In quanto DBA di SQL Server, cosa devo sapere sulle vulnerabilità di fusione / spettro?

Se non hai sentito, sono state recentemente scoperte una serie di vulnerabilità correlate che incidono praticamente su tutti i processori venduti nell'ultimo decennio. Puoi trovare maggiori dettagli tecnici sulle vulnerabilità di fusione / spettro su InfoSec.SE .

Come DBA di SQL Server, cosa devo capire al riguardo?

Se non condividiamo i nostri server SQL (o le nostre fattorie VM) con altre società, è ancora un rischio?

Sarà semplicemente una patch del sistema operativo? Oppure sono disponibili patch / hotfix per SQL Server necessari per risolvere questa vulnerabilità? Quali versioni di SQL Server verranno patchate?

Alcuni articoli prevedono un impatto sulle prestazioni del 5-30%, specialmente in ambienti altamente virtualizzati. Esiste un modo per prevedere quale potrebbe essere l'impatto delle prestazioni sui miei server SQL?

Ecco il Security Advisory di Microsoft sulle vulnerabilità, a cui sono stati assegnati tre numeri "CVE":

• CVE-2017-5715 - Iniezione target branch ( "Spettro" )
• CVE-2017-5753 - Bypass del controllo dei limiti ( "Spettro" )
• CVE-2017-5754 - Caricamento della cache di dati non autorizzati ( "Meltdown" )

Microsoft KB per l'impatto di queste vulnerabilità sul server SQL viene attivamente aggiornato man mano che nuove informazioni diventano disponibili:

KB 4073225: Guida di SQL Server per la protezione dalle vulnerabilità del canale laterale dell'esecuzione speculativa .

La raccomandazione esatta di Microsoft dipenderà dalla configurazione e dallo scenario aziendale, fare riferimento al KB per i dettagli. Se si esegue l'hosting in Azure, ad esempio, non è richiesta alcuna azione (l'ambiente è già patchato). Se, tuttavia, stai ospitando applicazioni in ambienti virtuali o fisici condivisi con codice potenzialmente non attendibile, potrebbero essere necessarie altre mitigazioni.

Le patch SQL sono attualmente disponibili per le seguenti versioni SQL interessate:

• SQL Server 2008: 2008 SP4 GDR
• SQL Server 2008R2: 2008R2 SP3 GDR
• SQL Server 2012: 2012 SP3 CU , 2012 SP3 GDR , 2012 SP4 GDR
• SQL Server 2014: 2014 SP2 GDR , 2014 SP2 CU
• SQL Server 2016: 2016 CU7 SP1 , 2016 GRD SP1 , 2016 CU , 2016 GDR , CU7 per 2016 SP1
• SQL Server 2017: 2017 GRD , 2017 CU3 RTM , CU3 per il 2017

Queste patch per server SQL proteggono da CVE 2017-5753 ( Spectre: Bounds check bypass ).

Per proteggerti da CVE 2017-5754 ( Meltdown: caricamento della cache di dati non autorizzati ), puoi abilitare Kernel Virtual Address Shadowing (KVAS) su Windows (tramite modifica del registro) o Linux Kernel Page Table Isolation (KPTI) su Linux (tramite una patch dal tuo Distributore Linux).

Per proteggersi da CVE 2017-5715 ( Spettro: Iniezione target branch ), è possibile abilitare il supporto hardware di mitigazione dell'iniezione Branch Target (IBC) tramite modifica del registro più un aggiornamento del firmware del produttore dell'hardware.

Si noti che KVAS, KPTI e IBC potrebbero non essere necessari per il proprio ambiente, e questi sono i cambiamenti con il più significativo impatto sulle prestazioni (enfasi sul mio):

Microsoft consiglia a tutti i clienti di installare versioni aggiornate di SQL Server e Windows. Ciò dovrebbe avere un impatto trascurabile sulle prestazioni minime per le applicazioni esistenti basate sui test Microsoft sui carichi di lavoro SQL, tuttavia, si consiglia di convalidare prima della distribuzione in un ambiente di produzione.

Microsoft ha misurato l'impatto di Kernel Virtual Address Shadowing (KVAS), Kernel Page Table Indirection (KPTI) e Branch Target Injection Mitigation (IBC) su vari carichi di lavoro SQL in vari ambienti e ha riscontrato alcuni carichi di lavoro con un significativo degrado. Si consiglia di convalidare l'impatto sulle prestazioni dell'abilitazione di queste funzionalità prima della distribuzione in un ambiente di produzione. Se l'impatto sulle prestazioni dell'abilitazione di queste funzionalità è troppo elevato per un'applicazione esistente, i clienti possono valutare se isolare SQL Server da codice non attendibile in esecuzione sullo stesso computer sia una soluzione migliore per la propria applicazione.

Guida specifica per Microsoft System Center Configuration Manager (SCCM): ulteriori indicazioni per mitigare le vulnerabilità del canale laterale dell'esecuzione speculativa a partire dall'08 gennaio 2018 .

Post di blog correlati:

• Brent Ozar: patch di SQL Server per attacchi di fusione e di spettro
• SQLHA: il difetto del processore non buono e terribile e le distribuzioni di SQL Server: quasi tutto ciò che devi sapere
• Thomas LaRock: Guida di SQL Server per la protezione contro il tracollo e gli attacchi di spettro
• Glenn Berry: aggiornamenti di Microsoft SQL Server per exploit Meltdown e Spectre
• Glenn Berry: Verifica del tuo stato di mitigazione di fusione e spettro in Windows
• Aaron Bertrand: ultime build di SQL Server 2017 (informazioni raccolte e collegamenti per CU3)
• Joey D'Antoni: Spettro e fusione: in che modo influiscono su SQL Server?