Aquí está el Aviso de seguridad de Microsoft sobre las vulnerabilidades, a las que se les han asignado tres números "CVE":
- CVE-2017-5715 - Inyección objetivo ramificada ( "Spectre" )
- CVE-2017-5753 - Bypass de verificación de límites ( "Spectre" )
- CVE-2017-5754: carga de caché de datos no autorizados ( "Meltdown" )
El KB de Microsoft sobre cómo estas vulnerabilidades afectan al servidor SQL se actualiza activamente a medida que se dispone de nueva información:
KB 4073225: Orientación de SQL Server para proteger contra vulnerabilidades de canal lateral de ejecución especulativa .
La recomendación exacta de Microsoft dependerá de su configuración y escenario empresarial, consulte la KB para obtener más detalles. Si aloja en Azure, por ejemplo, no se requiere ninguna acción (el entorno ya está parcheado). Sin embargo, si está alojando aplicaciones en entornos virtuales o físicos compartidos con código potencialmente no confiable, pueden ser necesarias otras mitigaciones.
Los parches SQL están actualmente disponibles para las siguientes versiones SQL afectadas:
Estos parches de servidor SQL protegen contra CVE 2017-5753 ( Spectre: bypass check bypass ).
Para protegerse contra CVE 2017-5754 ( Meltdown: Rogue data cache load ), puede habilitar Kerdo Virtual Address Shadowing (KVAS) en Windows (mediante cambio de registro) o Linux Kernel Page Table Isolation (KPTI) en Linux (a través de un parche desde su Distribuidor de Linux).
Para protegerse contra CVE 2017-5715 ( Espectro: inyección de objetivo de rama ), puede habilitar el soporte de hardware de mitigación de inyección de objetivo de rama (IBC) a través del cambio de registro más una actualización de firmware de su fabricante de hardware.
Tenga en cuenta que KVAS, KPTI e IBC pueden no ser necesarios para su entorno, y estos son los cambios con el impacto de rendimiento más significativo (énfasis mío):
Microsoft aconseja a todos los clientes que instalen versiones actualizadas de SQL Server y Windows. Esto debería tener un impacto insignificante o mínimo en el rendimiento de las aplicaciones existentes basadas en pruebas de Microsoft de cargas de trabajo SQL, sin embargo, recomendamos que valide antes de implementar en un entorno de producción.
Microsoft ha medido el impacto del sombreado de direcciones virtuales de kernel (KVAS), la indirecta de tabla de páginas de kernel (KPTI) y la mitigación de inyección de destino de rama (IBC) en varias cargas de trabajo de SQL en diversos entornos y encontró algunas cargas de trabajo con una degradación significativa. Recomendamos que valide el impacto en el rendimiento de habilitar estas funciones antes de implementar en un entorno de producción. Si el impacto en el rendimiento de habilitar estas características es demasiado alto para una aplicación existente, los clientes pueden considerar si aislar SQL Server del código no confiable que se ejecuta en la misma máquina es una mejor mitigación para su aplicación.
Orientación específica de Microsoft System Center Configuration Manager (SCCM): orientación
adicional para mitigar las vulnerabilidades del canal lateral de ejecución especulativa a partir del 8 de enero de 2018 .
Publicaciones de blog relacionadas: