Là một DBA của SQL Server, tôi cần biết gì về các lỗ hổng meltdown / Spectre?

14

Nếu bạn không nghe thấy, một loạt các lỗ hổng liên quan gần đây đã được phát hiện có tác động đến hầu như tất cả các bộ xử lý được bán trong thập kỷ qua. Bạn có thể tìm thấy nhiều chi tiết kỹ thuật hơn về các lỗ hổng meltdown / bóng ma trên Infecec.SE .

Là một DBA của SQL Server, tôi cần hiểu gì về điều này?

Nếu chúng tôi không chia sẻ Máy chủ SQL (hoặc trang trại vm của chúng tôi) với các công ty khác, điều này có còn rủi ro không?

Đây sẽ chỉ đơn giản là một bản vá hệ điều hành? Hoặc có bản vá / hotfix có sẵn cho SQL Server được yêu cầu để giải quyết lỗ hổng này không? Phiên bản SQL Server nào sẽ được vá?

Một số bài viết dự đoán tác động hiệu suất 5-30%, đặc biệt là trong môi trường ảo hóa cao. Có cách nào để dự đoán tác động hiệu suất trên Máy chủ SQL của tôi có thể là gì không?

sql-server  patching 
BradC
nguồn

Câu trả lời:

14

Dưới đây là Tư vấn bảo mật của Microsoft về các lỗ hổng đã được gán ba số "CVE":

  • CVE-2017-5715 - Tiêm mục tiêu chi nhánh ( "Spectre" )
  • CVE-2017-5753 - Bỏ qua kiểm tra giới hạn ( "Spectre" )
  • CVE-2017-5754 - Tải bộ đệm dữ liệu Rogue ( "Meltdown" )

Microsoft KB về cách các lỗ hổng này ảnh hưởng đến máy chủ SQL đang được cập nhật tích cực khi có thông tin mới:

KB 4073225: Hướng dẫn máy chủ SQL để bảo vệ chống lại các lỗ hổng kênh bên thực thi đầu cơ .

Đề xuất chính xác của Microsoft sẽ phụ thuộc vào cấu hình và kịch bản kinh doanh của bạn, vui lòng tham khảo KB để biết chi tiết. Nếu bạn đang lưu trữ trên Azure, chẳng hạn, không cần thực hiện hành động nào (môi trường đã được vá). Tuy nhiên, nếu bạn đang lưu trữ các ứng dụng trong các môi trường ảo hoặc vật lý được chia sẻ với mã không đáng tin cậy, thì có thể cần phải giảm thiểu.

Các bản vá SQL hiện có sẵn cho các phiên bản SQL bị ảnh hưởng sau:

Các bản vá máy chủ SQL này bảo vệ chống lại CVE 2017-5753 ( Spectre: Bound check bypass ).

Để bảo vệ chống lại CVE 2017-5754 ( Meltdown: Tải bộ đệm dữ liệu Rogue ), bạn có thể bật Kernel Virtual Địa chỉ ảo (KVAS) trên Windows (thông qua thay đổi sổ đăng ký) hoặc Cách ly bảng trang hạt nhân Linux (KPTI) trên Linux (thông qua bản vá từ bạn Nhà phân phối Linux).

Để bảo vệ chống lại CVE 2017-5715 ( Spectre: Branch target tiêm ), bạn có thể kích hoạt hỗ trợ phần cứng giảm thiểu Branch Target Injection (IBC) thông qua thay đổi sổ đăng ký cộng với cập nhật firmware từ nhà sản xuất phần cứng của bạn.

Lưu ý rằng KVAS, KPTI và IBC có thể không cần thiết cho môi trường của bạn và đây là những thay đổi có tác động hiệu suất đáng kể nhất (nhấn mạnh của tôi):

Microsoft khuyên tất cả khách hàng cài đặt các phiên bản cập nhật của SQL Server và Windows. Điều này sẽ có tác động không đáng kể đến hiệu suất tối thiểu đối với các ứng dụng hiện có dựa trên việc Microsoft kiểm tra khối lượng công việc SQL, tuy nhiên, chúng tôi khuyên bạn nên xác thực trước khi triển khai vào môi trường sản xuất.

Microsoft đã đo lường tác động của Bóng tối Địa chỉ ảo Kernel (KVAS), Chỉ định bảng trang hạt nhân (KPTI) và Giảm thiểu mục tiêu tiêm chi nhánh (IBC) đối với các khối lượng công việc SQL khác nhau trong các môi trường khác nhau và tìm thấy một số khối lượng công việc với sự xuống cấp đáng kể. Chúng tôi khuyên bạn nên xác thực tác động hiệu suất của việc bật các tính năng này trước khi triển khai vào môi trường sản xuất. Nếu tác động hiệu năng của việc kích hoạt các tính năng này quá cao đối với một ứng dụng hiện có, khách hàng có thể xem xét việc cách ly SQL Server khỏi mã không tin cậy chạy trên cùng một máy có phải là giảm thiểu tốt hơn cho ứng dụng của họ hay không.

Hướng dẫn cụ thể của Trình quản lý cấu hình hệ thống Microsoft (SCCM): Hướng dẫn bổ sung để giảm thiểu các lỗ hổng kênh bên thực thi đầu cơ kể từ ngày 08 tháng 1 năm 2018 .

Bài viết trên blog liên quan:

LowlyDBA
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.