Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Обобщена информация

Microsoft е наясно с нови публично оповестени класове на уязвимости по-долу, наречени "спекулативни атаки при страничен канал", които оказват влияние върху много модерни процесори и операционни системи. Това включва Intel, AMD и ARM. Забележка Този проблем засяга и други системи, като например Android, Chrome, iOS и MacOS. Ето защо съветваме клиентите да търсят указания от тези доставчици.

Microsoft издаде няколко актуализации за смекчаване на тези уязвимости. Предприехме действия и за осигуряване на нашите услуги в облака. Вижте следващите раздели за повече информация.

Microsoft не получи никаква информация, за да покаже, че тези уязвимости са използвани за атакуване на клиенти в момента. Microsoft продължава да работи в тясно сътрудничество с отраслови партньори, включително производители на чип, хардуерни OEM производители и доставчици на приложения, за да защити клиенти. За да получите всички налични защити, хардуер или фърмуер и актуализации на софтуера, са задължителни. Това включва микрокод от OEM устройства и в някои случаи актуализира антивирусния софтуер. За повече информация относно уязвимости вижте Microsoft Security КОНСУЛТАТИВНИЯ ADV180002. За общи насоки за смекчаване на тази степен на уязвимост вижте указания за смекчаване на уязвимости в спекулативен канал за изпълнение

Microsoft публикува указания за ADV190013-Microsoft за смекчаване на уязвимостта от микроархитектурни данни в май 2019. SQL Server няма конкретни кръпки за защита за проблема, описан в ADV190013. Можете да намерите указания за среда, засегнати от ADV190013, в раздела препоръки на тази статия. Имайте предвид, че това консултиране се прилага само за процесори Intel.

Как да получите и инсталирате актуализацията

Тази актуализация е налична и чрез Windows Server Update Services (WSUS) или уеб сайта на каталога на Microsoft Update.Забележка: тази актуализация няма да се изтегли и инсталира автоматично чрез Windows Update.

Налични SQL лепенки

Към момента на публикацията ще бъдат налични следните актуализирани SQL Server компилации за изтегляне:

Издание за обслужване

4057122 описание на актуализацията на защитата за SQL Server 2017 GDR: 3 януари 2018 4058562 описание на актуализацията на защитата за SQL Server 2017 RTM CU3:3 януари 2018 4058561 описание на актуализацията на защитата за SQL Server 2016 SP1 CU7:3 януари 2018 4057118 описание на актуализацията на защитата за SQL server 2016 GDR SP1:3 януари 2018 4058559 описание на актуализацията на защитата за SQL Server 2016:6 януари 2018 4058560 описание на актуализацията на защитата за SQL Server 2016 GDR: 6 януари 2018 4057117 описание на актуализацията на защитата за SQL Server 2014 SP2 CU10:16 януари 2018 4057120 описание на актуализацията на защитата за SQL Server 2014 за ГДР: 16 януари 2018 4057116 описание на актуализацията на защитата за SQL Server 2012 SP4 GDR : 12 януари 2018 4057115 описание на актуализацията на защитата за sql Server 2012 SP3 за ГДР: януари, 2018 4057121 описание на актуализацията на защитата за SQL Server 2012 SP3 CU: януари, 20184057114Описание на актуализацията на защитата за SQL Server 2008 SP4 GDR: 6 януари2018 4057113 описание на актуализацията на защитата за SQL сървър на 2008 R2 GDR: 6 януари 2018

Настоящият документ ще се актуализира, когато са налични допълнителни актуализирани компилации.

Забележки

  • Ние издадохме всички необходими актуализации за SQL Server, за да намалим уязвимостта на "спектър" и "срив" за спекулативното изпълнение. Microsoft не е наясно с допълнителното излагане на уязвимости от страна на "фантоми" и "сривове" за компоненти, които не са посочени в секцията "налични SQL кръпки".

  • Всички следващи SQL Server 2014, SQL Server 2016 и сервизните пакети на SQL Server 2017 и сборните актуализации ще съдържат корекциите. Например SQL Server 2016 SP2 вече съдържа корекциите фантом и срив.

  • За компилации на Windows вижте следните указания за най-новата информация за наличните компилации на Windows:

    Ръководство за уязвимости при каналите на Windows Server

    Ръководство за Windows Server за уязвимости при извадки за микроархитектурни данни

    За Линукс компилации се свържете с вашия доставчик на Линукс, за да намерите най-новите актуализирани компилации за вашата Линукс дистрибуция.

