Jako SQL Server DBA, co muszę wiedzieć o lukach w zabezpieczeniach związanych z załamaniem / widmem?

14

Jeśli nie słyszałeś, niedawno odkryto zestaw powiązanych luk, które wpływają praktycznie na wszystkie procesory sprzedawane w ciągu ostatniej dekady. Więcej informacji technicznych na temat luk w krachu / widmie można znaleźć na InfoSec.SE .

Jako SQL Server DBA, co muszę o tym wiedzieć?

Jeśli nie udostępniamy naszych serwerów SQL (lub naszych farm VM) innym firmom, czy nadal stanowi to ryzyko?

Czy będzie to po prostu łatka na system operacyjny? Czy są dostępne łaty / poprawki dla programu SQL Server, które są wymagane do usunięcia tej luki? Które wersje programu SQL Server zostaną załatane?

Niektóre artykuły przewidują 5-30% wpływ na wydajność, szczególnie w środowiskach wysoce zwirtualizowanych. Czy istnieje sposób przewidzenia, jaki wpływ może mieć wydajność na moje serwery SQL?

BradC
źródło

Odpowiedzi:

14

Oto Poradnik bezpieczeństwa firmy Microsoft dotyczący luk w zabezpieczeniach, którym przypisano trzy numery „CVE”:

  • CVE-2017-5715 - Wstrzyknięcie celu docelowego ( „Spectre” )
  • CVE-2017-5753 - Obejście sprawdzania granic ( „Spectre” )
  • CVE-2017-5754 - Nieuczciwe ładowanie pamięci podręcznej danych ( „Meltdown” )

Microsoft KB dotyczący wpływu tych luk na serwer SQL jest aktywnie aktualizowany w miarę udostępniania nowych informacji:

KB 4073225: Wskazówki dotyczące programu SQL Server dotyczące ochrony przed lukami w zabezpieczeniach kanału bocznego wykonywania spekulacyjnego .

Dokładne zalecenie Microsoft będzie zależeć od konfiguracji i scenariusza biznesowego. Szczegółowe informacje można znaleźć w KB. Jeśli hostujesz na platformie Azure, na przykład nie jest wymagane żadne działanie (środowisko jest już załatane). Jeśli jednak hostujesz aplikacje we współdzielonych środowiskach wirtualnych lub fizycznych z potencjalnie niezaufanym kodem, mogą być wymagane inne środki zaradcze.

Łaty SQL są obecnie dostępne dla następujących wersji SQL, których dotyczy problem:

Te poprawki serwera SQL chronią przed CVE 2017-5753 ( Spectre: Bounds check bypass ).

Aby zabezpieczyć się przed CVE 2017-5754 ( Meltdown: ładowanie nieuczciwej pamięci podręcznej danych ), możesz włączyć Kernel Virtual Address Shadowing (KVAS) w systemie Windows (poprzez zmianę rejestru) lub Linux Kernel Page Table Isolation (KPTI) w systemie Linux (poprzez łatkę z twojego Dystrybutor Linuksa).

Aby zabezpieczyć się przed CVE 2017-5715 ( Spectre: wstrzyknięcie elementu docelowego oddziału ), możesz włączyć obsługę sprzętową ograniczania wstrzyknięcia elementu docelowego (IBC) poprzez zmianę rejestru oraz aktualizację oprogramowania układowego od producenta sprzętu.

Pamiętaj, że KVAS, KPTI i IBC mogą nie być wymagane w twoim środowisku, a są to zmiany, które mają największy wpływ na wydajność (moje podkreślenie):

Microsoft zaleca wszystkim klientom zainstalowanie zaktualizowanych wersji SQL Server i Windows. Powinno to mieć minimalny lub minimalny wpływ na wydajność istniejących aplikacji w oparciu o testowanie obciążeń SQL przez Microsoft, jednak zalecamy sprawdzenie poprawności przed wdrożeniem w środowisku produkcyjnym.

Microsoft zmierzył wpływ wirtualnego shadowingu adresów jądra (KVAS), przekierowania tabeli stron w jądrze (KPTI) i ograniczania iniekcji docelowych oddziałów (IBC) na różne obciążenia SQL w różnych środowiskach i stwierdził pewne obciążenia ze znacznym pogorszeniem. Zalecamy sprawdzenie wpływu włączenia tych funkcji na wydajność przed wdrożeniem w środowisku produkcyjnym. Jeśli wpływ włączenia tych funkcji na wydajność jest zbyt wysoki dla istniejącej aplikacji, klienci mogą rozważyć, czy izolacja programu SQL Server od niezaufanego kodu działającego na tej samej maszynie jest lepszym rozwiązaniem dla ich aplikacji.


Szczegółowe wskazówki dotyczące programu Microsoft System Center Configuration Manager (SCCM): Dodatkowe wskazówki dotyczące ograniczania luk w zabezpieczeniach kanału po stronie spekulacyjnej podczas wykonywania od 08 stycznia 2018 r .


Powiązane posty na blogu:

LowlyDBA
źródło