作为 SQL Server DBA，我需要了解有关崩溃/幽灵漏洞的哪些信息？

以下是 Microsoft 针对这些漏洞的安全公告，这些漏洞已分配了三个“CVE”编号：

• CVE-2017-5715 - 分支目标注入（“Spectre”）
• CVE-2017-5753 - 边界检查绕过（“幽灵”）
• CVE-2017-5754 - 恶意数据缓存加载（“Meltdown”）

随着新信息的出现，正在积极更新有关这些漏洞如何影响 SQL Server 的 Microsoft KB：

KB 4073225：防止推测执行侧通道漏洞的 SQL Server 指南。

Microsoft 的具体建议取决于您的配置和业务场景，详情请参阅 KB。例如，如果您在 Azure 上托管，则无需执行任何操作（环境已修补）。但是，如果您在共享虚拟或物理环境中使用可能不受信任的代码托管应用程序，则可能需要其他缓解措施。

SQL 补丁目前可用于以下受影响的 SQL 版本：

• SQL Server 2008：2008 SP4 GDR
• SQL Server 2008R2：2008R2 SP3 GDR
• SQL Server 2012：2012 SP3 CU、2012 SP3 GDR、2012 SP4 GDR
• SQL Server 2014：2014 SP2 GDR，2014 SP2 CU
• SQL Server 2016：2016 CU7 SP1、2016 GRD SP1、2016 CU、2016 GDR、2016 SP1 的CU7
• SQL Server 2017：2017 GRD，2017 CU3 RTM，2017 CU3

这些 SQL 服务器补丁可防止 CVE 2017-5753（幽灵：边界检查绕过）。

为了防止 CVE 2017-5754 ( Meltdown: Rogue data cache load )，您可以在 Windows 上启用内核虚拟地址阴影(KVAS)（通过注册表更改）或在 Linux 上启用Linux 内核页表隔离(KPTI)（通过您的补丁程序） Linux 发行商）。

为了防止 CVE 2017-5715（Spectre：分支目标注入），您可以通过注册表更改和硬件制造商的固件更新来启用分支目标注入缓解硬件支持(IBC)。

请注意，您的环境可能不需要 KVAS、KPTI 和 IBC，这些是对性能影响最大的更改（强调我的）：

Microsoft 建议所有客户安装 SQL Server 和 Windows 的更新版本。根据 Microsoft 对 SQL 工作负载的测试，这对现有应用程序的性能影响应该可以忽略不计，但我们建议您在部署到生产环境之前进行验证。

微软测量了内核虚拟地址阴影 (KVAS)、内核页表间接 (KPTI) 和分支目标注入缓解 (IBC) 对各种环境中的各种 SQL 工作负载的影响，并发现一些工作负载显着下降。我们建议您在部署到生产环境之前验证启用这些功能对性能的影响。如果启用这些功能对现有应用程序的性能影响太大，客户可以考虑将 SQL Server 与运行在同一台机器上的不受信任的代码隔离开来，是否可以更好地缓解他们的应用程序。

Microsoft System Center Configuration Manager (SCCM) 特定指南： 自 2018 年 1 月 8 日起缓解推测执行侧通道漏洞的附加指南。

相关博文：

• Brent Ozar：用于 Meltdown 和 Spectre 攻击的 SQL Server 补丁
• SQLHA：不好的、可怕的处理器缺陷和 SQL Server 部署——几乎你需要知道的一切
• Thomas LaRock：防止 Meltdown 和 Spectre 攻击的 SQL Server 指南
• Glenn Berry：针对 Meltdown 和 Spectre 漏洞利用的 Microsoft SQL Server 更新
• Glenn Berry：在 Windows 中检查您的 Meltdown 和 Spectre 缓解状态
• Aaron Bertrand：SQL Server 2017 的最新版本（为 CU3 收集的信息和链接）
• Joey D'Antoni：幽灵和崩溃：它们如何影响 SQL Server？