  • За да се справите със уязвимостта на спектъра и срива възможно най-бързо, доставката на тези актуализации на SQL Server е направена първоначално за центъра за изтегляния на Microsoft като основен модел за доставяне. Въпреки че тези актуализации ще бъдат доставени чрез Microsoft Update през март, ви препоръчваме засегнатите потребители да инсталират актуализацията сега, без да чакат да бъдат достъпни чрез Microsoft Update.

Поддържани версии на SQL Server, които са засегнати

Microsoft препоръчва всички потребители да инсталират актуализациите на SQL Server (изброени по-долу) като част от нормалния цикъл на корекция.  Клиенти, които изпълняват SQL Server в защитена среда, където точките на разширяване са блокирани и всички кодове на трети страни, които се изпълняват на един и същ сървър, са надеждни и одобрени, не трябва да бъдат засегнати от този проблем.

Следните версии на SQL Server имат налични актуализации, когато се изпълняват на x86 и x64 процесорни системи:

  • SQL Server 2008

  • SQL Server 2008R2

  • SQL Server 2012

  • SQL Server 2014

  • SQL Server 2016

  • SQL Server 2017

Не смятаме, че IA64 (Microsoft SQL Server 2008) е засегната. Услугата Microsoft аналитичен Platform (APS) се базира на Microsoft SQL Server 2014 или Microsoft SQL Server 2016, но не е засегната конкретно. Някои общи насоки за APS е посочено по-нататък в тази статия.

Препоръки

Таблицата по-долу описва какво трябва да направят клиентите в зависимост от средата, в която се изпълнява SQL Server, и каква функция се използва. Microsoft препоръчва да разположите поправки с помощта на обичайните си процедури, за да тествате нови двоични файлове, преди да ги разположите в производствени среди.

Номер на сценарий

Описание на сценария

Препоръки за приоритет

1

SQL база данни на Azure и склад за данни

Не се изисква действие (вижте тук за подробности).

2

SQL Server се изпълнява на физически компютър или виртуална машина

И никое от следните условия не е вярно:

  • Друго приложение, което изпълнява потенциално враждебен код, се хоства съвместно на един и същ компютър

  • Използват се интерфейси за разширяване на SQL Server с ненадежден код (Вижте списък по-долу)

 

Microsoft препоръчва инсталирането на всички актуализации на операционната система to защита срещу CVE 2017-5753.

Microsoft препоръчва инсталиране на всички актуализации на операционната система , за да се защитят от Микроархитектурни данни за уязвимости при извадки (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 и CVE-2018-11091).

Разрешаването на виртуалния адрес на ядрото (KVAS) и непреките възможности за смекчаване на хардуерната поддръжка (IBP) не са необходими (вижте по-долу). Пачове на SQL Server трябва да се инсталират като част от нормалните правила за корекция при следващото планирано актуализиране на прозореца.

Можете да продължите да набирате нишки на този хост.

3

SQL Server се изпълнява на физически компютър или виртуална машина

А друго приложение, което изпълнява потенциално враждебен код, се хоства съвместно на един и същ компютър

Интерфейсите за разширяване на SQL Server се използват с ненадежден код (Вижте списък по-долу)

 

 

 

Microsoft препоръчва инсталирането на всички актуализации на операционната система за защита срещу CVE 2017-5753.

Microsoft препоръчва инсталиране на всички актуализации на операционната система , за да се защитят от Микроархитектурни данни за уязвимости при извадки (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 и CVE-2018-11091).

Приложете кръпки за SQL Server (вижте по-долу). Това предпазва от CVE 2017-5753.

Препоръчително е да се даде възможност за затъмняване на виртуалния адрес на ядрото (KVAS) (вижте по-долу). Това предпазва от CVE 2017-5754.

Разрешаването на поддръжката за намаляване на непреките клонове (IBP) е силно препоръчително (вижте по-долу). Това предпазва от CVE 2017-5715

Препоръчваме ви да забраните използването на резба на хоста, ако се използват процесори Intel.

4

SQL Server се изпълнява на физически компютър

А друго приложение, което изпълнява потенциално враждебен код, не се поддържа съвместно на един и същ компютър

А интерфейсът за разширяване на SQL Server се използва за изпълнение на надежден код. Примери 

  • CLR събрания, които са прегледани/одобрени за използване в производството

  • Свързани сървъри, на които се доверявате, че изпълнявате проверени заявки, на които се доверявате

Непримерни:

  • Произволни скриптове за R/Python, свалени от интернет

  • UNtrusted CLR двоични файлове от трета страна

Microsoft препоръчва инсталирането на всички актуализации на операционната система to защита срещу CVE 2017-5753.

Microsoft препоръчва инсталиране на всички актуализации на операционната система , за да се защитят от Микроархитектурни данни за уязвимости при извадки (CVE-2018-12126, CVE-2018-12130, Cve-2018-12127 и CVE-2018-11091).

Препоръчително е да се даде възможност за затъмняване на виртуалния адрес на ядрото (KVAS) (вижте по-долу). Това предпазва от CVE 2017-5754.

Разрешаването на поддръжката за намаляване на непреките клонове (IBP) е силно препоръчително (вижте по-долу). Това предпазва от CVE 2017-5715

Препоръчваме ви да забраните използването на резби в подобна среда, ако се използват Intel processors.

Пачове на SQL Server трябва да се инсталират като част от нормалните правила за корекция при следващото планирано актуализиране на прозореца.

5

SQL Server се изпълнява на операционна система Linux.

Приложете актуализации за Linux OS от вашия доставчик на дистрибуция.

Приложете кръпки за Linux SQL Server (вижте по-долу). Това предпазва от CVE 2017-5753.

Вижте по-долу за указания дали да се разреши изолацията на таблицата на страница с Linux kernel (KPTI) и IBP (CVEs CVE 2017-5754 и CVE 2017-5715).

Препоръчваме ви да забраните използването на тези нишки в подобна среда, ако за сценарий #3 и #4 споменати по-горе са използвани процесори за Intel.

6

Система за платформа на анализ (APS)

Въпреки че APS не поддържа функциите за разширяване от SQL Server, описани в този бюлетин, се препоръчва да инсталирате кръпките на Windows на устройството APS. Активирането на KVAS/IBP не е задължително.

Консултативни резултати

Съветваме клиентите да оценяват представянето на тяхното конкретно приложение при прилагане на актуализации.

Microsoft съветва всички клиенти да инсталират актуализирани версии на SQL Server и Windows. Това трябва да има незначителен ефект за производителността на съществуващите приложения, базиран на изпробването на SQL натоварвания на Microsoft. Препоръчваме ви обаче да изпробвате всички актуализации, преди да ги разположите в среда за производство.

Microsoft е оценил ефекта на функцията за сянка на виртуалния адрес на ядрото (KVAS), на страницата за пренасочване на таблиците на ядрото (KPTI) и на непреките обучения (IBP) при различните SQL натоварвания в различни среди и намери някои натоварвания със значително влошаване. Препоръчваме ви да изпробвате ефекта от производителността, за да разрешите тези функции, преди да ги разположите в производствена среда. Ако ефектът на производителността на разрешаването на тези функции е твърде висок за съществуващо приложение, можете да помислите дали изолирането на SQL Server от ненадежден код, който се изпълнява на един и същ компютър, е по-ефективно намаляване на вашето приложение.

Повече информация за ефекта на производителността от поддръжката за намаляване на непреките клонове на предвиждания хардуер (IBP) е подробна тук.

Microsoft ще актуализира този раздел с повече информация, когато е свободна.

Разрешаване на скрит виртуален адрес на ядрото (KVAS в Windows) и пренасочване на таблица в ядрото (KPTI за Линукс)

KVAS и KPTI намаляват спрямо CVE 2017-5754, известни също като "срив" или "вариант 3" в GPZ разкриване.

SQL Server се изпълнява в много среди: физически компютри, VMs в обществени и частни облачни среди, в Linux и Windows Systems. Независимо от околната среда, програмата се изпълнява на компютър или VM. Наберете това границатаза защита.

Ако целият код на границата има достъп до всички данни в тази граница, не е необходимо никакво действие. Ако това не е така, границата се казва, че е мулти-клиент. Откритите уязвимости правят възможно за всеки код, дори с намалени разрешения, които се изпълняват във всеки процес на тази граница, за прочитане на всички други данни в рамките на тази граница. Ако има някакъв процес на границата, на който се изпълнява ненадежден код, той може да използва тези уязвимости за прочитане на данни от други процеси. Този ненадежден код може да е ненадежден, като се използва механизмът за разширяване на SQL Server или други процеси на границата, на която се изпълнява ненадежден код.

За да защитите срещу ненадежден код в граница за много клиенти, използвайте един от следните методи

  • Премахнете ненадежден код. За повече информация как да направите това за механизми за разширяване на SQL Server, вижте по-долу. За да премахнете ненадежден програмен код от други приложения на една и съща граница, обикновено са необходими специфични за приложението промени. Например разделяне на две VMs.

  • Включване на KVAS или KPTI. Това ще има ефект на производителност. За повече информация, както е описано по-горе в тази статия.

