Applies ToMicrosoft SQL Server

Sammendrag

Microsoft er oppmerksom på en ny offentliggjort klasse av sikkerhetsproblemene som er referert til som "spekulativ angrep kjøring av side-kanal" som påvirker mange moderne prosessorer og operativsystemer. Dette inkluderer Intel, AMD og ARM.Obs!  Dette problemet påvirker også andre systemer, for eksempel Android, krom, iOS og MacOS. Derfor opplyse vi å søke råd fra disse leverandørene.

Microsoft har gitt ut flere oppdateringer for å redusere disse sikkerhetsproblemene. Vi har også tatt handlingen til å sikre tjenestene våre sky. Se følgende deler for mer informasjon.

Microsoft har ikke mottatt informasjon som tydet på at disse sikkerhetsproblemene er brukt til å angripe kunder på dette tidspunktet. Microsoft fortsetter å arbeide tett sammen med bransjepartnere, inkludert brikke beslutningstakere i forretningslivet, maskinvare OEMer og programleverandører, for å beskytte kundene. Hvis du vil hente alle tilgjengelige beskyttelse, er maskinvaren eller fastvaren og programvaren oppdateringene nødvendige. Dette inkluderer mikrokode fra enheten OEMer og i noen tilfeller oppdateringene for antivirusprogramvaren.Hvis du vil ha mer informasjon om sikkerhetsproblemene, kan du se Microsoft Security Advisory ADV180002. Generelle retningslinjene å begrense sikkerhetsproblemet i denne klassen, kan du se veiledningen for begrensende spekulativ kjøring av side-channel sikkerhetsproblemer

Slik skaffer og installerer du oppdateringen

Denne oppdateringen er også tilgjengelig via Windows Server Update Services (WSUS), eller Microsoft Update-katalogen webområde.Obs! Denne oppdateringen vil ikke lastes ned og installeres automatisk via Windows Update.

Tilgjengelige SQL-oppdateringer

De følgende oppdaterte SQL Server-versjoner er tilgjengelige for nedlasting på tidspunktet for publikasjonen:

Service release

4057122 beskrivelse av sikkerhetsoppdateringen for SQL Server 2017 GDR: 3. januar 2018 4058562 beskrivelse av sikkerhetsoppdateringen for SQL Server 2017 RTM CU3: 3. januar 2018 4058561 beskrivelse av sikkerhetsoppdateringen for SQL Server 2016 SP1 CU7: 3. januar 2018 4057118 beskrivelse av sikkerhetsoppdateringen for SQL Server 2016 GDR SP1: 3. januar 2018 4058559 beskrivelse av sikkerhetsoppdateringen for SQL Server-2016 CU: 6 januar 2018 4058560 beskrivelse av sikkerhetsoppdateringen for SQL Server-2016 GDR: 6 januar 2018 4057117 beskrivelse av sikkerhetsoppdateringen for SQL Server 2014 SP2 CU10: 16 januar 2018 4057120 beskrivelse av sikkerhetsoppdateringen for SQL Server 2014 SP2 GDR: 16 januar 2018 4057116 beskrivelse av sikkerhetsoppdateringen for SQL Server 2012 SP4 GDR: 12 januar 2018 4057115 beskrivelse av sikkerhetsoppdateringen for SQL Server 2012 SP3 GDR: januar, 2018 4057121 beskrivelse av sikkerhetsoppdateringen for SQL Server 2012 SP3 CU: januar, 2018 4057114 beskrivelse av sikkerhetsoppdateringen for SQL Server 2008 SP4 GDR: 6 januar 2018 4057113 beskrivelse av sikkerhetsoppdateringen for SQL Server 2008 R2 SP3 GDR: 6 januar 2018

Dette dokumentet oppdateres når mer oppdaterte versjoner er tilgjengelige.

For Windows-versjoner, kan du se følgende retningslinjer for den nyeste informasjonen om tilgjengelige Windows-versjoner:

Windows Server-veiledning

Kontakt leverandøren for å finne de nyeste oppdaterte versjoner for din spesifikke Linux-distribusjon av Linux for Linux-versjoner.

Obs!  For å løse sikkerhetsproblemene som Spectre og Meltdown som ble raskt som mulig, levering av disse oppdateringene i SQL Server gjort i utgangspunktet på Microsoft Download Center som primær leveringen modellen. Selv om disse oppdateringene vil bli levert via Microsoft Update i mars, anbefaler vi at berørte kundene installerer oppdateringen nå uten å vente for dem å bli tilgjengelig via Microsoft Update.

Støttede versjoner av SQL Server som påvirkes

Microsoft anbefaler at alle kunder installerer oppdateringer for SQL Server (vist nedenfor) som en del av sin vanlige syklus for tidssoneoppdatering.  Kunder som kjører SQL-Server i et sikkert miljø der extensibility poeng er blokkert, og alle tredjeparts-kode som kjører på samme server som er klarert og godkjent burde ikke påvirkes av dette problemet.

Følgende versjoner av SQL Server har tilgjengelige oppdateringer når de kjøres på x86 og x64-prosessor-systemer:

  • Sqlserver 2008

  • SQL Server 2008R2

  • SQLServer 2012

  • SQLServer-2014

  • SQLServer 2016

  • SQLServer 2017

Vi ikke tror at denne IA64 (Microsoft SQL Server 2008) er berørt. Microsoft analytiske plattform Service (AP) er basert på Microsoft SQL Server-2014 eller Microsoft SQL Server-2016, men det er ikke berørt spesielt. Noen generelle råd for APS er oppført senere i denne artikkelen.

Anbefalinger

Følgende tabell vektorene hva kunden må gjøre, er avhengig av miljøet i hvilken SQL-Server kjører, og hva slags funksjonalitet som brukes. Microsoft anbefaler at du distribuerer hurtigreparasjoner med dine vanlige prosedyrer til å teste nye binærfiler før du distribuerer dem til produksjonsmiljøer.

Scenario-nummer

Scenario-beskrivelse

Prioritet-anbefalinger

1

SQL Azure-Database og datalager

Ingen handling er nødvendig (se her for detaljer).

2

SQL Server kjøres på en fysisk eller virtuell maskin

OG ingen av følgende betingelser er oppfylt:

  • Et annet program som utfører potensielt skadelige koden er vertsbasert samtidig på samme datamaskin

  • SQL Server-utvidelsen grensesnitt som brukes med ikke-klarert kode (se under liste)

 

Microsoft anbefaler at du installerer alle OS-oppdateringer. Dette beskytter mot 2017 CVE-5753.

Aktivering av kjernen virtuell adresse skygging (KVAS) og indirekte gren forutsigelse skadereduksjon maskinvarestøtte (IBP) er ikke nødvendig (se nedenfor).SQL Server-oppdateringer skal installeres som en del av normal tidssoneoppdatering policy ved neste planlagte oppdatering-vinduet.

3

SQL Server kjøres på en fysisk eller virtuell maskin

OG et annet program som utfører potensielt skadelige koden er vertsbasert samtidig på samme datamaskin

Og/eller SQL Server-utvidelsen grensesnitt som brukes med ikke-klarert kode (se under liste)

 

 

 

Installer alle OS-oppdateringer

Bruke SQL Server-oppdateringer (se nedenfor). Dette beskytter mot 2017 CVE-5753.

Aktivering av kjernen virtuell adresse skygging (KVAS) anbefales (se nedenfor). Dette beskytter mot CVE 2017 5754.

Aktivering av indirekte gren forutsigelse skadereduksjon maskinvarestøtte (IBP) anbefales (se nedenfor). Dette beskytter mot 2017 CVE-5715

4

SQL Server kjøres på en fysisk datamaskin

OG et annet program som utfører potensielt skadelige koden ligger ikke samtidig på samme datamaskin

OG SQL Server-utvidelsen grensesnitt som brukes til å kjøre kode for KLARERTE. Examples: 

  • CLR-samlinger som er gjennomgått/godkjent for bruk i produksjon

  • Koblede servere du stoler kjører vetted spørringer som du stoler på

Ikke-eksempler:

  • Vilkårlig R/Python-skript som er lastet ned fra Internett

  • U ntrusted CLR binærfiler fra en tredjepart

Installer alle OS-oppdateringer

Aktivering av kjernen virtuell adresse skygging (KVAS) anbefales (se nedenfor). Dette beskytter mot CVE 2017 5754.

Aktivering av indirekte gren forutsigelse skadereduksjon maskinvarestøtte (IBP) anbefales (se nedenfor). Dette beskytter mot 2017 CVE-5715

SQL Server-oppdateringer skal installeres som en del av normal tidssoneoppdatering policy ved neste planlagte oppdatering-vinduet.

5

SQL Server kjøres på Linux OS.

Bruk Linux OS-oppdateringer fra leverandøren din distribusjon.

Bruke Linux SQL Server-oppdateringer (se nedenfor). Dette beskytter mot 2017 CVE-5753.

Nedenfor finner du veiledning om å aktivere Linux kjernen siden tabellen isolasjon (KPTI) og IBP (CVEs 2017 CVE-5754 og CVE-2017-5715).

6

Analytics plattformen System (APS)

Selv om AP ikke støtter funksjonene extensibility fra SQL-Server som er oppført i denne bulletinen, er det anbefales å installere Windows-oppdateringer på APS-aktivering. Det er ikke nødvendig å aktivere KVAS/IBP.

Veiledning for ytelse

Kunder anbefales å evaluere ytelsen til bestemte programmet når de oppdaterer.

Microsoft anbefaler at alle kunder til å installere oppdaterte versjoner av SQL Server og Windows. Dette bør ha en ytelse ubetydelig-til-gir minimal innvirkning på eksisterende programmer, basert på Microsofts testing av arbeidsbelastning for SQL. Vi anbefaler imidlertid at du tester alle oppdateringer før du distribuerer dem til et produksjonsmiljø.

Microsoft har målt effekten av kjernen virtuell adresse skygging (KVAS), kjernen siden tabellen omadressering (KPTI) og indirekte gren forutsigelse skadereduksjon (IBP) på ulike SQL-arbeidsbelastninger i ulike miljøer og funnet noen arbeidsmengder med betydelig Ytelsesreduksjon. Vi anbefaler at du tester virkningen på ytelsen ved å aktivere disse funksjonene før du distribuerer dem i et produksjonsmiljø. Hvis virkningen på ytelsen ved å aktivere disse funksjonene er for høyt for et eksisterende program, kan du vurdere om isolere SQL Server fra ikke-klarerte-kode som kjører på samme datamaskin er en bedre løsning for programmet.

Mer informasjon om ytelse effekten fra indirekte gren forutsigelse skadereduksjon maskinvarestøtte (IBP) er beskrevet her.

Microsoft vil oppdatere denne delen med mer informasjon når den er tilgjengelig.

Aktivering av virtuell kjerneadresse skygging (KVAS i Windows) og kjernen sidetabell omadressering (KPTI på Linux)

KVAS og KPTI redusere mot CVE 2017 5754, også kjent som "Meltdown" eller "variant 3" i GPZ tilgjengeliggjøring av informasjon.

SQL Server kjøres på mange miljøer: fysiske datamaskiner, VMs i offentlige og private cloud-miljøer på Linux og Windows-systemer. Uavhengig av miljøet, kan programmet kjøres på en datamaskin eller VM. Ring denne sikkerhet grensen.

Hvis all kode i grensen har tilgang til alle dataene i denne grensen,, er ingen handling nødvendig. Hvis dette ikke er tilfellet, sies grensen å være flere leier. Sikkerhetsproblemene funnet gjør det mulig for en hvilken som helst kode, selv med redusert tillatelser, kjører i en prosess i denne grensen til å lese andre data i grenselinjen. Hvis det er en prosess i grensen kjører kode som ikke er klarert , kan den bruke disse sikkerhetsproblemene til å lese data fra andre prosesser. Denne ikke-klarert kode kan være ikke-klarert kode ved hjelp av SQL Server extensibility mekanismer eller andre prosesser i grensen som kjører ikke klarert kode.

Bruk en av følgende metoder for å beskytte mot upålitelige koden i en grenselinje for flere leier,

  • Fjerne ikke-klarert kode. Hvis du vil ha mer informasjon om hvordan du gjør dette for SQL Server-utvidelsen mekanismer, se nedenfor. Hvis du vil fjerne ikke-klarert kode fra andre programmer i samme grensen, er programspesifikke endringer vanligvis nødvendig. For eksempel å skille i to VMs.

  • Slå på KVAS eller KPTI. Dette vil ha en ytelseseffekt. Hvis du vil ha mer informasjon, som beskrevet tidligere i denne artikkelen.

Hvis du vil ha mer informasjon om hvordan du aktiverer KVAS for Windows, kan du se KB4072698. Hvis du vil ha mer informasjon om hvordan du aktiverer KPTI for Linux, kan du ta kontakt med din forhandler for operativsystemet.

Et eksempel på et scenario der KVAS eller KPTI anbefales

En lokale fysisk datamaskin som er vert for SQL Server som en ikke-systemet administratorkonto kan kundene sende vilkårlig R-skript gå gjennom SQL-Server (som bruker sekundære prosesser til å kjøre disse skriptene utenfor sqlservr.exe). Det er nødvendig å aktivere KVAS og KPTI for å beskytte mot offentliggjøring av data i Sqlservr.exe-prosessen og beskytte deg mot offentliggjøring av data i kjernen systemminnet.Obs!  En mekanisme for utvidbarhet i SQL Server ikke automatisk regnes som usikre bare fordi den er i bruk. Disse mekanismene kan brukes trygt i SQL Server så lenge hver avhengighet forstått og klarert av kunden. Det finnes også andre produkter som er bygd på toppen av SQL som kan kreve extensibility mekanismer til å fungere riktig. En pakket program som er bygd på SQL Server kan for eksempel kreve en koblet server eller CLR lagret prosedyre for å fungere korrekt.Microsoft anbefaler ikke at du fjerner disse som en del av løsningene. Se gjennom hver brukes til å fastslå om denne koden er forstått og klarert som den første handlingen i stedet. Denne veiledningen er gitt for å hjelpe kundene med å avgjøre om de er i en situasjon der de må aktivere KVAS. Dette er fordi denne handlingen har betydelige konsekvenser.

Aktivering av indirekte gren forutsigelse maskinvarestøtte for skadereduksjon (IBP)

IBP begrenser mot 2017 CVE-5715, også kjent som en halvdel av Spectre eller "variant 2" i GPZ tilgjengeliggjøring av informasjon.

Instruksjonene i denne artikkelen for å aktivere KVAS i Windows gjør det også mulig for IBP. IBP krever også en fastvareoppdatering fra maskinvareprodusenten. I tillegg til instruksjonene i KB4072698 for å aktivere beskyttelse i Windows, må kundene skaffe og installere oppdateringer fra deres maskinvareprodusenten.

Et eksempel på et scenario der IBP anbefales

SQL Server er vert for en fysisk datamaskin lokale ved siden av et program som gjør det mulig for ikke-klarerte brukere å laste opp og kjøre vilkårlig kode i JavaScript. Forutsatt at det finnes som konfidensielle data i SQL-databasen, anbefales IBP som et mål å beskytte mot avsløring av prosess til prosess.

Microsoft anbefaler i situasjoner i hvilket IBP maskinvarestøtte ikke finnes skille uklarert prosesser og klarerte prosess på ulike fysiske datamaskiner eller virtuelle maskiner.

Linux-brukere: Kontakt din forhandler for operativsystemet Hvis du vil ha informasjon om hvordan du beskytter mot Variant 2 (CVE-2017-5715)

Uklarert utvidelse mekanismer for SQL Server

SQL Server inneholder mange funksjoner som utvidbarhet og mekanismer. De fleste av disse mekanismene er deaktivert som standard. Men opplyse vi om å gå gjennom hver forekomst for produksjon for utvidbarhet funksjonen bruk. Vi anbefaler at hver av disse funksjonene være begrenset til det minste settet med binære filer, og at kunder begrense tilgang til å hindre at tilfeldig kode kjøres på samme datamaskin som SQL Server. Vi opplyse å avgjøre om du kan stole på hver binært format, og å deaktivere eller fjerne uklarert binærfilene.

  • SQL CLR-samlinger

  • R og Python-pakker kjører via eksterne skript mekanisme eller kjøre fra frittstående R/maskin Learning studio på samme fysiske datamaskin som SQL Server

  • SQL-Agent extensibility poeng kjører på samme fysiske datamaskin som SQL Server (ActiveX-skript)

  • Enn Microsoft OLE DB-leverandører som er brukt i koblede servere

  • Ikke-Microsoft utvidede lagrede prosedyrer

  • COM-objekter som utføres i en server (gjennom sp_OACreate)

  • Programmer som kjøres gjennom xp_cmdshell

Begrensninger Hvis ved hjelp av ikke-klarert kode i SQL Server:

Scenariet/brukstilfelle

Begrensninger eller foreslåtte trinn

Kjører SQL-Server med CLR aktivert (sp_configure 'clr aktivert', 1)

  1. Deaktiver CLR hvis mulig, hvis det ikke er nødvendig i programmet for å redusere risikoen for ikke-klarerte koder som lastes inn i SQL Server

  1. (SQLServer 2017 +) Hvis CLR er fortsatt nødvendig i programmet, må du aktivere bestemte samlinger lastes "CLR Strict" sikkerhetsfunksjonen (https://docs.microsoft.com/sql/database-engine/configure-windows/clr-strict-security) ved hjelp av sys.sp_add_ trusted_assembly (https://docs.microsoft.com/sql/relational-databases/system-stored-procedures/sys-sp-add-trusted-assembly-transact-sql)

  1. Vurdere om CLR koden kan overføres til tilsvarende T-SQL-kode

  1. Se gjennom sikkerhetstillatelsene for å låse scenarier CLR-baserte operasjoner kan brukes. Grensen opprette ASSEMBLY, ekstern tilgang-SAMLINGEN og USIKRE SAMLINGEN tillatelse til å det minste settet av brukere eller kodebaner til ikke å tillate nye samlinger lastes inn i en eksisterende distribuert program.

Kjører R/Python eksterne skript fra i SQL Server (sp_configure 'eksterne skript aktivert', 1)

  1. Hvis mulig, deaktivere eksterne skript muligheten hvis de ikke trengs i programmet for å redusere angrep overflateområdet.

  1. (SQLServer 2017 +) Hvis mulig, overføre eksterne skript gjør poengsum for å bruke funksjonen for opprinnelig poengsum i stedet (https://docs.microsoft.com/sql/advanced-analytics/sql-native-scoring)

  1. Se gjennom sikkerhetstillatelsene for å låse scenarier hvor eksterne skript kan brukes. Begrense kjøre alle EKSTERNE skript tillatelse til det minste settet med brukere/kodebaner å forby tilfeldig skript i å bli utført.

Ved hjelp av koblede servere (sp_addlinkedserver)

  1. Vurder å fjerne eventuelle ikke-klarerte leverandører av OLEDB fra maskinen gjennomgang installert OLEDB-leverandører. (Pass på at du ikke fjerner OLEDB leverandører hvis de brukes utenfor SQL Server på maskinen). Et eksempel på hvordan du kan nummerere eksisterende OLEDB-leverandører er her: OleDbEnumerator.GetEnumerator-metoden (Type)

  1. Se gjennom og Fjern eventuelle unødvendige koblede servere fra SQL Server (sp_dropserver) for å redusere faren for alle ikke-klarerte koden som utføres i prosessen sqlservr.exe

  1. Se gjennom sikkerhetstillatelsene for å låse endre en KOBLET SERVER tillatelse til minimum antall brukere.

  1. Se gjennom koblede Server pålogging/legitimasjonstilordning (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin) til å begrense hvem som kan utføre operasjoner over koblede servere til det minste settet med brukere/scenarier.

Ved hjelp av utvidede lagrede prosedyrer (sp_addextendedproc)

Som utvidede lagrede prosedyrer er avskrevet, fjerne all bruk av disse, og ikke bruke dem i produksjonssystemer.

Bruke xp_cmdshell til å aktivere binære filer fra SQL Server

Denne funksjonen er deaktivert som standard. Se gjennom og begrense all bruk av xp_cmdshell for å aktivere klarert binærfiler. Du kan styre tilgangen til dette endepunktet via sp_configure, som beskrevet her:

xp_cmdshell Server Konfigurasjonsalternativet

 

Ved hjelp av COM-objekter via sp_OACreate

Denne funksjonen er deaktivert som standard. COM-objekter som aktiveres gjennom sp_OACreate kjøre kode som er installert på serveren. Se gjennom alle slike kall for ikke-klarerte binærfiler. Du kan kontrollere innstillingene via sp_configure, som decribed her:

Konfigurasjonsalternativet for OLE-automatisering-prosedyrer

 

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.