Ось рекомендація Microsoft щодо безпеки вразливих місць, якій було присвоєно три номери "CVE":
- CVE-2017-5715 - ін'єкція цільової гілки ( "Привид" )
- CVE-2017-5753 - Обхідний контрольний байпас ( "Привид" )
- CVE-2017-5754 - Rogue кеш даних завантаження ( "Meltdown" )
Microsoft KB щодо того, як ці вразливості впливають на SQL-сервер, активно оновлюється, коли з'являється нова інформація:
KB 4073225: Керівництво SQL Server щодо захисту від уразливих сторонніх каналів спекулятивного виконання .
Точна рекомендація Майкрософт буде залежати від вашої конфігурації та бізнес-сценарію. Детальні відомості див. У KB Наприклад, якщо ви хостите на Azure, наприклад, ніяких дій не потрібно (середовище вже зафіксовано). Якщо ви розміщуєте програми у віртуальних або фізичних середовищах з потенційно недовірливим кодом, можуть знадобитися інші пом'якшення.
На даний момент виправлення SQL доступні для таких версій, на які впливає SQL:
Ці патчі SQL-сервера захищають від CVE 2017-5753 ( Spectre: Bounds check bypass ).
Для захисту від CVE 2017-5754 ( Meltdown: Rogue кеш даних завантаження ) ви можете увімкнути затінення віртуальної адреси ядра (KVAS) у Windows (через зміну реєстру) або ізоляцію таблиць сторінки ядра Linux (KPTI) в Linux (через патч від вашого Дистрибутор Linux).
Для захисту від CVE 2017-5715 ( Spectre: цільове введення ), ви можете ввімкнути технічну підтримку пом'якшення функцій Branch Target Injection (IBC) шляхом зміни реєстру, а також оновлення мікропрограмного забезпечення від виробника обладнання.
Зауважте, що KVAS, KPTI та IBC можуть не потрібні вашому оточенню, і це зміни, які мають найважливіший вплив на продуктивність (міна акценту):
Microsoft радить усім клієнтам встановлювати оновлені версії SQL Server та Windows. Це повинно мати незначний мінімальний вплив на продуктивність існуючих додатків на основі тестування Microsoft робочих навантажень SQL, однак ми рекомендуємо перевірити їх перед тим, як розміщуватись у виробничому середовищі.
Microsoft виміряла вплив затінення віртуальної адреси ядра (KVAS), непрямості стороннього столу ядра (KPTI) та пом'якшення впорядкування цільової ін'єкції для відділення (IBC) на різні навантаження SQL у різних середовищах та виявила деякі навантаження з значним погіршенням. Рекомендуємо перевірити вплив продуктивності включення цих функцій перед тим, як розгорнути у виробниче середовище. Якщо ефективність включення цих функцій занадто висока для існуючої програми, клієнти можуть розглянути питання про те, чи є відокремлення SQL Server від ненадійного коду, який працює на одній машині, краще послаблення для їх застосування.
Специфічні вказівки Microsoft System Center Configuration Manager (SCCM):
Додаткові вказівки для зменшення вразливих сторонніх каналів спекулятивного виконання станом на 08 січня 2018 року .
Пов’язані повідомлення в блозі: