Como DBA do SQL Server, o que preciso saber sobre as vulnerabilidades de colapso / espectro?

Se você não ouviu, recentemente foi descoberto um conjunto de vulnerabilidades relacionadas que afetam praticamente todos os processadores vendidos na última década. Você pode encontrar mais detalhes técnicos sobre as vulnerabilidades de colapso / espectro no InfoSec.SE .

Como um DBA do SQL Server, o que preciso entender sobre isso?

Se não compartilharmos nossos SQL Servers (ou nossos vm farms) com outras empresas, isso ainda é um risco?

Isso será simplesmente um patch do sistema operacional? Ou existem patches / hotfixes disponíveis para o SQL Server que são necessários para solucionar esta vulnerabilidade? Quais versões do SQL Server serão corrigidas?

Alguns artigos estão prevendo um impacto no desempenho de 5 a 30%, especialmente em ambientes altamente virtualizados. Existe alguma maneira de prever qual pode ser o impacto no desempenho dos meus servidores SQL?

Aqui está o Comunicado de Segurança da Microsoft sobre as vulnerabilidades, às quais foram atribuídos três números "CVE":

• CVE-2017-5715 - Injeção no alvo da ramificação ( "Spectre" )
• CVE-2017-5753 - Desvio de verificação de limites ( "Spectre" )
• CVE-2017-5754 - Carregamento de cache de dados não autorizados ( "Meltdown" )

O Microsoft KB sobre como essas vulnerabilidades afetam o servidor SQL está sendo atualizado ativamente à medida que novas informações se tornam disponíveis:

KB 4073225: Diretrizes do SQL Server para proteção contra vulnerabilidades de canal lateral de execução especulativa .

A recomendação exata da Microsoft dependerá da sua configuração e cenário de negócios; consulte a KB para obter detalhes. Se você estiver hospedando no Azure, por exemplo, nenhuma ação será necessária (o ambiente já está corrigido). Se, no entanto, você estiver hospedando aplicativos em ambientes físicos ou virtuais compartilhados com código potencialmente não confiável, outras atenuações poderão ser necessárias.

Atualmente, os patches SQL estão disponíveis para as seguintes versões SQL impactadas:

• SQL Server 2008: 2008 SP4 GDR
• SQL Server 2008R2: 2008R2 SP3 GDR
• SQL Server 2012: 2012 SP3 CU , 2012 SP3 GDR , 2012 SP4 GDR
• SQL Server 2014: 2014 SP2 GDR , 2014 SP2 CU
• SQL Server 2016: 2016 CU7 SP1 , 2016 GRD SP1 , 2016 CU , 2016 GDR , CU7 para 2016 SP1
• SQL Server 2017: 2017 GRD , 2017 CU3 RTM , CU3 para 2017

Esses patches do SQL Server protegem contra o CVE 2017-5753 ( Spectre: Bounds check bypass ).

Para se proteger do CVE 2017-5754 ( Meltdown: Rogue Data Cache Load ), é possível ativar o KVAS ( Kernel Virtual Address Shadowing ) no Windows (por meio de alteração do registro) ou o KPTI ( Linux Kernel Page Table Isolation ) no Linux (por meio de um patch do seu Distribuidor Linux).

Para se proteger contra o CVE 2017-5715 ( Spectre: Injeção de destino de ramificação ), é possível ativar o suporte de hardware de mitigação de injeção de destino de ramificação (IBC) via alteração do registro, além de uma atualização de firmware do fabricante do hardware.

Observe que KVAS, KPTI e IBC podem não ser necessários para o seu ambiente, e estas são as alterações com o impacto de desempenho mais significativo (ênfase minha):

A Microsoft aconselha todos os clientes a instalar versões atualizadas do SQL Server e Windows. Isso deve ter um impacto negligenciável no desempenho mínimo dos aplicativos existentes, com base nos testes da Microsoft de cargas de trabalho SQL; no entanto, recomendamos que você valide antes de implantar em um ambiente de produção.

A Microsoft mediu o impacto do KVAS (Kernel Virtual Address Shadowing), do KPTI (Kind Page Table Indirection) e do IBC (Branch Target Injection Mitigation) em várias cargas de trabalho SQL em vários ambientes e encontrou algumas cargas de trabalho com degradação significativa. Recomendamos que você valide o impacto no desempenho da ativação desses recursos antes de implantar em um ambiente de produção. Se o impacto no desempenho da ativação desses recursos for muito alto para um aplicativo existente, os clientes poderão considerar se isolar o SQL Server de código não confiável em execução na mesma máquina é uma melhor atenuação para o aplicativo.

Diretriz específica do Microsoft System Center Configuration Manager (SCCM): Diretrizes adicionais para mitigar vulnerabilidades de canal lateral de execução especulativa em 8 de janeiro de 2018 .

Postagens de blog relacionadas:

• Brent Ozar: Patches do SQL Server para ataques de fusão e espectro
• SQLHA: A falha no processador terrível e terrível e as implantações do SQL Server - quase tudo o que você precisa saber
• Thomas LaRock: Orientação do SQL Server para se proteger contra ataques de colapso e espectro
• Glenn Berry: Atualizações do Microsoft SQL Server para explorações de colapso e espectro
• Glenn Berry: Verificando seu status de atenuação de fusão e espectro no Windows
• Aaron Bertrand: Construções mais recentes do SQL Server 2017 (informações e links coletados para CU3)
• Joey D'Antoni: Espectro e colapso: como eles impactam o SQL Server?