Como DBA do SQL Server, o que preciso saber sobre as vulnerabilidades de colapso / espectro?

14

Se você não ouviu, recentemente foi descoberto um conjunto de vulnerabilidades relacionadas que afetam praticamente todos os processadores vendidos na última década. Você pode encontrar mais detalhes técnicos sobre as vulnerabilidades de colapso / espectro no InfoSec.SE .

Como um DBA do SQL Server, o que preciso entender sobre isso?

Se não compartilharmos nossos SQL Servers (ou nossos vm farms) com outras empresas, isso ainda é um risco?

Isso será simplesmente um patch do sistema operacional? Ou existem patches / hotfixes disponíveis para o SQL Server que são necessários para solucionar esta vulnerabilidade? Quais versões do SQL Server serão corrigidas?

Alguns artigos estão prevendo um impacto no desempenho de 5 a 30%, especialmente em ambientes altamente virtualizados. Existe alguma maneira de prever qual pode ser o impacto no desempenho dos meus servidores SQL?

BradC
fonte

Respostas:

14

Aqui está o Comunicado de Segurança da Microsoft sobre as vulnerabilidades, às quais foram atribuídos três números "CVE":

  • CVE-2017-5715 - Injeção no alvo da ramificação ( "Spectre" )
  • CVE-2017-5753 - Desvio de verificação de limites ( "Spectre" )
  • CVE-2017-5754 - Carregamento de cache de dados não autorizados ( "Meltdown" )

O Microsoft KB sobre como essas vulnerabilidades afetam o servidor SQL está sendo atualizado ativamente à medida que novas informações se tornam disponíveis:

KB 4073225: Diretrizes do SQL Server para proteção contra vulnerabilidades de canal lateral de execução especulativa .

A recomendação exata da Microsoft dependerá da sua configuração e cenário de negócios; consulte a KB para obter detalhes. Se você estiver hospedando no Azure, por exemplo, nenhuma ação será necessária (o ambiente já está corrigido). Se, no entanto, você estiver hospedando aplicativos em ambientes físicos ou virtuais compartilhados com código potencialmente não confiável, outras atenuações poderão ser necessárias.

Atualmente, os patches SQL estão disponíveis para as seguintes versões SQL impactadas:

Esses patches do SQL Server protegem contra o CVE 2017-5753 ( Spectre: Bounds check bypass ).

Para se proteger do CVE 2017-5754 ( Meltdown: Rogue Data Cache Load ), é possível ativar o KVAS ( Kernel Virtual Address Shadowing ) no Windows (por meio de alteração do registro) ou o KPTI ( Linux Kernel Page Table Isolation ) no Linux (por meio de um patch do seu Distribuidor Linux).

Para se proteger contra o CVE 2017-5715 ( Spectre: Injeção de destino de ramificação ), é possível ativar o suporte de hardware de mitigação de injeção de destino de ramificação (IBC) via alteração do registro, além de uma atualização de firmware do fabricante do hardware.

Observe que KVAS, KPTI e IBC podem não ser necessários para o seu ambiente, e estas são as alterações com o impacto de desempenho mais significativo (ênfase minha):

A Microsoft aconselha todos os clientes a instalar versões atualizadas do SQL Server e Windows. Isso deve ter um impacto negligenciável no desempenho mínimo dos aplicativos existentes, com base nos testes da Microsoft de cargas de trabalho SQL; no entanto, recomendamos que você valide antes de implantar em um ambiente de produção.

A Microsoft mediu o impacto do KVAS (Kernel Virtual Address Shadowing), do KPTI (Kind Page Table Indirection) e do IBC (Branch Target Injection Mitigation) em várias cargas de trabalho SQL em vários ambientes e encontrou algumas cargas de trabalho com degradação significativa. Recomendamos que você valide o impacto no desempenho da ativação desses recursos antes de implantar em um ambiente de produção. Se o impacto no desempenho da ativação desses recursos for muito alto para um aplicativo existente, os clientes poderão considerar se isolar o SQL Server de código não confiável em execução na mesma máquina é uma melhor atenuação para o aplicativo.


Diretriz específica do Microsoft System Center Configuration Manager (SCCM): Diretrizes adicionais para mitigar vulnerabilidades de canal lateral de execução especulativa em 8 de janeiro de 2018 .


Postagens de blog relacionadas:

LowlyDBA
fonte