせに無責任な奴だな
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        書いてあるよ？
        > もう一つの問題は、なぜsystemdはRDRANDを直接使っているのかということだ。Linuxカーネルの提供する/dev/urandomではなぜだめなのか。
        > その理由は他ならぬsystemdのソースコードにコメントとして記載されている。
        > https://github.com/systemd/systemd/blob/f90bcf8679e8708788290519dc0937... [github.com]
        だから、嫁
        エントリーポイントから追っかけて嫁とは言ってねぇ
        どこを読めばいいのかもわかるんだから嫁
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    結局，誰も理解できてなくて草
スレ崩壊 (スコア:0)

by Anonymous Coward on 2019年07月17日 17時18分 (#3653071)

なんだかな〜
- Re: (スコア:0)
  
  by Anonymous Coward
  
  なんか議論を妨害してるのがいるね。
  ソースを読まないとコメントしてはいけない、
  という使用許諾なんか無いんだから。
安定のSystemd (スコア:0)

by Anonymous Coward on 2019年07月17日 18時25分 (#3653141)

単純に設計が雑なだけじゃん・・・
- Re: (スコア:0)
  
  by Anonymous Coward
  
  今回のようなことが起こらないように
  UEFIもsystemdに組み込むべきだな!
- Re: (スコア:0)
  
  by Anonymous Coward
  
  違う、対応しているかどうかのチェック処理が走って対応しているってフラグを返すのに取得すると-1がかえんの。
  死んでたらそもそも違う動作する。
  死んでるならまだマシなのに中途半端に生きているからダメ案件
  - Re:安定のSystemd (スコア:1)
    
    by alp (1425) on 2019年07月17日 21時31分 (#3653260) ホームページ日記
    
    任意の数だけ -1 が続く確率は、真の乱数なら０にはならないので、純粋に血塗れに Systemd が悪い。そんなもの期待する方が大間違い。
    ＃まぁ LFSR なので Intel の実装でも真の乱数ではもともとないし、正直 AMD の CPU がちゃんとした値を返さないって昔の TSC のほうが仕様的に変だという意味で酷い気がするけど。
    
    シェア
    
    親コメント
    - - Re:安定のSystemd (スコア:1)
        
        by alp (1425) on 2019年07月17日 23時32分 (#3653340) ホームページ日記
        
        落ちるのは systemd だけであって、カーネルじゃないですからね。それと、あなたはマーフィーの法則を10回ほど口に出して読み上げてみるべきだ、と思うな。
        ＃何ヶ月に一回かインターミッテントに化けるようなバグのデバッグをやるはめになったらたぶん身にしみると思うけど。
        
        シェア
        
        親コメント
- - Re:安定のSystemd (スコア:2)
    
    by muumatch (16737) on 2019年07月19日 0時20分 (#3654214)
    
    ついに Devean さんの出番がきましたか
    調べてみたら、systemd がデフォルトでないディストリも結構ありますね
    最近人気上昇中の MX Linux も sysvinit みたいですね
    A list of non-systemd distributions (revisited)
    https://sysdfree.wordpress.com/2019/03/09/135/ [wordpress.com]
    
    シェア
    
    親コメント
- Re:案の定のAMD (スコア:1)
  
  by nekopon (1483) on 2019年07月18日 8時49分 (#3653471) 日記
  
  AMDのチップを使わない理由はもうおなかいっぱいです
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

買わない理由ができた (スコア:2, おもしろおかしい)

Re: (スコア:0)

Re: (スコア:0)

Re:買わない理由ができた (スコア:1)

乱数なら-1が連続してもいいのでは (スコア:0)

Re:乱数なら-1が連続してもいいのでは (スコア:3)

Re: (スコア:0)

Re:乱数なら-1が連続してもいいのでは (スコア:1)

Re: (スコア:0)

Re:乱数なら-1が連続してもいいのでは (スコア:3, 興味深い)

Re:乱数なら-1が連続してもいいのでは (スコア:1)

Re:乱数なら-1が連続してもいいのでは (スコア:1)

Re:乱数なら-1が連続してもいいのでは (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:乱数なら-1が連続してもいいのでは (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

UUIDの衝突が原因で失敗したっぽい？ (スコア:0)

ryzen2も同じバグ (スコア:0)

Systemdでは暗号化などのために乱数を使用しているわけではない (スコア:0)

Re:Systemdでは暗号化などのために乱数を使用しているわけではない (スコア:2)

Re:Systemdでは暗号化などのために乱数を使用しているわけではない (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

てっきり暗号化の為かと思っていたけど、 (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:てっきり暗号化の為かと思っていたけど、 (スコア:1)

Re: (スコア:0, すばらしい洞察)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スレ崩壊 (スコア:0)

Re: (スコア:0)

安定のSystemd (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:安定のSystemd (スコア:1)

Re:安定のSystemd (スコア:1)

Re:安定のSystemd (スコア:2)

Re:案の定のAMD (スコア:1)