En tant que DBA SQL Server, que dois-je savoir sur les vulnérabilités de fusion / spectre?

14

Si vous ne l'avez pas entendu, un ensemble de vulnérabilités connexes ont récemment été découvertes et affectent pratiquement tous les processeurs vendus au cours de la dernière décennie. Vous pouvez trouver plus de détails techniques sur les vulnérabilités de fusion / spectre sur InfoSec.SE .

En tant que DBA SQL Server, que dois-je comprendre à ce sujet?

Si nous ne partageons pas nos serveurs SQL (ou nos batteries de serveurs virtuels) avec d'autres sociétés, est-ce toujours un risque?

Sera-ce simplement un patch OS? Ou existe-t-il des correctifs / correctifs disponibles pour SQL Server qui sont nécessaires pour corriger cette vulnérabilité? Quelles versions de SQL Server seront corrigées?

Certains articles prédisent un impact sur les performances de 5 à 30%, en particulier dans les environnements hautement virtualisés. Existe-t-il un moyen de prédire quel pourrait être l'impact sur les performances de mes serveurs SQL?

BradC
la source

Réponses:

14

Voici l' avis de sécurité de Microsoft sur les vulnérabilités, qui ont reçu trois numéros "CVE":

  • CVE-2017-5715 - Injection de cible de branche ( "Spectre" )
  • CVE-2017-5753 - Contournement de vérification des limites ( "Spectre" )
  • CVE-2017-5754 - Chargement du cache de données escrocs ( "Meltdown" )

La base de connaissances Microsoft sur l'impact de ces vulnérabilités sur SQL Server est activement mise à jour à mesure que de nouvelles informations deviennent disponibles:

KB 4073225: SQL Server Guidance to protect against speculative execution side-channel vulnérabilités .

La recommandation exacte de Microsoft dépendra de votre configuration et de votre scénario d'entreprise, veuillez vous reporter à la base de connaissances pour plus de détails. Si vous hébergez sur Azure, par exemple, aucune action n'est requise (l'environnement est déjà corrigé). Cependant, si vous hébergez des applications dans des environnements virtuels ou physiques partagés avec du code potentiellement non fiable, d'autres atténuations peuvent être nécessaires.

Les correctifs SQL sont actuellement disponibles pour les versions SQL impactées suivantes:

Ces correctifs de serveur SQL protègent contre CVE 2017-5753 ( Spectre: contournement de vérification des limites ).

Pour vous protéger contre CVE 2017-5754 ( Meltdown: chargement de cache de données escrocs ), vous pouvez activer l' observation des adresses virtuelles du noyau (KVAS) sous Windows (via une modification du registre) ou l' isolement de la table des pages du noyau Linux (KPTI) sous Linux (via un correctif de votre Distributeur Linux).

Pour vous protéger contre CVE 2017-5715 ( Spectre: injection de cible de branche ), vous pouvez activer la prise en charge du matériel d'atténuation de l'injection de branche (IBC) via une modification du registre plus une mise à jour du micrologiciel de votre fabricant de matériel.

Notez que KVAS, KPTI et IBC peuvent ne pas être requis pour votre environnement, et ce sont les changements ayant l'impact le plus significatif sur les performances (soulignement le mien):

Microsoft conseille à tous les clients d'installer des versions mises à jour de SQL Server et Windows. Cela devrait avoir un impact négligeable à minimal sur les performances des applications existantes, basé sur les tests Microsoft des charges de travail SQL. Cependant, nous vous recommandons de valider avant de déployer dans un environnement de production.

Microsoft a mesuré l'impact de l'observation d'adresse virtuelle du noyau (KVAS), de l'indirection de table de page du noyau (KPTI) et de l'atténuation de l'injection de cible de branche (IBC) sur diverses charges de travail SQL dans divers environnements et a trouvé certaines charges de travail avec une dégradation importante. Nous vous recommandons de valider l'impact sur les performances de l'activation de ces fonctionnalités avant le déploiement dans un environnement de production. Si l'impact sur les performances de l'activation de ces fonctionnalités est trop élevé pour une application existante, les clients peuvent déterminer si isoler SQL Server du code non approuvé exécuté sur la même machine est une meilleure atténuation pour leur application.


Conseils spécifiques à Microsoft System Center Configuration Manager (SCCM): conseils supplémentaires pour atténuer les vulnérabilités des canaux côté exécution spéculative à partir du 8 janvier 2018 .


Articles de blog associés:

LowlyDBA
la source