Как администратор базы данных SQL Server, что мне нужно знать об уязвимостях распада / призрака?


14

Если вы не слышали, недавно был обнаружен ряд связанных с этим уязвимостей, которые влияют практически на все процессоры, проданные за последнее десятилетие. Вы можете найти более подробную информацию об уязвимостях распада / призрака на InfoSec.SE .

Как администратор базы данных SQL Server, что мне нужно для этого понять?

Если мы не передаем наши SQL-серверы (или наши vm-фермы) другим компаниям, остается ли это риском?

Это будет просто патч ОС? Или для SQL Server доступны исправления / исправления, необходимые для устранения этой уязвимости? Какие версии SQL Server будут исправлены?

В некоторых статьях прогнозируется снижение производительности на 5-30%, особенно в средах с высокой степенью виртуализации. Есть ли способ предсказать влияние производительности на мои SQL-серверы?

Ответы:


14

Вот совет по безопасности Microsoft от уязвимостей, которым было присвоено три номера CVE:

  • CVE-2017-5715 - Ветка целевого впрыска ( «Призрак» )
  • CVE-2017-5753 - Обход проверки границ ( «Призрак» )
  • CVE-2017-5754 - мошенническая загрузка кэша данных ( «Расплавление» )

Microsoft KB для того, как эти уязвимости влияют на сервер SQL, активно обновляется по мере появления новой информации:

KB 4073225: Руководство по SQL Server для защиты от спекулятивных уязвимостей побочного канала выполнения .

Точная рекомендация Microsoft будет зависеть от вашей конфигурации и бизнес-сценария, подробности см. В КБ. Например, если вы размещаете на Azure, никаких действий не требуется (среда уже исправлена). Однако, если вы размещаете приложения в виртуальных или физических средах общего пользования с потенциально ненадежным кодом, могут потребоваться другие меры по снижению риска.

В настоящее время доступны исправления SQL для следующих уязвимых версий SQL:

Эти исправления SQL-сервера защищают от CVE 2017-5753 ( Спектр: обход проверки границ ).

Для защиты от CVE 2017-5754 ( расплавление: мошенническая загрузка кэша данных ) вы можете включить виртуальное скрытие адреса ядра (KVAS) в Windows (через изменение реестра) или изоляцию таблицы страниц ядра Linux (KPTI) в Linux (с помощью патча от вашего Дистрибьютор Linux).

Для защиты от CVE 2017-5715 ( Спектр: Внедрение в филиал ) вы можете включить поддержку оборудования (IBC) для снижения производительности внедрения филиала через изменение реестра плюс обновление прошивки от вашего производителя оборудования.

Обратите внимание, что KVAS, KPTI и IBC могут не потребоваться для вашей среды, и эти изменения оказывают наиболее существенное влияние на производительность (выделено мое):

Microsoft советует всем клиентам устанавливать обновленные версии SQL Server и Windows. Это должно оказать незначительное минимальное влияние на производительность существующих приложений на основе тестирования Microsoft рабочих нагрузок SQL, однако мы рекомендуем выполнить проверку перед развертыванием в производственной среде.

Microsoft измерила влияние Kernel Virtual Address Shadowing (KVAS), опосредованного обращения к таблицам страниц ядра (KPTI) и Target Inject Mitigation (IBC) на различные рабочие нагрузки SQL в различных средах и обнаружила, что некоторые рабочие нагрузки имеют значительное снижение. Мы рекомендуем вам проверить влияние этих функций на производительность перед развертыванием в производственной среде. Если влияние на производительность включения этих функций слишком велико для существующего приложения, клиенты могут подумать о том, является ли изоляция SQL Server от ненадежного кода, работающего на том же компьютере, лучшим способом смягчения их приложения.


Особые рекомендации Microsoft System Center Configuration Manager (SCCM): дополнительные рекомендации по устранению спекулятивных уязвимостей в побочных каналах выполнения по состоянию на 8 января 2018 года .


Связанные сообщения в блоге:

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.