Como um DBA do SQL Server, o que preciso saber sobre as vulnerabilidades de fusão/espectro?

Aqui está o Aviso de Segurança da Microsoft sobre as vulnerabilidades, que receberam três números "CVE":

• CVE-2017-5715 - Injeção de alvo de ramificação ( "Spectre" )
• CVE-2017-5753 - Bypass de verificação de limites ( "Spectre" )
• CVE-2017-5754 - Carga de cache de dados não autorizada ( "Meltdown" )

O KB da Microsoft sobre como essas vulnerabilidades afetam o SQL Server está sendo atualizado ativamente à medida que novas informações são disponibilizadas:

KB 4073225: Orientação do SQL Server para proteção contra vulnerabilidades de canal lateral de execução especulativa .

A recomendação exata da Microsoft dependerá de sua configuração e cenário de negócios, consulte o KB para obter detalhes. Se você estiver hospedando no Azure, por exemplo, nenhuma ação é necessária (o ambiente já está corrigido). Se, no entanto, você estiver hospedando aplicativos em ambientes virtuais ou físicos compartilhados com código potencialmente não confiável, outras mitigações podem ser necessárias.

Atualmente, os patches do SQL estão disponíveis para as seguintes versões do SQL afetadas:

• SQL Server 2008: 2008 SP4 GDR
• SQL Server 2008R2: 2008R2 SP3 GDR
• SQL Server 2012: 2012 SP3 CU , 2012 SP3 GDR , 2012 SP4 GDR
• SQL Server 2014: 2014 SP2 GDR , 2014 SP2 CU
• SQL Server 2016: 2016 CU7 SP1 , 2016 GRD SP1 , 2016 CU , 2016 GDR , CU7 para 2016 SP1
• SQL Server 2017: 2017 GRD , 2017 CU3 RTM , CU3 para 2017

Esses patches do SQL Server protegem contra o CVE 2017-5753 ( Spectre: Bounds check bypass ).

Para proteger contra o CVE 2017-5754 ( Meltdown: Rogue data cache load ), você pode habilitar o Kernel Virtual Address Shadowing (KVAS) no Windows (via alteração do registro) ou Linux Kernel Page Table Isolation (KPTI) no Linux (por meio de um patch do seu distribuidor Linux).

Para se proteger contra o CVE 2017-5715 ( Spectre: Branch target injection ), você pode habilitar o suporte a hardware de mitigação de Branch Target Injection (IBC) por meio de alteração do registro mais uma atualização de firmware do fabricante do hardware.

Observe que KVAS, KPTI e IBC podem não ser necessários para o seu ambiente, e estas são as alterações com o impacto de desempenho mais significativo (ênfase minha):

A Microsoft aconselha todos os clientes a instalarem versões atualizadas do SQL Server e do Windows. Isso deve ter um impacto de desempenho insignificante ou mínimo para aplicativos existentes com base em testes da Microsoft de cargas de trabalho SQL, no entanto, recomendamos que você valide antes de implantar em um ambiente de produção.

A Microsoft mediu o impacto do Kernel Virtual Address Shadowing (KVAS), Kernel Page Table Indirection (KPTI) e Branch Target Injection Mitigation (IBC) em várias cargas de trabalho SQL em vários ambientes e encontrou algumas cargas de trabalho com degradação significativa. Recomendamos que você valide o impacto no desempenho de habilitar esses recursos antes de implantar em um ambiente de produção. Se o impacto no desempenho da habilitação desses recursos for muito alto para um aplicativo existente, os clientes poderão considerar se isolar o SQL Server de um código não confiável em execução na mesma máquina é uma mitigação melhor para seu aplicativo.

Diretrizes específicas do Microsoft System Center Configuration Manager (SCCM): Diretrizes adicionais para mitigar vulnerabilidades de canal lateral de execução especulativa a partir de 08 de janeiro de 2018 .

Postagens de blog relacionadas:

• Brent Ozar: Patches do SQL Server para ataques Meltdown e Spectre
• SQLHA: a falha terrível do processador e as implantações do SQL Server – quase tudo o que você precisa saber
• Thomas LaRock: Orientação do SQL Server para proteção contra ataques Meltdown e Spectre
• Glenn Berry: atualizações do Microsoft SQL Server para explorações Meltdown e Spectre
• Glenn Berry: Verificando seu status de mitigação de fusão e espectro no Windows
• Aaron Bertrand: Builds mais recentes do SQL Server 2017 (informações coletadas e links para CU3)
• Joey D'Antoni: Spectre e Meltdown: como eles afetam o SQL Server?