En tant que DBA SQL Server, que dois-je savoir sur les vulnérabilités de fusion / spectre?
Si vous ne l'avez pas entendu, un ensemble de vulnérabilités connexes ont récemment été découvertes et affectent pratiquement tous les processeurs vendus au cours de la dernière décennie. Vous pouvez trouver plus de détails techniques sur les vulnérabilités de fusion/spectre sur InfoSec.SE .
En tant que DBA SQL Server, que dois-je comprendre à ce sujet?
Si nous ne partageons pas nos serveurs SQL (ou nos batteries de serveurs virtuels) avec d'autres sociétés, est-ce toujours un risque?
Sera-ce simplement un patch OS? Ou existe-t-il des correctifs/correctifs disponibles pour SQL Server qui sont nécessaires pour corriger cette vulnérabilité? Quelles versions de SQL Server seront corrigées?
Certains articles prévoient un impact sur les performances de 5 à 30%, en particulier dans les environnements hautement virtualisés. Existe-t-il un moyen de prédire quel pourrait être l'impact sur les performances de mes serveurs SQL?
Voici le Microsoft Security Advisory sur les vulnérabilités, qui ont reçu trois numéros "CVE":
- CVE-2017-5715 - Injection de cible de branche ( "Spectre")
- CVE-2017-5753 - Contournement de vérification des limites ( "Spectre")
- CVE-2017-5754 - Charge de cache de données escrocs ( "Meltdown")
La base de connaissances Microsoft sur l'impact de ces vulnérabilités sur SQL Server est activement mise à jour à mesure que de nouvelles informations deviennent disponibles:
KB 4073225: SQL Server Guidance to protect against speculative execution side-channel vulnérabilités .
La recommandation exacte de Microsoft dépendra de votre configuration et de votre scénario d'entreprise, veuillez vous reporter à la base de connaissances pour plus de détails. Si vous hébergez sur Azure, par exemple, aucune action n'est requise (l'environnement est déjà corrigé). Cependant, si vous hébergez des applications dans des environnements virtuels ou physiques partagés avec du code potentiellement non fiable, d'autres atténuations peuvent être nécessaires.
Les correctifs SQL sont actuellement disponibles pour les versions SQL impactées suivantes:
- SQL Server 2008: 2008 SP4 GDR
- SQL Server 2008R2: 2008R2 SP3 GDR
- SQL Server 2012: 2012 SP3 C , 2012 SP3 GDR , 2012 SP4 GDR
- SQL Server 2014: 2014 SP2 GDR , 2014 SP2 C
- SQL Server 2016: 2016 CU7 SP1 , 2016 GRD SP1 , 2016 C , 2016 GDR , CU7 pour 2016 SP1
- SQL Server 2017: 2017 GRD , 2017 CU3 RTM , CU3 pour 2017
Ces correctifs SQL Server protègent contre CVE 2017-5753 ( Spectre: Bounds check bypass).
Pour se protéger contre CVE 2017-5754 ( Meltdown: Rogue data cache load), vous pouvez activer Observation d'adresse virtuelle du noyau (KVAS) sous Windows (via modification du registre) ou Isolation de la table des pages du noyau Linux (KPTI) sous Linux (via un correctif de votre distributeur Linux).
Pour se protéger contre CVE 2017-5715 ( Spectre: Branch target injection), vous pouvez activer Branch Prise en charge du matériel d'atténuation de l'injection cible (IBC) via un changement de registre plus une mise à jour du micrologiciel du fabricant de votre matériel.
Notez que KVAS, KPTI et IBC peuvent ne pas être requis pour votre environnement, et ce sont les changements ayant l'impact le plus significatif sur les performances (accent sur le mien):
Microsoft conseille à tous les clients d'installer des versions mises à jour de SQL Server et Windows. Cela devrait avoir un impact négligeable à minimal sur les performances des applications existantes sur la base des tests Microsoft des charges de travail SQL, cependant, nous vous recommandons de valider avant le déploiement dans un environnement de production.
Microsoft a mesuré l'impact de l'observation des adresses virtuelles du noyau (KVAS), de l'indirection de table des pages du noyau (KPTI) et de l'atténuation des injections de branches (IBC) sur diverses charges de travail SQL dans divers environnements et a trouvé certaines charges de travail avec dégradation importante. Nous vous recommandons de valider l'impact sur les performances de l'activation de ces fonctionnalités avant le déploiement dans un environnement de production. Si l'impact sur les performances de l'activation de ces fonctionnalités est trop élevé pour une application existante, les clients peuvent déterminer si isoler SQL Server du code non approuvé exécuté sur la même machine est une meilleure atténuation pour leur application.
Conseils spécifiques à Microsoft System Center Configuration Manager (SCCM): Conseils supplémentaires pour atténuer les vulnérabilités des canaux côté exécution spéculative à partir du 8 janvier 2018 .
Articles de blog associés:
- Brent Ozar: correctifs SQL Server pour les attaques de fusion et de spectre
- SQLHA: la faille de processeur non bonne et terrible et les déploiements de SQL Server - presque tout ce que vous devez savoir
- Thomas LaRock: SQL Server Guidance to Protect Against Meltdown and Specter Attacks
- Glenn Berry: Mises à jour Microsoft SQL Server pour Meltdown et Specter Exploits
- Glenn Berry: Vérification de votre état de fusion et d'atténuation du spectre dans Windows
- Aaron Bertrand: Dernières versions de SQL Server 2017 (informations collectées et liens pour CU3)
- Joey D'Antoni: Spectre et fusion: comment affectent-ils SQL Server?