web-dev-qa-db-fra.com

En tant que DBA SQL Server, que dois-je savoir sur les vulnérabilités de fusion / spectre?

Si vous ne l'avez pas entendu, un ensemble de vulnérabilités connexes ont récemment été découvertes et affectent pratiquement tous les processeurs vendus au cours de la dernière décennie. Vous pouvez trouver plus de détails techniques sur les vulnérabilités de fusion/spectre sur InfoSec.SE .

En tant que DBA SQL Server, que dois-je comprendre à ce sujet?

Si nous ne partageons pas nos serveurs SQL (ou nos batteries de serveurs virtuels) avec d'autres sociétés, est-ce toujours un risque?

Sera-ce simplement un patch OS? Ou existe-t-il des correctifs/correctifs disponibles pour SQL Server qui sont nécessaires pour corriger cette vulnérabilité? Quelles versions de SQL Server seront corrigées?

Certains articles prévoient un impact sur les performances de 5 à 30%, en particulier dans les environnements hautement virtualisés. Existe-t-il un moyen de prédire quel pourrait être l'impact sur les performances de mes serveurs SQL?

14
BradC

Voici le Microsoft Security Advisory sur les vulnérabilités, qui ont reçu trois numéros "CVE":

  • CVE-2017-5715 - Injection de cible de branche ( "Spectre")
  • CVE-2017-5753 - Contournement de vérification des limites ( "Spectre")
  • CVE-2017-5754 - Charge de cache de données escrocs ( "Meltdown")

La base de connaissances Microsoft sur l'impact de ces vulnérabilités sur SQL Server est activement mise à jour à mesure que de nouvelles informations deviennent disponibles:

KB 4073225: SQL Server Guidance to protect against speculative execution side-channel vulnérabilités .

La recommandation exacte de Microsoft dépendra de votre configuration et de votre scénario d'entreprise, veuillez vous reporter à la base de connaissances pour plus de détails. Si vous hébergez sur Azure, par exemple, aucune action n'est requise (l'environnement est déjà corrigé). Cependant, si vous hébergez des applications dans des environnements virtuels ou physiques partagés avec du code potentiellement non fiable, d'autres atténuations peuvent être nécessaires.

Les correctifs SQL sont actuellement disponibles pour les versions SQL impactées suivantes:

Ces correctifs SQL Server protègent contre CVE 2017-5753 ( Spectre: Bounds check bypass).

Pour se protéger contre CVE 2017-5754 ( Meltdown: Rogue data cache load), vous pouvez activer Observation d'adresse virtuelle du noyau (KVAS) sous Windows (via modification du registre) ou Isolation de la table des pages du noyau Linux (KPTI) sous Linux (via un correctif de votre distributeur Linux).

Pour se protéger contre CVE 2017-5715 ( Spectre: Branch target injection), vous pouvez activer Branch Prise en charge du matériel d'atténuation de l'injection cible (IBC) via un changement de registre plus une mise à jour du micrologiciel du fabricant de votre matériel.

Notez que KVAS, KPTI et IBC peuvent ne pas être requis pour votre environnement, et ce sont les changements ayant l'impact le plus significatif sur les performances (accent sur le mien):

Microsoft conseille à tous les clients d'installer des versions mises à jour de SQL Server et Windows. Cela devrait avoir un impact négligeable à minimal sur les performances des applications existantes sur la base des tests Microsoft des charges de travail SQL, cependant, nous vous recommandons de valider avant le déploiement dans un environnement de production.

Microsoft a mesuré l'impact de l'observation des adresses virtuelles du noyau (KVAS), de l'indirection de table des pages du noyau (KPTI) et de l'atténuation des injections de branches (IBC) sur diverses charges de travail SQL dans divers environnements et a trouvé certaines charges de travail avec dégradation importante. Nous vous recommandons de valider l'impact sur les performances de l'activation de ces fonctionnalités avant le déploiement dans un environnement de production. Si l'impact sur les performances de l'activation de ces fonctionnalités est trop élevé pour une application existante, les clients peuvent déterminer si isoler SQL Server du code non approuvé exécuté sur la même machine est une meilleure atténuation pour leur application.


Conseils spécifiques à Microsoft System Center Configuration Manager (SCCM): Conseils supplémentaires pour atténuer les vulnérabilités des canaux côté exécution spéculative à partir du 8 janvier 2018 .


Articles de blog associés:

14
LowlyDBA