นี่คือคำแนะนำด้านความปลอดภัยของ Microsoft เกี่ยวกับช่องโหว่ซึ่งได้รับการกำหนดหมายเลขสาม "CVE":
- CVE-2017-5715 - การฉีดเป้าหมายสาขา ( "Spectre" )
- CVE-2017-5753 - บายพาสการตรวจสอบขอบเขต ( "Spectre" )
- CVE-2017-5754 - โหลดแคชข้อมูล Rogue ( "Meltdown" )
KB ของ Microsoft สำหรับช่องโหว่ที่ส่งผลกระทบต่อเซิร์ฟเวอร์ SQL กำลังได้รับการอัปเดตอย่างแข็งขันเมื่อมีข้อมูลใหม่:
KB 4073225: SQL Server แนะแนวเพื่อป้องกันการดำเนินการเก็งกำไรช่องโหว่ด้านช่องทาง
คำแนะนำที่แน่นอนของ Microsoft จะขึ้นอยู่กับการกำหนดค่าและสถานการณ์ธุรกิจของคุณโปรดอ้างอิง KB สำหรับรายละเอียด หากคุณกำลังโฮสต์บน Azure ไม่จำเป็นต้องดำเนินการใด ๆ (สภาพแวดล้อมได้รับการแก้ไขแล้ว) อย่างไรก็ตามหากคุณกำลังโฮสต์แอพพลิเคชั่นในสภาพแวดล้อมเสมือนหรือทางกายภาพที่ใช้ร่วมกับรหัสที่ไม่น่าเชื่อถืออาจต้องมีการบรรเทาอื่น ๆ
ขณะนี้แพตช์ SQL มีให้สำหรับเวอร์ชัน SQL ที่ได้รับผลกระทบต่อไปนี้:
แพตช์เซิร์ฟเวอร์ SQL เหล่านี้ป้องกัน CVE 2017-5753 ( Spectre: Bounds check bypass )
เพื่อป้องกัน CVE 2017-5754 ( ล่มสลาย: โหลดแคชข้อมูล Rogue ) คุณสามารถเปิดใช้งานKernel Virtual Address Shadowing (KVAS) บน Windows (ผ่านการเปลี่ยนแปลงรีจิสทรี) หรือLinux Kernel Page Table Isolation (KPTI) บน Linux (ผ่านแพตช์จากคุณ ผู้จัดจำหน่าย Linux)
เพื่อป้องกัน CVE 2017-5715 ( อสุรกาย: การฉีดเป้าหมายสาขา ) คุณสามารถเปิดใช้งานการสนับสนุนฮาร์ดแวร์การลดขนาดเป้าหมายการฉีด (IBC) ผ่านการเปลี่ยนแปลงรีจิสตรีและการอัพเดทเฟิร์มแวร์จากผู้ผลิตฮาร์ดแวร์ของคุณ
โปรดทราบว่าอาจไม่จำเป็นต้องใช้ KVAS, KPTI และ IBC สำหรับสภาพแวดล้อมการทำงานของคุณและสิ่งเหล่านี้คือการเปลี่ยนแปลงที่ส่งผลกระทบต่อประสิทธิภาพการทำงานที่สำคัญที่สุด (เหมืองที่เน้น):
Microsoft แนะนำให้ลูกค้าทุกคนติดตั้ง SQL Server และ Windows รุ่นที่ปรับปรุงแล้ว สิ่งนี้ควรมีผลกระทบเล็กน้อยต่อประสิทธิภาพการทำงานที่น้อยที่สุดกับแอปพลิเคชันที่มีอยู่โดยอิงจากการทดสอบปริมาณงาน SQL ของ Microsoft อย่างไรก็ตามเราขอแนะนำให้คุณตรวจสอบความถูกต้องก่อนนำไปใช้กับสภาพแวดล้อมการผลิต
Microsoft ได้วัดผลกระทบของ Kernel Virtual Address Shadowing (KVAS), Kernel Page Table Indirection (KPTI) และ Branch Target Injection Mitigation (IBC) เกี่ยวกับ SQL เวิร์กโหลดต่าง ๆ ในสภาพแวดล้อมที่หลากหลายและพบว่าเวิร์กโหลดบางตัว เราขอแนะนำให้คุณตรวจสอบผลกระทบด้านประสิทธิภาพของการเปิดใช้งานคุณสมบัติเหล่านี้ก่อนที่จะปรับใช้ในสภาพแวดล้อมการผลิต หากผลกระทบด้านประสิทธิภาพของการเปิดใช้งานคุณลักษณะเหล่านี้สูงเกินไปสำหรับแอปพลิเคชันที่มีอยู่ลูกค้าสามารถพิจารณาว่าการแยก SQL Server จากรหัสที่ไม่น่าเชื่อถือที่รันบนเครื่องเดียวกันเป็นการลดผลกระทบที่ดีกว่าสำหรับแอปพลิเคชัน
Microsoft System Center Configuration Manager (SCCM) คำแนะนำที่เฉพาะเจาะจง:
คำแนะนำเพิ่มเติมเพื่อลดช่องโหว่ช่องทางด้านการดำเนินการเก็งกำไรขณะที่ 8 มกราคม 2018
โพสต์บล็อกที่เกี่ยวข้อง: