Samenvatting
Microsoft is op de hoogte van een nieuwe openbaar gemaakte klasse van de zwakke plekken, zoals ' speculatieve scripts van het kanaal ', die van invloed zijn op een heleboel moderne processors en besturingssystemen. Dit geldt ook voor Intel, AMD en ARM. Opmerking Dit probleem is ook van invloed op andere systemen, zoals Android, Chrome, iOS en MacOS. We raden klanten daarom aan om richtlijnen van deze leveranciers te verzamelen.
Microsoft heeft diverse updates uitgebracht om deze beveiligingsproblemen op te lossen. We hebben ook actie ondernomen om onze cloudservices te beveiligen. Zie de volgende secties voor meer informatie.
Microsoft heeft op dit moment nog geen informatie ontvangen dat deze kwetsbaarheden werden gebruikt om klanten aan te vallen. Microsoft blijft samen met branche partners werken, waaronder chips, hardware en toepassingsleveranciers voor de bescherming van klanten. Voor alle beschikbare bescherming zijn de hardware-of firmware-en software-updates vereist. Dit omvat microcode van apparaat-OEM’s en in sommige gevallen updates voor antivirus- software. Zie Microsoft Security adviseren ADV180002voor meer informatie over dit probleem. Zie de richtlijnen voor het beperken van speculatieve scripts voor het oplossen van problemen met het risico voor de ondersteuning van deze beveiligings klasse.
Microsoft publiceerde ADV190013-Microsoft-richtlijnen voor het oplossen van problemen met de beveiliging van microarchitecturale gegevens in mei 2019. SQL Server heeft geen specifieke beveiligingspatches voor het probleem dat wordt beschreven in ADV190013. In de sectie aanbevelingen van dit artikel vindt u instructies voor omgevingen die worden beïnvloed door ADV190013. Houd er rekening mee dat dit advies uitsluitend van toepassing is op Intel-processors.
De update downloaden en installeren
Deze update is ook beschikbaar via WSUS (Windows Server Update Services) of de website van de Microsoft Update-catalogus.Opmerking: deze update wordt niet automatisch gedownload en geïnstalleerd via Windows Update.
Beschikbare SQL-patches
Op het moment van de publicatie zijn de volgende bijgewerkte SQL Server-builds beschikbaar om te downloaden:
Service Release
4057122 beschrijving van de beveiligingsupdate voor SQL Server 2017 GDR: 3 januari 2018 4058562 beschrijving van de beveiligingsupdate voor SQL Server 2017 RTM CU3:3 januari 2018 4058561 beschrijving van de beveiligingsupdate voor SQL Server 2016 SP1 CU7:3 januari 2018 4057118 beschrijving van de beveiligingsupdate voor SQL server 2016 GDR SP1:3 januari 2018 4058559 beschrijving van de beveiligingsupdate voor sql server 2016 cu: update van 6 januari 2018 4058560 beschrijving van de beveiligingsupdate voor SQL Server 2016 GDR: 6 januari 2018 4057117 beschrijving van de beveiligingsupdate voor SQL Server 2014 SP CU10:16 januari 2018 4057120-beschrijving van de beveiligingsupdate voor SQL Server 2014 sp2 GDR: 16 januari 2018 4057116 beschrijving van de beveiligingsupdate voor SQL Server 2012 SP4 GDR : 12 januari 2018 4057115 beschrijving van de beveiligingsupdate voor sql server 2012 SP3 GDR: januari, 2018 4057121 beschrijving van de beveiligingsupdate voor SQL Server 2012 sp3 CU: januari 2018 4057114 beschrijving van de beveiligingsupdate voor SQL Server 2008 SP4 GDR: 6 januari 2018 4057113 beschrijving van de beveiligingsupdate voor SQL server 2008 R2 SP3 GDR: 6 januari 2018
Dit document wordt bijgewerkt wanneer er extra bijgewerkte versies beschikbaar zijn.
Opmerkingen
-
We hebben alle benodigde updates voor SQL Server vrijgegeven om te zorgen voor ' Spectre ' en ' Meltdown ' speculatieve scripts van het side kanaal. Microsoft is niet op de hoogte van enige extra blootstelling van ' Spectre ' en ' Meltdown ' ' niet-opgeloste scripts voor onderdelen die niet worden vermeld in de sectie ' beschikbare SQL patches '.
-
Alle volgende SQL Server-2014, SQL Server 2016 en SQL Server 2017-service pakketten en cumulatieve updates zullen de fixes bevatten. SQL Server 2016 SP2 bevat bijvoorbeeld al de fixes Spectre en Meltdown.
-
Voor Windows-builds raadpleegt u de volgende richtlijnen voor de meest recente informatie over beschikbare Windows-versies:
Windows Server Guidance voor Spectre/Meltdown side Channel-zwakke punten
Windows Server Guidance voor Microsoft coarchitecturale beveiligingsproblemen
Neem voor Linux-builds contact op met uw Linux-leverancier voor de meest recente updates voor uw specifieke Linux-distributie.
-
Ter vergemakkelijking van de Spectre en Meltdown zijn zo snel mogelijk de levering van deze SQL Server-updates in eerste instantie naar het Microsoft Download centrum als het primaire bezorgings model. Hoewel deze updates worden geleverd via Microsoft Update in maart, raden we u aan om de update nu te installeren zonder te hoeven wachten tot ze beschikbaar zijn via Microsoft Update.
Ondersteunde SQL Server-versies die worden beïnvloed
Microsoft raadt aan dat alle klanten de SQL Server-updates (hieronder weergegeven) installeren als onderdeel van de regelmatige patching. Klanten waarbij SQL Server wordt uitgevoerd in een beveiligde omgeving waar uitbreidbare punten worden geblokkeerd en alle code van derden die op dezelfde server wordt uitgevoerd, wordt vertrouwd en goedgekeurd.
De volgende versies van SQL Server hebben beschikbare updates wanneer ze op x86-en x64-processor systemen worden uitgevoerd:
-
SQL Server 2008
-
SQL Server 2008R2
-
SQL Server 2012
-
SQL Server 2014
-
SQL Server 2016
-
SQL Server 2017
U wordt niet aangeraden IA64 (Microsoft SQL Server 2008) van invloed te zijn. Microsoft analytic platform service (APS) is gebaseerd op Microsoft SQL Server 2014 of Microsoft SQL Server 2016, maar dit is niet specifiek van toepassing. Enkele algemene richtlijnen voor APS worden verderop in dit artikel weergegeven.
Aanbevelen
In de volgende tabel vindt u een overzicht van de gebruikers, afhankelijk van de omgeving waarin SQL Server wordt uitgevoerd en welke functionaliteit wordt gebruikt. Microsoft raadt u aan oplossingen te implementeren met behulp van de gebruikelijke procedures voor het testen van nieuwe binaire bestanden voordat u ze implementeert in de productieomgevingen.
Scenario nummer |
Scenario beschrijving |
Aanbevelingen voor prioriteit |
1 |
Azure SQL-database en gegevensmagazijn |
U hoeft geen actie te ondernemen (Zie hier voor meer informatie). |
3 |
SQL Server wordt uitgevoerd op een fysieke computer of virtuele machine EN geen van de volgende voorwaarden is waar:
|
Microsoft adviseert alle updates voor het besturingssysteem te installeren to tegen CVE 2017-5753. Microsoft adviseert alle besturingssysteem updates te installeren om te beschermen tegen beveiligingsproblemen met de microarchitecturale beveiliging van de gegevens (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 en CVE-2018-11091). Het inschakelen van Virtual Address shadowing (KVAS) en indirecte Branch voorspelling Hardware Support (IBP) zijn niet vereist (zie hieronder). SQL Server-patches moeten als onderdeel van het normale patchings beleid in het volgende geplande update venster worden geïnstalleerd. U kunt HyperThreading blijven inzetten op een dergelijke host. |
driefasig |
SQL Server wordt uitgevoerd op een fysieke computer of virtuele machine EN een andere toepassing die een mogelijk onveilige code uitvoert, wordt gezamenlijk op dezelfde computer gehost EN/of SQL Server Extensibility-interfaces worden gebruikt met niet-vertrouwde code (zie hieronder voor lijst)
|
Microsoft adviseert alle besturingssysteem updates te installeren om te beschermen tegen CVE 2017-5753. Microsoft adviseert alle besturingssysteem updates te installeren om te beschermen tegen beveiligingsproblemen met de microarchitecturale beveiliging van de gegevens (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 en CVE-2018-11091). SQL Server-patches toepassen (zie hieronder). Dit beschermt tegen CVE 2017-5753. Het inschakelen van Virtual Address shadowing (KVAS) voor kernel wordt ten zeerste aanbevolen (zie hieronder). Dit beschermt tegen CVE 2017-5754. Het wordt ten zeerste aangeraden ondersteuning te bieden voor ondersteuning voor het beperken van een Predictive Branch (IBP) (zie hieronder). Dit beschermt tegen CVE 2017-5715 We raden u aan dat u HyperThreading op de host uitschakelt als er Intel-processors worden gebruikt. |
3 |
SQL Server wordt uitgevoerd op een fysieke computer EN een andere toepassing die een mogelijk vijandelijke code uitvoert, wordt niet gezamenlijk gehost op dezelfde computer. EN SQL Server Extensibility-interfaces worden gebruikt voor het uitvoeren van vertrouwde code. Voorbeelden:
Niet-voorbeelden:
|
Microsoft adviseert alle updates voor het besturingssysteem te installeren to tegen CVE 2017-5753. Microsoft raadt alle besturingssysteem updates te installeren om te beschermen tegen beveiligingsproblemen met microarchitectuur van microarchitectuur (CVE-2018-12126, CVE-2018-12130, Cve-2018-12127 en CVE-2018-11091). Het inschakelen van Virtual Address shadowing (KVAS) voor kernel wordt ten zeerste aanbevolen (zie hieronder). Dit beschermt tegen CVE 2017-5754. Het wordt ten zeerste aangeraden ondersteuning te bieden voor ondersteuning voor het beperken van een Predictive Branch (IBP) (zie hieronder). Dit beschermt tegen CVE 2017-5715 U wordt aangeraden HyperThreading op een dergelijke omgeving uit te schakelen als er Intel-processors worden gebruikt. SQL Server-patches moeten als onderdeel van het normale patchings beleid in het volgende geplande update venster worden geïnstalleerd. |
vijf |
SQL Server wordt uitgevoerd voor Linux OS. |
Updates van Linux OS van uw distributie provider toepassen. Linux SQL Server-patches toepassen (zie hieronder). Dit beschermt tegen CVE 2017-5753. Zie hieronder voor meer informatie over het inschakelen van tabel isolatie voor de Linux-kernel van de pagina (KPTI) en IBP (CVEs CVE 2017-5754 en CVE 2017-5715). U wordt aangeraden HyperThreading te delegeren op een dergelijke omgeving als er gebruik wordt gemaakt van Intel-processors voor de scenario-#3 en #4 hierboven genoemd. |
zes |
Analytics platform System (APS) |
Alhoewel de APS geen ondersteuning biedt voor de uitbreidingsfuncties van SQL Server die worden vermeld in dit Bulletin, wordt u aangeraden de Windows-patches op het APS-toestel te installeren. Het inschakelen van KVAS/IBP is niet vereist. |
Prestatie advies
Klanten wordt aangeraden de prestaties van hun specifieke toepassing te evalueren wanneer ze updates toepassen.
Microsoft adviseert alle klanten om bijgewerkte versies van SQL Server en Windows te installeren. Dit moet een minimaal prestatie effect hebben voor bestaande toepassingen, op basis van Microsoft tests van SQL-werkbelastingen. We raden u echter aan alle updates te testen voordat u deze implementeert in een productieomgeving.
Microsoft heeft het effect van Virtual Address shadowing (KVAS) voor de kernel van de kernel gemeten (tabel omleiding voor de kernel van de kernel) en indirecte vertakkings voorspelling (IBP) op diverse SQL-belastingen in diverse omgevingen, en er werden enkele belastingen gevonden met significante degradatie. We raden u aan het prestatie effect van het inschakelen van deze functies te testen voordat u ze implementeert in een productieomgeving. Als het prestatie effect van het inschakelen van deze functies te hoog is voor een bestaande toepassing, kunt u overwegen om te zien of SQL Server wordt geïsoleerd van niet-vertrouwde codes die op dezelfde computer worden uitgevoerd een betere beperking heeft voor uw toepassing.
U vindt hiermeer informatie over het effect van de ondersteuning van de support voor de ondersteuning van indirecte Branch-hardware (IBP).
Microsoft zal deze sectie bijwerken met meer informatie wanneer deze beschikbaar is.
Virtuele adres van kernel inschakelen (KVAS in Windows) en tabel met kernel-pagina's voor tabellen (KPTI op Linux)
KVAS-en KPTI-beperkingen voor CVE 2017-5754, ook bekend als ' Meltdown ' of ' variant 3 ', in de verGPZings informatie.
SQL Server wordt uitgevoerd in diverse omgevingen: fysieke computers, Vm's in openbare en privécloud-omgevingen, op Linux-en Windows-systemen. Ongeacht de omgeving wordt het programma uitgevoerd op een computer of VM. Bel deze beveiligings grens.
Als alle code in de grens toegang heeft tot alle gegevens in die grens, hoeft u geen actie te ondernemen. Als dit niet het geval is, dan is de Boundary bedoeld voor Meervoudige Tenant. De beveiligingsproblemen zijn er mogelijk voor elke code, zelfs met beperkte machtigingen, uitgevoerd in een proces dat grenst, om alle andere gegevens binnen die grenzen te lezen. Als er in de Boundary een niet-vertrouw bare code wordt uitgevoerd, kan deze beveiligingsproblemen deze zwakke plekken gebruiken om gegevens uit andere processen te lezen. Dit niet-vertrouwde programmacode kan niet worden vertrouwd met SQL Server Extensibility-mechanismen of andere processen in de grens waarop niet-vertrouwde code wordt uitgevoerd.
Gebruik een van de volgende methoden om te beschermen tegen niet-vertrouwde code in een boundary met meerdere tenants
-
De niet-vertrouwde code verwijderen. Zie hieronder voor meer informatie over hoe u dit kunt doen voor SQL Server Extensibility-mechanismen. Als u niet-vertrouwde code wilt verwijderen uit andere toepassingen binnen dezelfde grenzen, zijn toepassingsspecifieke wijzigingen meestal nodig. Voorbeeld van het scheiden van twee Vm's.
-
Schakel KVAS of KPTI in. Dit heeft een prestatie-effect. Zie voor meer informatie, zoals eerder in dit artikel is beschreven.
Zie KB4072698voor meer informatie over het inschakelen van KVAS voor Windows. Voor meer informatie over het inschakelen van KPTI voor Linux raadpleegt u de Distributor van uw besturingssysteem.
Een voorbeeld van een scenario waarbij KVAS of KPTI ten zeerste wordt aanbevolen
Een on-premises fysieke computer waarop SQL Server als een niet-systeembeheerdersaccount wordt gehost, kan klanten willekeurige R-scripts indienen voor de uitvoering via SQL Server (met secundaire processen voor het uitvoeren van deze scripts buiten Sqlservr. exe). Het is noodzakelijk om KVAS en KPTI in te schakelen en te beschermen tegen het vrijgeven van gegevens binnen het SQLSERVR. exe-proces en om te voorkomen dat er gegevens worden vrijgegeven in het kernelgeheugen van het systeem. Opmerking Een uitbreidings mechanisme in SQL Server wordt niet automatisch als onveilig beschouwd omdat dit wordt gebruikt. U kunt deze mechanismen veilig gebruiken binnen SQL Server, mits elk van de afhankelijkheden door de klant worden begrepen en vertrouwd. Daarnaast zijn er andere producten die zijn gebouwd op basis van SQL waarvoor Uitbreidingsmechanismen nodig zijn om correct te werken. Voor een juiste werking van een ingepakte toepassing die op SQL Server is gebouwd, is het mogelijk dat een gekoppelde server of een CLR opgeslagen procedure is vereist. Microsoft adviseert dit niet te verwijderen als onderdeel van de beperking. In plaats daarvan kunt u elke gebruik bekijken om te bepalen of deze code is begrepen en wordt vertrouwd als de eerste actie. Deze richtlijnen worden geboden om klanten te helpen bepalen of ze in een situatie zijn waarin ze KVAS kunnen inschakelen. Dit komt doordat deze actie aanzienlijke gevolgen heeft voor de prestaties.
Ondersteuning van ondersteuning voor indirecte vertakking voor dicteren (IBP)-hardware
IBP wordt beperkt tegen CVE 2017-5715, ook wel een helft van Spectre of ' variant 2 ' genoemd in de GPZ-informatie.
De instructies in dit artikel voor het inschakelen van KVAS voor Windows zorgt ook voor IBP. Voor IBP is echter ook een firmware-update van de hardwarefabrikant vereist. Naast de instructies in KB4072698 om beveiliging in Windows in te schakelen, moeten klanten updates van de hardwarefabrikant downloaden en installeren.
Een voorbeeld van een scenario waarin IBP sterk wordt aanbevolen
Een on-premises fysieke computer host SQL Server naast een toepassing waarmee niet-vertrouwde gebruikers willekeurige JavaScript-code kunnen uploaden en uitvoeren. Als er sprake is van vertrouwelijke gegevens in de SQL-database, wordt IBP ten zeerste aangeraden als een maateenheid ter bescherming tegen proces-to-process informatie informatie.
In situaties waarin de ondersteuning van IBP-hardware niet wordt vermeld, adviseert Microsoft niet-vertrouwde processen en een vertrouwd proces op verschillende fysieke computers of virtuele machines.
Linux-gebruikers: Neem contact op met de Distributor voor het besturingssysteem voor informatie over hoe u zich kunt beschermen tegen variant 2 (CVE 2017-5715).
Een voorbeeld van een scenario waarin beperkingen voor de beveiligingsbeperkingen van de microarchitecturale gegevens sterk worden aanbevolen
Houd rekening met een voorbeeld waarbij een on-premises server twee exemplaren van SQL Server met twee verschillende bedrijfstoepassingen op twee verschillende virtuele machines op dezelfde fysieke host uitvoert. Ga ervan uit dat deze twee bedrijfstoepassingen geen gegevens kunnen lezen die zijn opgeslagen in de SQL Server-exemplaren. Een aanvaller die misbruik heeft gemaakt van deze beveiligingslekken, kan geprivilegieerde gegevens in vertrouwens grenzen met behulp van vertrouwens grenzen met behulp van een een afzonderlijk proces of niet-vertrouwde code die wordt uitgevoerd met een SQL Server-uitbreidings mechanisme weergeven. In gedeelde resource omgevingen (zoals in sommige configuraties van cloudservices) kunnen met deze beveiligingsproblemen één virtuele machine onjuiste toegang krijgen tot gegevens van een andere. In niet-Browse scenario's op zelfstandige systemen heeft een aanvaller eerder toegang nodig tot het systeem of een mogelijkheid om een speciaal vervaardigde toepassing uit te voeren op het doelsysteem om deze beveiligingsproblemen op te lossen.
Niet-vertrouwde SQL Server Extensibility-mechanismen
SQL Server bevat diverse functies en mechanismen voor uitbreidbaarheid. De meeste van deze mechanismen zijn standaard uitgeschakeld. We raden klanten echter ook aan om alle productie-exemplaren te bekijken voor gebruik van de functie voor uitbreidbaarheid. We raden u aan dat elk van deze functies beperkt is tot de minimumset van binaire gegevens en dat klanten toegang beperken om te voorkomen dat willekeurige code op dezelfde computer als SQL Server wordt uitgevoerd. We adviseren klanten om te bepalen of ze elk binair moeten vertrouwen, en om niet-vertrouwde binaire bestanden uit te schakelen of te verwijderen.
-
SQL CLR-assembly's
-
R-en Python-pakketten die worden uitgevoerd via het mechanisme voor externe scripts of die worden uitgevoerd vanaf de zelfstandige R/machine learning Studio op dezelfde fysieke computer als SQL Server
-
SQL Agent-uitbreid punten die worden uitgevoerd op dezelfde fysieke computer als SQL Server (ActiveX-scripts)
-
Niet-Microsoft OLE DB-providers die worden gebruikt op gekoppelde servers
-
Niet-Microsoft uitgebreide, opgeslagen procedures
-
COM-objecten die worden uitgevoerd op de server (toegankelijk via sp_OACreate)
-
Programma's die worden uitgevoerd via xp_cmdshell
Minder te doen als u niet-vertrouwde code gebruikt in SQL Server:
Scenario/use case |
Beperkingen of voorgestelde stappen |
SQL Server met CLR ingeschakeld (sp_configure ' CLR enabled ', 1) |
|
Java/R/python extern scripts uitvoeren vanuit SQL Server (sp_configure externe scripts ingeschakeld, 1) |
|
Gekoppelde servers gebruiken (sp_addlinkedserver) |
|
Uitgebreide opgeslagen procedures gebruiken (sp_addextendedproc) |
Aangezien uitgebreide, opgeslagen procedures worden afgeschaft, verwijdert u alle toepassingen en gebruikt u ze niet in productiesystemen. |
Xp_cmdshell gebruiken voor het activeren van binaire gegevens van SQL Server |
Deze functie is standaard uitgeschakeld. Het gebruik van xp_cmdshell controleren en beperken voor het aanroepen van niet-vertrouwde binaire gegevens. U kunt de toegang tot dit eindpunt beheren via sp_configure, zoals hier wordt beschreven: Optie voor xp_cmdshell server configuratie
|
COM-objecten via sp_OACreate |
Deze functie is standaard uitgeschakeld. COM-objecten die worden aangeroepen via sp_OACreate Execute-code die op de server is geïnstalleerd. Bekijk deze oproepen voor niet-vertrouwde binaire gegevens. U kunt de instellingen via sp_configure als volgt controleren: Configuratieoptie server voor OLE-automatiserings procedures
|