Ecco il Security Advisory di Microsoft sulle vulnerabilità, a cui sono stati assegnati tre numeri "CVE":
- CVE-2017-5715 - Iniezione target branch ( "Spettro" )
- CVE-2017-5753 - Bypass del controllo dei limiti ( "Spettro" )
- CVE-2017-5754 - Caricamento della cache di dati non autorizzati ( "Meltdown" )
Microsoft KB per l'impatto di queste vulnerabilità sul server SQL viene attivamente aggiornato man mano che nuove informazioni diventano disponibili:
KB 4073225: Guida di SQL Server per la protezione dalle vulnerabilità del canale laterale dell'esecuzione speculativa .
La raccomandazione esatta di Microsoft dipenderà dalla configurazione e dallo scenario aziendale, fare riferimento al KB per i dettagli. Se si esegue l'hosting in Azure, ad esempio, non è richiesta alcuna azione (l'ambiente è già patchato). Se, tuttavia, stai ospitando applicazioni in ambienti virtuali o fisici condivisi con codice potenzialmente non attendibile, potrebbero essere necessarie altre mitigazioni.
Le patch SQL sono attualmente disponibili per le seguenti versioni SQL interessate:
Queste patch per server SQL proteggono da CVE 2017-5753 ( Spectre: Bounds check bypass ).
Per proteggerti da CVE 2017-5754 ( Meltdown: caricamento della cache di dati non autorizzati ), puoi abilitare Kernel Virtual Address Shadowing (KVAS) su Windows (tramite modifica del registro) o Linux Kernel Page Table Isolation (KPTI) su Linux (tramite una patch dal tuo Distributore Linux).
Per proteggersi da CVE 2017-5715 ( Spettro: Iniezione target branch ), è possibile abilitare il supporto hardware di mitigazione dell'iniezione Branch Target (IBC) tramite modifica del registro più un aggiornamento del firmware del produttore dell'hardware.
Si noti che KVAS, KPTI e IBC potrebbero non essere necessari per il proprio ambiente, e questi sono i cambiamenti con il più significativo impatto sulle prestazioni (enfasi sul mio):
Microsoft consiglia a tutti i clienti di installare versioni aggiornate di SQL Server e Windows. Ciò dovrebbe avere un impatto trascurabile sulle prestazioni minime per le applicazioni esistenti basate sui test Microsoft sui carichi di lavoro SQL, tuttavia, si consiglia di convalidare prima della distribuzione in un ambiente di produzione.
Microsoft ha misurato l'impatto di Kernel Virtual Address Shadowing (KVAS), Kernel Page Table Indirection (KPTI) e Branch Target Injection Mitigation (IBC) su vari carichi di lavoro SQL in vari ambienti e ha riscontrato alcuni carichi di lavoro con un significativo degrado. Si consiglia di convalidare l'impatto sulle prestazioni dell'abilitazione di queste funzionalità prima della distribuzione in un ambiente di produzione. Se l'impatto sulle prestazioni dell'abilitazione di queste funzionalità è troppo elevato per un'applicazione esistente, i clienti possono valutare se isolare SQL Server da codice non attendibile in esecuzione sullo stesso computer sia una soluzione migliore per la propria applicazione.
Guida specifica per Microsoft System Center Configuration Manager (SCCM):
ulteriori indicazioni per mitigare le vulnerabilità del canale laterale dell'esecuzione speculativa a partire dall'08 gennaio 2018 .
Post di blog correlati: