Как администратор базы данных SQL Server, что мне нужно знать об уязвимостях распада / призрака?

Если вы не слышали, недавно был обнаружен ряд связанных с этим уязвимостей, которые влияют практически на все процессоры, проданные за последнее десятилетие. Вы можете найти более подробную информацию об уязвимостях распада / призрака на InfoSec.SE .

Как администратор базы данных SQL Server, что мне нужно для этого понять?

Если мы не передаем наши SQL-серверы (или наши vm-фермы) другим компаниям, остается ли это риском?

Это будет просто патч ОС? Или для SQL Server доступны исправления / исправления, необходимые для устранения этой уязвимости? Какие версии SQL Server будут исправлены?

В некоторых статьях прогнозируется снижение производительности на 5-30%, особенно в средах с высокой степенью виртуализации. Есть ли способ предсказать влияние производительности на мои SQL-серверы?

Вот совет по безопасности Microsoft от уязвимостей, которым было присвоено три номера CVE:

• CVE-2017-5715 - Ветка целевого впрыска ( «Призрак» )
• CVE-2017-5753 - Обход проверки границ ( «Призрак» )
• CVE-2017-5754 - мошенническая загрузка кэша данных ( «Расплавление» )

Microsoft KB для того, как эти уязвимости влияют на сервер SQL, активно обновляется по мере появления новой информации:

KB 4073225: Руководство по SQL Server для защиты от спекулятивных уязвимостей побочного канала выполнения .

Точная рекомендация Microsoft будет зависеть от вашей конфигурации и бизнес-сценария, подробности см. В КБ. Например, если вы размещаете на Azure, никаких действий не требуется (среда уже исправлена). Однако, если вы размещаете приложения в виртуальных или физических средах общего пользования с потенциально ненадежным кодом, могут потребоваться другие меры по снижению риска.

В настоящее время доступны исправления SQL для следующих уязвимых версий SQL:

• SQL Server 2008: 2008 SP4 GDR
• SQL Server 2008R2: 2008R2 SP3 GDR
• SQL Server 2012: 2012 SP3 CU , 2012 SP3 GDR , 2012 SP4 GDR
• SQL Server 2014: 2014 SP2 GDR , 2014 SP2 CU
• SQL Server 2016: 2016 CU7 SP1 , 2016 GRD SP1 , 2016 CU , 2016 ГДР , CU7 для 2016 SP1
• SQL Server 2017: GRD 2017 , 2017 CU3 RTM , CU3 на 2017

Эти исправления SQL-сервера защищают от CVE 2017-5753 ( Спектр: обход проверки границ ).

Для защиты от CVE 2017-5754 ( расплавление: мошенническая загрузка кэша данных ) вы можете включить виртуальное скрытие адреса ядра (KVAS) в Windows (через изменение реестра) или изоляцию таблицы страниц ядра Linux (KPTI) в Linux (с помощью патча от вашего Дистрибьютор Linux).

Для защиты от CVE 2017-5715 ( Спектр: Внедрение в филиал ) вы можете включить поддержку оборудования (IBC) для снижения производительности внедрения филиала через изменение реестра плюс обновление прошивки от вашего производителя оборудования.

Обратите внимание, что KVAS, KPTI и IBC могут не потребоваться для вашей среды, и эти изменения оказывают наиболее существенное влияние на производительность (выделено мое):

Microsoft советует всем клиентам устанавливать обновленные версии SQL Server и Windows. Это должно оказать незначительное минимальное влияние на производительность существующих приложений на основе тестирования Microsoft рабочих нагрузок SQL, однако мы рекомендуем выполнить проверку перед развертыванием в производственной среде.

Microsoft измерила влияние Kernel Virtual Address Shadowing (KVAS), опосредованного обращения к таблицам страниц ядра (KPTI) и Target Inject Mitigation (IBC) на различные рабочие нагрузки SQL в различных средах и обнаружила, что некоторые рабочие нагрузки имеют значительное снижение. Мы рекомендуем вам проверить влияние этих функций на производительность перед развертыванием в производственной среде. Если влияние на производительность включения этих функций слишком велико для существующего приложения, клиенты могут подумать о том, является ли изоляция SQL Server от ненадежного кода, работающего на том же компьютере, лучшим способом смягчения их приложения.

Особые рекомендации Microsoft System Center Configuration Manager (SCCM): дополнительные рекомендации по устранению спекулятивных уязвимостей в побочных каналах выполнения по состоянию на 8 января 2018 года .

Связанные сообщения в блоге:

• Брент Озар: патчи SQL Server для атак типа «провал» и «призрак»
• SQLHA: нет хорошего, ужасного недостатка процессора и развертывания SQL Server - почти все, что вам нужно знать
• Томас Ларок: Руководство по SQL Server для защиты от атак типа «провал» и «призрак»
• Гленн Берри: Обновления Microsoft SQL Server для взлома и использования Spectre
• Гленн Берри: Проверка состояния расплавления и смягчения угрозы в Windows
• Аарон Бертран: последние сборки SQL Server 2017 (собранные данные и ссылки для CU3)
• Джои Д'Антони: Призрак и кризис: как они влияют на SQL Server?