За повече информация как да разрешите KVAS за Windows, вижте KB4072698. За повече информация как да разрешите KPTI в Linux, консултирайте се с вашия дистрибутор на вашата операционна система.

Пример за сценарий, при който KVAS или KPTI се препоръчва силно

Локален физически компютър, който хоства SQL Server като акаунт, който не е системен администратор, позволява на потребителите да подават произволни скриптове за R, за да преминават през SQL Server (който използва вторични процеси за изпълнение на тези скриптове извън sqlservr. exe). Необходимо е да разрешите на KVAS и KPTI да защитават срещу разкриване на данни в процеса на Sqlservr. exe и да защитават срещу разкриване на данни в рамките на системната памет на ядрото. Забележка Механизмът за разширяване в SQL Server не се счита за небезопасен само защото се използва. Тези механизми могат да бъдат използвани безопасно в SQL Server при условие че всеки зависимост е разбран и надежден от клиента. Освен това има и други продукти, които са изградени въз основа на SQL, за които може да са необходими механизми за разширяване, за да работят правилно. Например опакованото приложение, което е вградено в началото на SQL Server, може да изисква свързана сървърна или CLR съхранена процедура, за да работи правилно. Microsoft не препоръчва да ги премахнете като част от смекчаването. Вместо това прегледайте всяко използване, за да определите дали този код е разбран и надежден като начално действие. Тези насоки се предоставят, за да се помогне на клиентите да решат дали са в ситуация, в която трябва да разрешат KVAS. Това е така, защото това действие има значителни последствия за производителността.

Разрешаване на поддръжката на хардуер за индиректни клонове (IBP)

IBP смекчава срещу CVE 2017-5715, известна още като една половина от спектъра или "вариант 2" в GPZ разкриване.

Инструкциите в тази статия, за да разрешите KVAS в Windows, също позволява IBP. Въпреки това IBP изисква актуализация на фърмуера от производителя на вашия хардуер. В допълнение към инструкциите в KB4072698 , за да разрешите защитата в Windows, клиентите трябва да получават и инсталират актуализации от производителя на хардуера.

Пример за сценарий, при който IBP силно се препоръчва

Локален компютърен компютър хоства SQL Server заедно с приложение, което позволява на ненадеждните потребители да качват и изпълняват произволен код на JavaScript. Ако допуснем, че има поверителни данни в SQL базата данни, IBP силно се препоръчва като мярка за защита срещу разкриване на информация за процеса.

В случаите, в които IBP поддръжката за хардуер не е налична, Microsoft препоръчва отделяне на ненадеждни процеси и надежден процес към различни физически компютри или виртуални машини.

Linux потребители: Обърнете се към вашия дистрибутор на вашата операционна система за информация как да защитите от вариант 2 (CVE 2017-5715).

Пример за сценарий, при който силно се препоръчва намаляване на уязвимости при извадки от микроархитектурни данни

Разгледайте пример, при който локален сървър изпълнява два екземпляра на SQL Server, хостващ два различни бизнес приложения на две различни виртуални машини на един и същ физически хост. Приемете, че тези два бизнес приложения не трябва да могат да четат данни, съхранявани в екземплярите на SQL Server. Хакер, който е използвал успешно тези уязвимости, може да може да чете привилегировани данни през границите на доверието, като използва ненадежден код, който се изпълнява на компютъра като отделен процес или ненадежден код, изпълнен чрез механизма за разширяване на SQL Server (вижте раздела по-долу за опциите за разширяване в SQL Server). В споделена среда за ресурси (като например съществува в някои конфигурации на услугите в облака) тези уязвимости може да позволят на една виртуална машина да получи неправилна информация за достъп от друга. За сценариите, които не са в режим на преглеждане на самостоятелните системи, атакуващият трябва да има нужда от предварителен достъп до системата или да изпълни специално изработено приложение на целевата система, за да се използват тези уязвимости.

Ненадежден механизъм за разширяване на SQL Server

SQL Server съдържа много функции и механизми за разширяване. Повечето от тези механизми са забранени по подразбиране. Ние обаче съветваме клиентите да преглеждат всеки екземпляр за производство за използване на функцията за разширяване. Препоръчваме всеки от тези функции да бъде ограничен до минималния набор от двоични файлове и че потребителите ще ограничат достъпа, за да предотвратят изпълнението на произволен програмен номер на един и същ компютър като SQL Server. Съветваме клиентите да определят дали да се доверяват на всеки двоичен, както и да забраняват или премахват ненадеждни двоични файлове.

  • SQL CLR събрания

  • Пакети r и Python, които преминават през механизма за външни скриптове или се изпълняват от самостоятелната машина за обучение на R/Machine на един и същ физически компютър като SQL Server

  • Точки за разширяване на SQL агент, изпълнявани на един и същ физически компютър като SQL Server (ActiveX скриптове)

  • Доставчици на OLE бази данни, които не са на Microsoft, използвани в свързани сървъри

  • Разширени процедури за съхранение, които не са на Microsoft

  • COM обекти, извършени в рамките на сървъра (достъпни чрез sp_OACreate)

  • Програми, изпълнени чрез xp_cmdshell

Предпазни мерки при използването на ненадежден код в SQL Server:

Казус за сценарий/употреба

Смекчаващи или предложени стъпки

Изпълняван е SQL Server с активиран CLR (sp_configure "CLR поддръжка"; 1)

  1. Ако е възможно, забранете CLR, ако не се изисква във вашето приложение, за да намалите риска от ненадежден код, който е зареден в SQL Server

  1. (SQL Server 2017 +) Ако все още е необходимо CLR във вашето приложение, разрешете само определени събрания да бъдат заредени с помощта на функцията за стриктна защита на CLR (стриктна защита), като използвате sys.sp_add_trusted_assembly (sys.sp_add_trusted_assembly (преговаряй SQL))

  1. Обмислете дали CLR кодът може да бъде мигриран до T-SQL еквивалентен код

  1. Проверете разрешенията за защита, за да заключите сценариите, в които могат да бъдат използвани базирани на CLR операции. Ограничаване на СЪЗДАВАНЕТО на СЪБРАНИЕто, СЪБРАНИЕто за външен достъп и небезопасен набор разрешение до минималния набор от потребители или пътища за кодове за забраняване на зареждането на нови събрания в съществуващо, разгърнато приложение.

Изпълняване на външни скриптове за Java/R/Python от SQL Server (sp_configure "разрешени външни скриптове"; 1)

  1. Ако е възможно, забранете възможностите за външни скриптове, ако това не е необходимо във вашето приложение, за да намалите настилката.

  1. (SQL Server 2017 +) Ако е възможно, мигриране на външни скриптове прави точкуване, за да използва основната функция за точкуване вместо (роден точкуване с помощта на функцията за прогнозиране на T-SQL)

  1. Проверете разрешенията за защита, за да заключите сценариите, където могат да бъдат използвани външни скриптове. Limit ИЗПЪЛНЯВА всяко разрешение за външни скриптове към минималния набор от потребители/кодове на пътища, за да не позволите да бъдат изпълнявани произволни скриптове.

Използване на свързани сървъри (sp_addlinkedserver)

  1. Проверете инсталираните доставчици на OLEDB и обмислете премахването на всички ненадеждни доставчици на OLEDB от машината. (Уверете се, че не премахвате доставчици на OLEDB, ако те се използват извън SQL Server на компютъра). Пример за това как се изброяват съществуващите доставчици на OLEDB: OleDbEnumerator. GetEnumerator method (тип)

  1. Преглеждате и премахвате ненужните свързани сървъри от SQL Server (sp_dropserver), за да намалите вероятността всеки ненадежден код да се изпълнява в процеса на sqlservr. exe

  1. Преглед на разрешенията за защита за заключване надолу ПРОМЕНЕТЕ всяко разрешение за СВЪРЗАНИя сървър на минималния брой потребители.

  1. Можете да преглеждате свързани съпоставяния за влизане/идентификационни данни на сървър (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin), за да ограничите кой може да изпълнява операции върху свързани сървъри към минималния набор от потребители/сценарии.

Използване на разширените съхранени процедури (sp_addextendedproc)

Тъй като разширените съхранени процедури се отказват, премахнете всички употреби на тези и не ги използвайте в системите за производство.

Използване на xp_cmdshell за извикване на двоични файлове от SQL Server

Тази функция е изключена по подразбиране. Преглеждайте и ограничавайте всякакво използване на xp_cmdshell, за да се позовете на ненадеждни двоични файлове. Можете да управлявате достъпа до тази крайна точка чрез sp_configure, както е описано тук:

Опция за конфигуриране на xp_cmdshell сървъра

 

Използване на COM обекти чрез sp_OACreate

Тази функция е изключена по подразбиране. COM обекти, които се извикват чрез sp_OACreate изпълнение на код, инсталиран на сървъра. Преглеждайте подобни обаждания за ненадеждни двоични файлове. Можете да проверите настройките чрез sp_configure, както е описан тук:

Опция за конфигуриране на сървъра за OLE автоматизация

 
Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×