作为SQL Server DBA,我需要了解有关崩溃/频谱漏洞的信息吗?


14

如果您听不到,最近发现了一系列相关漏洞,这些漏洞实际上影响了过去十年中售出的所有处理器。您可以在InfoSec.SE上找到有关崩溃/幽灵漏洞的更多技术细节

作为SQL Server DBA,我需要了解什么?

如果我们不与其他公司共享我们的SQL Server(或VM场),这仍然有风险吗?

这将仅仅是一个操作系统补丁吗?或者是否存在解决此漏洞所需的SQL Server修补程序/修补程序?将修补哪些SQL Server版本?

一些文章预计会对性能产生5-30%的影响,尤其是在高度虚拟化的环境中。是否有任何方法可以预测对SQL Server的性能影响?

Answers:


14

这是Microsoft的有关漏洞的安全建议,已为这些漏洞分配了三个“ CVE”编号:

  • CVE-2017-5715-分支目标注入(“ Spectre”
  • CVE-2017-5753-边界检查旁路(“ Spectre”
  • CVE-2017-5754-恶意数据缓存加载(“ Meltdown”

随着新信息的发布,正在积极更新有关这些漏洞如何影响SQL Server的Microsoft KB:

KB 4073225:SQL Server指南可防止推测性执行边通道漏洞

Microsoft的确切建议将取决于您的配置和业务方案,有关详细信息,请参考知识库。例如,如果您托管在Azure上,则无需执行任何操作(该环境已修补)。但是,如果您使用潜在的不受信任的代码在共享的虚拟或物理环境中托管应用程序,则可能需要其他缓解措施。

SQL修补程序当前可用于以下受影响的SQL版本:

这些SQL Server修补程序可防止CVE 2017-5753Spectre:界限检查绕过)。

为了防止CVE 2017-5754崩溃:恶意数据缓存负载)的侵害,您可以在Windows上启用Kernel Virtual Address Shadowing(KVAS)(通过更改注册表)或在Linux上启用Linux Kernel Page Table Isolation(KPTI)(通过您的补丁程序) Linux发行商)。

为了防止CVE 2017-5715频谱:分支目标注入),您可以通过注册表更改以及硬件制造商的固件更新来启用分支目标注入缓解硬件支持(IBC)。

请注意,您的环境可能不需要KVAS,KPTI和IBC,而这些变化对性能的影响最大(强调我的观点):

Microsoft建议所有客户安装SQL Server和Windows的更新版本。基于Microsoft对SQL工作负载的测试,这对现有应用程序的性能影响应忽略不计,但是,我们建议您在部署到生产环境之前进行验证。

Microsoft已测量了内核虚拟地址影子(KVAS),内核页表间接(KPTI)和分支目标注入缓解(IBC)对各种环境中各种SQL工作负载的影响,并发现某些工作负载的性能显着下降。我们建议您在部署到生产环境中之前验证启用这些功能对性能的影响。如果启用这些功能对现有应用程序的性能影响太大,则客户可以考虑将SQL Server与在同一台计算机上运行的不受信任的代码隔离是否可以更好地缓解其应用程序。


Microsoft System Center Configuration Manager(SCCM)特定指南:自 2018年1月8日起,用于缓解推测性执行端通道漏洞的其他指南


相关博客文章:

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.