Was muss ich als SQL Server-DBA über die Sicherheitsanfälligkeiten bezüglich Kernschmelze / Spektren wissen?

14

Wenn Sie nicht gehört haben, wurden kürzlich eine Reihe verwandter Schwachstellen entdeckt, die sich auf praktisch alle Prozessoren auswirken, die im letzten Jahrzehnt verkauft wurden. Sie können finden mehr technische Details über die Kernschmelze / Gespenst Schwachstellen auf InfoSec.SE .

Was muss ich als SQL Server-DBA dazu verstehen?

Wenn wir unsere SQL Server (oder unsere VM-Farmen) nicht mit anderen Unternehmen teilen, ist dies immer noch ein Risiko?

Wird dies einfach ein OS-Patch sein? Oder gibt es Patches / Hotfixes für SQL Server, die zur Behebung dieser Sicherheitsanfälligkeit erforderlich sind? Welche SQL Server-Versionen werden gepatcht?

In einigen Artikeln wird eine Leistungsbeeinträchtigung von 5 bis 30% prognostiziert, insbesondere in stark virtualisierten Umgebungen. Gibt es eine Möglichkeit, die Auswirkungen auf die Leistung meiner SQL Server vorherzusagen?

BradC
quelle

Antworten:

14

Im Folgenden finden Sie die Sicherheitsempfehlung von Microsoft zu den Sicherheitsanfälligkeiten , denen drei "CVE" -Nummern zugewiesen wurden:

  • CVE-2017-5715 - Branch Target Injection ( "Spectre" )
  • CVE-2017-5753 - Bounds Check Bypass ( "Spectre" )
  • CVE-2017-5754 - Laden des Rogue-Datencaches ( "Meltdown" )

Die Microsoft-KB, wie sich diese Sicherheitsanfälligkeiten auf SQL Server auswirken, wird aktiv aktualisiert, sobald neue Informationen verfügbar werden:

KB 4073225: SQL Server-Anleitung zum Schutz vor Sicherheitsanfälligkeiten in spekulativen Ausführungsseitenkanälen .

Die genaue Empfehlung von Microsoft hängt von Ihrer Konfiguration und Ihrem Geschäftsszenario ab. Weitere Informationen finden Sie in der KB. Wenn Sie beispielsweise auf Azure hosten, ist keine Aktion erforderlich (die Umgebung ist bereits gepatcht). Wenn Sie jedoch Anwendungen in gemeinsam genutzten virtuellen oder physischen Umgebungen mit möglicherweise nicht vertrauenswürdigem Code hosten, sind möglicherweise andere Maßnahmen erforderlich.

SQL-Patches sind derzeit für die folgenden betroffenen SQL-Versionen verfügbar:

Diese SQL Server-Patches schützen vor CVE 2017-5753 ( Spectre: Bounds Check Bypass ).

Zum Schutz vor CVE 2017-5754 ( Meltdown: Rogue Data Cache Load ) können Sie das virtuelle Kernel- Adressschatten (KVAS) unter Windows (über eine Registrierungsänderung) oder die Linux-Kernel- Seitentabellenisolation (KPTI) unter Linux (über einen Patch von Ihrem Computer) aktivieren Linux-Distributor).

Zum Schutz vor CVE 2017-5715 ( Spectre: Branch Target Injection ) können Sie den Hardware-Support für Branch Target Injection (IBC) über eine Registrierungsänderung sowie ein Firmware-Update von Ihrem Hardwarehersteller aktivieren .

Beachten Sie, dass KVAS, KPTI und IBC für Ihre Umgebung möglicherweise nicht erforderlich sind. Dies sind die Änderungen mit den größten Auswirkungen auf die Leistung (Schwerpunkt Mine):

Microsoft empfiehlt allen Kunden, aktualisierte Versionen von SQL Server und Windows zu installieren. Aufgrund von Microsoft-Tests von SQL-Workloads sollte dies nur geringfügige Auswirkungen auf die Leistung vorhandener Anwendungen haben. Es wird jedoch empfohlen, diese vor der Bereitstellung in einer Produktionsumgebung zu überprüfen.

Microsoft hat die Auswirkungen von KVAS (Kernel Virtual Address Shadowing), KPTI (Kernel Page Table Indirection) und IBC (Branch Target Injection Mitigation) auf verschiedene SQL-Workloads in verschiedenen Umgebungen gemessen und festgestellt, dass einige Workloads erheblich beeinträchtigt sind. Es wird empfohlen, die Auswirkungen der Aktivierung dieser Funktionen auf die Leistung zu überprüfen, bevor Sie sie in einer Produktionsumgebung bereitstellen. Wenn die Leistungseinbußen durch das Aktivieren dieser Funktionen für eine vorhandene Anwendung zu hoch sind, können Kunden in Betracht ziehen, ob das Isolieren von SQL Server von nicht vertrauenswürdigem Code, der auf demselben Computer ausgeführt wird, eine bessere Minderung für ihre Anwendung darstellt.


Spezifische Anleitung für Microsoft System Center Configuration Manager (SCCM): Zusätzliche Anleitung zum Verringern der Sicherheitsanfälligkeiten im spekulativen Ausführungsseitenkanal ab dem 08. Januar 2018 .


Verwandte Blog-Beiträge:

LowlyDBA
quelle