Oto Poradnik bezpieczeństwa firmy Microsoft dotyczący luk w zabezpieczeniach, którym przypisano trzy numery „CVE”:
- CVE-2017-5715 - Wstrzyknięcie celu docelowego ( „Spectre” )
- CVE-2017-5753 - Obejście sprawdzania granic ( „Spectre” )
- CVE-2017-5754 - Nieuczciwe ładowanie pamięci podręcznej danych ( „Meltdown” )
Microsoft KB dotyczący wpływu tych luk na serwer SQL jest aktywnie aktualizowany w miarę udostępniania nowych informacji:
KB 4073225: Wskazówki dotyczące programu SQL Server dotyczące ochrony przed lukami w zabezpieczeniach kanału bocznego wykonywania spekulacyjnego .
Dokładne zalecenie Microsoft będzie zależeć od konfiguracji i scenariusza biznesowego. Szczegółowe informacje można znaleźć w KB. Jeśli hostujesz na platformie Azure, na przykład nie jest wymagane żadne działanie (środowisko jest już załatane). Jeśli jednak hostujesz aplikacje we współdzielonych środowiskach wirtualnych lub fizycznych z potencjalnie niezaufanym kodem, mogą być wymagane inne środki zaradcze.
Łaty SQL są obecnie dostępne dla następujących wersji SQL, których dotyczy problem:
Te poprawki serwera SQL chronią przed CVE 2017-5753 ( Spectre: Bounds check bypass ).
Aby zabezpieczyć się przed CVE 2017-5754 ( Meltdown: ładowanie nieuczciwej pamięci podręcznej danych ), możesz włączyć Kernel Virtual Address Shadowing (KVAS) w systemie Windows (poprzez zmianę rejestru) lub Linux Kernel Page Table Isolation (KPTI) w systemie Linux (poprzez łatkę z twojego Dystrybutor Linuksa).
Aby zabezpieczyć się przed CVE 2017-5715 ( Spectre: wstrzyknięcie elementu docelowego oddziału ), możesz włączyć obsługę sprzętową ograniczania wstrzyknięcia elementu docelowego (IBC) poprzez zmianę rejestru oraz aktualizację oprogramowania układowego od producenta sprzętu.
Pamiętaj, że KVAS, KPTI i IBC mogą nie być wymagane w twoim środowisku, a są to zmiany, które mają największy wpływ na wydajność (moje podkreślenie):
Microsoft zaleca wszystkim klientom zainstalowanie zaktualizowanych wersji SQL Server i Windows. Powinno to mieć minimalny lub minimalny wpływ na wydajność istniejących aplikacji w oparciu o testowanie obciążeń SQL przez Microsoft, jednak zalecamy sprawdzenie poprawności przed wdrożeniem w środowisku produkcyjnym.
Microsoft zmierzył wpływ wirtualnego shadowingu adresów jądra (KVAS), przekierowania tabeli stron w jądrze (KPTI) i ograniczania iniekcji docelowych oddziałów (IBC) na różne obciążenia SQL w różnych środowiskach i stwierdził pewne obciążenia ze znacznym pogorszeniem. Zalecamy sprawdzenie wpływu włączenia tych funkcji na wydajność przed wdrożeniem w środowisku produkcyjnym. Jeśli wpływ włączenia tych funkcji na wydajność jest zbyt wysoki dla istniejącej aplikacji, klienci mogą rozważyć, czy izolacja programu SQL Server od niezaufanego kodu działającego na tej samej maszynie jest lepszym rozwiązaniem dla ich aplikacji.
Szczegółowe wskazówki dotyczące programu Microsoft System Center Configuration Manager (SCCM):
Dodatkowe wskazówki dotyczące ograniczania luk w zabezpieczeniach kanału po stronie spekulacyjnej podczas wykonywania od 08 stycznia 2018 r .
Powiązane posty na blogu: