Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Resumo

A Microsoft está ciente de uma nova classe publicamente divulgada de vulnerabilidades referidas como "ataques de canais laterais especulativos de execução" que afetam muitos processadores e sistemas operativos modernos. Isto inclui a Intel, AMD e ARM. Nota Este problema também afeta outros sistemas, como Android, Chrome, iOS e MacOS. Por isso, aconselhamos os clientes a procurar orientação desses fornecedores.

A Microsoft lançou várias atualizações para ajudar a mitigar estas vulnerabilidades. Também tomámos medidas para proteger os nossos serviços na nuvem. Consulte as seguintes secções para mais informações.

A Microsoft não recebeu nenhuma informação que indique que estas vulnerabilidades tenham sido usadas para atacar clientes neste momento. A Microsoft continua a trabalhar em estreita colaboração com parceiros da indústria, incluindo fabricantes de chips, OEMs de hardware e fornecedores de aplicações, para proteger os clientes. Para obter todas as proteções disponíveis, são necessárias atualizações de hardware ou firmware e software. Isto inclui microcódigo a partir de OEMs do dispositivo e, em alguns casos, atualizações para software antivírus. Para obter mais informações sobre as vulnerabilidades, consulte o Microsoft Security Advisory ADV180002. Para obter orientações gerais para mitigar esta classe de vulnerabilidade, consulte orientação para atenuar vulnerabilidades especulativas de execução de canais laterais

A Microsoft publicou ADV190013 - Microsoft Guidance para mitigar vulnerabilidades de amostragem de dados microarchitetecturais em maio de 2019. O SQL Server não possui quaisquer patches de segurança específicos para o problema descrito no ADV190013. Pode encontrar orientação para ambientes afetados pelo ADV190013 na secção de Recomendações deste artigo. Por favor, note que este aviso se aplica apenas aos Processadores Intel.

Como obter e instalar a atualização

Esta atualização também está disponível através dos Serviços de Atualização do Servidor do Windows (WSUS) ou do website do Microsoft Update Catalog.website. Nota: Esta atualização não será descarregada e instalada automaticamente através do Windows Update.

Patches SQL disponíveis

No momento da publicação, as seguintes construções atualizadas do SQL Server estão disponíveis para download:

Libertação de manutenção

4057122 Descrição da atualização de segurança para SQL Server 2017 GDR: 3 de janeiro de 2018 4058562 Descrição da atualização de segurança para SQL Server 2017 RTM CU3: 3 de janeiro de 2018 2018 4058561 Descrição da atualização de segurança para SQL Server 2016 SP1 CU7: 3 de janeiro de 2018 4057118 Descrição da atualização de segurança para SQL Server 2016 GDR SP1: 3 de janeiro de 2018 4058559 Descrição da atualização de segurança para SQL Server 2016 CU: 6 de janeiro de 2018 2018 4058560 Descrição da atualização de segurança para SQL Server 2016 GDR: 6 de janeiro de 2018 4057117 Descrição da atualização de segurança para SQL Server 2014 SP2 CU10: 16 de janeiro de 2018, 2018 4057120 Descrição da atualização de segurança para SQL Server 2014 SP2 GDR: 16 de janeiro de 2018 4057116 Descrição da atualização de segurança para SQL Server 2012 SP4 GDR : 12 de janeiro de 2018 4057115 Descrição da atualização de segurança para SQL Server 2012 SP3 GDR: janeiro, 2018 4057121 Descrição da atualização de segurança para SQL Server 2012 SP3 CU: janeiro, 2018 4057114 Descrição da atualização de segurança para SQL Server 2008 SP4 GDR: 6 de janeiro de 2018 4057113 Descrição da atualização de segurança para SQL Server 2008 R2 SP3 GDR: 6 de janeiro de 2018

Este documento será atualizado quando estiverem disponíveis construções atualizadas adicionais.

Notas

  • Lançámos todas as atualizações necessárias para o SQL Server para mitigar as vulnerabilidades de execução especulativa de "Spectre" e "Meltdown". A Microsoft não tem conhecimento de qualquer exposição adicional às vulnerabilidades de canais laterais especulativos de execução "Spectre" e "Meltdown" para componentes que não estejam listados na secção "Patches SQL disponíveis".

  • Todos os subsequentes SQL Server 2014, SQL Server 2016 e SQL Server 2017 Service Packs e Cumulações conterão as correções. Por exemplo, o SQL Server 2016 SP2 já contém as correções Spectre e Meltdown.

  • Para as construções do Windows, consulte as seguintes orientações para obter as informações mais recentes sobre as construções disponíveis do Windows:

    Orientação do servidor do Windows para vulnerabilidades de canal lateral Spectre/Meltdown

    Orientação do servidor do Windows para vulnerabilidades de amostragem de dados microarchitecturais

    Para as construções do Linux, contacte o seu fornecedor Linux para encontrar as mais recentes construções atualizadas para a sua distribuição específica do Linux.

  • Para resolver as vulnerabilidades spectre e Meltdown o mais rapidamente possível, a entrega destas atualizações do SQL Server foi feita inicialmente ao Microsoft Download Center como o modelo de entrega principal. Apesar de estas atualizações serem entregues através do Microsoft Update em março, recomendamos que os clientes afetados instalem a atualização agora sem esperar que as atualizações fiquem disponíveis através do Microsoft Update.

Versões suportadas do SQL Server que são afetadas

A Microsoft recomenda que todos os clientes instalem as atualizações do SQL Server (listadas abaixo) como parte do seu ciclo regular de remendos.  Os clientes que executam o SQL Server num ambiente seguro onde os pontos de extensibilidade estão bloqueados e todo o código de terceiros a funcionar no mesmo servidor é confiável e aprovado não deve ser afetado por este problema.

As seguintes versões do SQL Server têm atualizações disponíveis quando funcionam nos sistemas de processadores x86 e x64:

  • SQL Server 2008

  • SQL Server 2008R2

  • SQL Server 2012

  • SQL Server 2014

  • SQL Server 2016

  • SQL Server 2017

Não acreditamos que o IA64 (Microsoft SQL Server 2008) esteja afetado. O Microsoft Analytic Platform Service (APS) baseia-se no Microsoft SQL Server 2014 ou no Microsoft SQL Server 2016, mas não é especificamente afetado. Algumas orientações gerais para a APS são listadas mais tarde neste artigo.

Recomendações

A tabela que se segue descreve o que os clientes devem fazer, dependendo do ambiente em que o SQL Server está em execução e que funcionalidade está a ser utilizada. A Microsoft recomenda que implemente correções utilizando os procedimentos habituais para testar novos binários antes de as implantar em ambientes de produção.

Número de cenário

Descrição do cenário

Recomendações prioritárias

1

Base de Dados Azure SQL e Armazém de Dados

Não são necessárias medidas (consulte aqui para mais detalhes).

2

O SQL Server é executado num computador físico ou numa máquina virtual

E nenhuma das seguintes condições é verdadeira:

  • Outra aplicação que executa código potencialmente hostil é co-hospedada no mesmo computador

  • As interfaces de extensibilidade do SQL Server estão a ser utilizadas com código não fidedificado (ver abaixo para lista)

 

A Microsoft recomenda a instalação de todas as atualizações de SO to protect against CVE 2017-5753.

A Microsoft recomenda a instalação de todas as atualizações de SISTEMA para proteger contra vulnerabilidades de amostragem de dados microarchitetecturais (CVE-2018-12126, CVE-2018-12120 e CVE-2018-11091).

Não são necessários permitir o suporte de hardware de mitigação de endereços virtuais do Kernel (KVAS) e da previsão indireta de ramificação (IBP) (ver abaixo). Os patches do SQL Server devem ser instalados como parte da política normal de remendos na próxima janela de atualização programada.

Podes continuar a aproveitar a hiper-leitura de tal hospedeiro.

3

O SQL Server é executado num computador físico ou numa máquina virtual

E outra aplicação que executa código potencialmente hostil é co-hospedada no mesmo computador

E/OR SQL As interfaces de extensibilidade do servidor estão a ser utilizadas com código não fidedificado (ver abaixo para lista)

 

 

 

A Microsoft recomenda a instalação de todas as atualizações de SO para proteger contra o CVE 2017-5753.

A Microsoft recomenda a instalação de todas as atualizações de SISTEMA para proteger contra vulnerabilidades de amostragem de dados microarchitetecturais (CVE-2018-12126, CVE-2018-12120 e CVE-2018-11091).

Aplicar patches de servidor SQL (ver abaixo). Isto protege contra o CVE 2017-5753.

Ativar o Kernel Virtual Address Shadowing (KVAS) é fortemente recomendado (ver abaixo). Isto protege contra o CVE 2017-5754.

Ativar o suporte de hardware de mitigação da previsão de ramificação indireta (IBP) é fortemente recomendado (ver abaixo). Isto protege contra o CVE 2017-5715

Recomendamos que desative a hiper-leitura do hospedeiro se os processadores Intel estiverem a ser utilizados.

4

SQL Server é executado em um computador físico

E outra aplicação que executa código potencialmente hostil não é co-hospedada no mesmo computador

E as interfaces de extensibilidade do SQL Server estão a ser usadas para executar código TRUSTED. Exemplos: 

  • Conjuntos CLR que tenham sido revistos/aprovados para utilização na produção

  • Servidores ligados em que confia em executar consultas vetadas em que confia

Não-Exemplos:

  • Scripts Arbitrários R/Python descarregados da Internet

  • BináriosCLR de um terceiro

A Microsoft recomenda a instalação de todas as atualizações de SO to protect against CVE 2017-5753.

A Microsoft recomenda a instalação de todas as atualizações de SISTEMA para proteger contra vulnerabilidades de amostragem de dados microarchitetecturais (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 e CVE-2018-11091).

Ativar o Kernel Virtual Address Shadowing (KVAS) é fortemente recomendado (ver abaixo). Isto protege contra o CVE 2017-5754.

Ativar o suporte de hardware de mitigação da previsão de ramificação indireta (IBP) é fortemente recomendado (ver abaixo). Isto protege contra o CVE 2017-5715

Recomendamos desativar a hiper-leitura num ambiente deste tipo se os processadores Intel estiverem a ser utilizados.

Os patches do SQL Server devem ser instalados como parte da política normal de remendos na próxima janela de atualização programada.

5

O SQL Server é executado no Linux OS.

Aplique atualizações linux OS do seu fornecedor de distribuição.

Aplicar patches do Servidor SQL do Linux (ver abaixo). Isto protege contra o CVE 2017-5753.

Consulte abaixo para obter orientações sobre se permite o Isolamento da Tabela de Páginas Linux Kernel (KPTI) e IBP (CVEs CVE 2017-5754 e CVE 2017-5715).

Recomendamos desativar a hiper-leitura num ambiente deste tipo se os processadores Intel estiverem a ser utilizados para #3 de cenário e #4 mencionados acima.

6

Sistema de plataformas de análise (APS)

Embora a APS não suporte as funcionalidades de extensibilidade do SQL Server listadas neste boletim, é aconselhável instalar as correções do Windows no aparelho APS. Não é necessário ativar o KVAS/IBP.

Assessoria de Desempenho

Os clientes são aconselhados a avaliar o desempenho da sua aplicação específica quando aplicam atualizações.

A Microsoft aconselha todos os clientes a instalarem versões atualizadas do SQL Server e do Windows. Isto deve ter um efeito de desempenho negligenciável-ao mínimo nas aplicações existentes, com base nos testes da Microsoft das cargas de trabalho SQL. No entanto, recomendamos que teste todas as atualizações antes de as implementar num ambiente de produção.

A Microsoft mediu o efeito de Kernel Virtual Address Shadowing (KVAS), Kernel Page Table Indirection (KPTI) e Indirect Branch Prediction mitigation (IBP) em várias cargas de trabalho sql em vários ambientes e encontrou algumas cargas de trabalho com degradação significativa. Recomendamos que teste o efeito de desempenho de ativar estas funcionalidades antes de as implementar num ambiente de produção. Se o efeito de desempenho de ativar estas funcionalidades for demasiado elevado para uma aplicação existente, pode considerar se isolar o SQL Server de código não fidedicional que funciona no mesmo computador é uma melhor mitigação para a sua aplicação.

Mais informações sobre o efeito de desempenho do suporte de hardware de mitigação da previsão de ramificação indireta (IBP) são detalhadas aqui.

A Microsoft atualizará esta secção com mais informações quando estiver disponível.

Habilitação de Kernel Virtual Address Shadowing (KVAS in Windows) e Assistente de Tabela de Páginas Kernel (KPTI no Linux)

KVAS e KPTI atenuam o CVE 2017-5754, também conhecido como "Meltdown" ou "variante 3" na divulgação do GPZ.

O SQL Server é executado em muitos ambientes: computadores físicos, VMs em ambientes de nuvem pública e privada, em sistemas Linux e Windows. Independentemente do ambiente, o programa é executado num computador ou VM. Chame a isto o limite desegurança.

Se todos os códigos na fronteira tão bem comuns mentem a todos os dados nessafronteira, não é necessária qualquer ação. Se não for esse o caso, diz-se que o limite é multi-inquilino.. As vulnerabilidades encontradas tornam possível que qualquer código, mesmo com permissões reduzidas, em qualquer processo nesse limite, leia quaisquer outros dados dentro desse limite. Se houver algum processo no código de fronteira que executa código não fidedicordo, pode usar estas vulnerabilidades para ler dados de outros processos. Este código não fidedidos pode ser um código não fidedicordo utilizando mecanismos de extensibilidade do SQL Server ou outros processos na fronteira que estão a executar código não fidedicordo.

Para proteger contra código não fidedidríssquico num limite de vários inquilinos, utilize qualquer um dos seguintes métodos

  • Retire o código não fidedidos. Para obter mais informações sobre como fazê-lo para mecanismos de extensibilidade do SQL Server, consulte abaixo. Para remover código não fidedidido de outras aplicações no mesmo limite, são geralmente necessárias alterações específicas da aplicação. Por exemplo, separar-se em dois VMs.

  • Ligue KVAS ou KPTI. Isto terá um efeito de desempenho. Para mais informações, como descrito anteriormente neste artigo.

Para obter mais informações sobre como ativar o KVAS para windows, consulte KB4072698. Para obter mais informações sobre como ativar o KPTI no Linux, consulte o distribuidor do seu sistema operativo.

Um exemplo de um cenário em que KVAS ou KPTI é fortemente recomendado

Um computador físico no local que acolhe o SQL Server como uma conta de administrador não-sistema permite que os clientes submeta scripts R arbitrários para executar através do SQL Server (que utiliza processos secundários para executar estes scripts fora de sqlservr.exe). É necessário permitir que a KVAS e a KPTI protejam contra a divulgação de dados no âmbito do processo Sqlservr.exe e protejam contra a divulgação de dados dentro da memória do núcleo do sistema. Nota Um mecanismo de extensibilidade dentro do SQL Server não é automaticamente considerado inseguro apenas porque está a ser utilizado. Estes mecanismos podem ser utilizados com segurança no SQL Server desde que cada dependência seja compreendida e fidedigna pelo cliente. Além disso, existem outros produtos que são construídos em cima do SQL que podem exigir mecanismos de extensibilidade para funcionar corretamente. Por exemplo, uma aplicação embalada que é construída em cima do SQL Server pode exigir um servidor ligado ou procedimento de CLR armazenado para funcionar corretamente. A Microsoft não recomenda que as remova como parte da mitigação. Em vez disso, reveja cada utilização para determinar se este código é entendido e confiável como a ação inicial. Esta orientação é fornecida para ajudar os clientes a determinar se estão numa situação em que têm de ativar o KVAS. Isto porque esta ação tem implicações significativas no desempenho.

Permitir o suporte de hardware de previsão de ramificação indireta (IBP)

A IBP atenua contra o CVE 2017-5715, também conhecido como metade da Spectre ou "variante 2" na divulgação do GPZ.

As instruções deste artigo para ativar o KVAS no Windows também permitem o IBP. No entanto, o IBP também requer uma atualização de firmware do seu fabricante de hardware. Além das instruções em KB4072698 para permitir a proteção no Windows, os clientes têm de obter e instalar atualizações do seu fabricante de hardware.

Um exemplo de um cenário em que o IBP é fortemente recomendado

Um computador físico no local está a hospedar o SQL Server ao lado de uma aplicação que permite aos utilizadores não fidedicionais carregar e executar o código JavaScript arbitrário. Assumindo que existem dados confidenciais na base de dados SQL, o IBP é fortemente recomendado como uma medida de proteção contra a divulgação de informação processuá-processa.

Em situações em que o suporte de hardware IBP não está presente, a Microsoft recomenda separar processos não fidedignos e processar de confiança em diferentes computadores físicos ou máquinas virtuais.

Utilizadores do Linux: Contacte o seu distribuidor do sistema operativo para obter informações sobre como proteger contra a Variante 2 (CVE 2017-5715).

Um exemplo de um cenário em que a mitigação das vulnerabilidades de amostragem de dados microarchiteturais é fortemente recomendada

Considere um exemplo onde um servidor no local está executando duas instâncias do SQL Server hospedando duas aplicações de negócio diferentes em duas máquinas virtuais diferentes no mesmo anfitrião físico. Suponha que estas duas aplicações empresariais não devem ser capazes de ler dados armazenados em todas as instâncias do SQL Server. Um intruso que tenha explorado com sucesso estas vulnerabilidades pode ser capaz de ler dados privilegiados através dos limites da confiança, utilizando códigos não confiáveis que correm na máquina como um processo separado ou código não fidediído executado usando um mecanismo de extensibilidade do SQL Server (ver secção abaixo para opções de extensibilidade no SQL Server). Em ambientes de recursos partilhados (como existe em algumas configurações de serviços na nuvem), estas vulnerabilidades podem permitir que uma máquina virtual aceda indevidamente a informações de outra. Em cenários de não navegação em sistemas autónomos, um intruso necessitaria de acesso prévio ao sistema ou de uma capacidade de executar uma aplicação especialmente concebida no sistema alvo para alavancar estas vulnerabilidades.

Mecanismos de extensibilidade do servidor SQL não fidedidos

O SQL Server contém muitas funcionalidades e mecanismos de extensibilidade. A maioria destes mecanismos são desativadas por defeito. No entanto, aconselhamos os clientes a rever cada instância de produção para uso de recursos extensibilidade. Recomendamos que cada uma destas funcionalidades seja restrita ao conjunto mínimo de binários, e que os clientes restringam o acesso para impedir que o código arbitrário seja utilizado no mesmo computador que o SQL Server. Aconselhamos os clientes a determinar se confiam em cada binário e desativam ou removem binários não confiáveis.

  • Conjuntos CLR SQL

  • Pacotes R e Python que percorrem o mecanismo de scripts externos ou funcionam a partir do estúdio autónomo R/Machine Learning no mesmo computador físico que o SQL Server

  • Pontos de extensibilidade do Agente SQL que estão a funcionar no mesmo computador físico que o SQL Server (scripts ActiveX)

  • Fornecedores de DB OLE não microsoft utilizados em Servidores Ligados

  • Procedimentos armazenados não-Microsoft Prolongados

  • Objetos COM executados dentro do servidor (acedidos através de sp_OACreate)

  • Programas executados através de xp_cmdshell

Atenuações a tomar se utilizar código falso no SQL Server:

Caso de cenário/utilização

Mitigações ou passos sugeridos

Funcionamento do SQL Server com CLR ativado (sp_configure 'clr activado', 1)

  1. Se possível, desative o CLR se não for necessário na sua aplicação para reduzir o risco de qualquer código não fidedificado ser carregado no SQL Server

  1. (SQL Server 2017+) Se o CLR ainda for necessário na sua aplicação, permita que apenas conjuntos específicos sejam carregados utilizando a função "CLR Strict Security"(clR strict security)utilizando sys.sp_add_trusted_assembly(sys.sp_add_trusted_assembly (Transact-SQL))

  1. Considere se o código CLR pode ser migrado para o código equivalente T-SQL

  1. Reveja as permissões de segurança para bloquear cenários em que as operações baseadas em CLR podem ser usadas. Limite CONFIGURAR MONTAGEM, CONJUNTO DE ACESSO EXTERNO e AUTORIZAÇÃO DE MONTAGEM INSEGURA para o conjunto mínimo de utilizadores ou caminhos de código para não permitir o carregamento de novos conjuntos numa aplicação existente e implantada.

Executando scripts externos java/R/Python a partir de dentro do SQL Server (sp_configure 'scripts externos activados', 1)

  1. Se possível, desative a capacidade de scripts externos se não for necessário na sua aplicação para reduzir a área da superfície de ataque.

  1. (SQL Server 2017+) Se possível, migrar scripts externos fazendo a pontuação para utilizar a função de pontuação nativa(pontuação nativa utilizando a função PREDICT T-SQL)

  1. Reveja as permissões de segurança para bloquear cenários onde scripts externos podem ser usados. Limite executar qualquer permissão de SCRIPT EXTERNO ao conjunto mínimo de caminhos de utilizadores/código para não permitir que scripts arbitrários sejam executados.

Utilização de Servidores Ligados (sp_addlinkedserver)

  1. Reveja os fornecedores OLEDB instalados e considere a remoção de quaisquer fornecedores OLEDB não fided os seus fornecedores da máquina. (Certifique-se de que não remove os fornecedores OLEDB se forem utilizados fora do SQL Server na máquina). Um exemplo sobre como enumerar os fornecedores OLEDB existentes está aqui: OleDbEnumerator.GetEnumerator Method (Tipo)

  1. Reveja e remova quaisquer servidores ligados não-associados do SQL Server (sp_dropserver) para reduzir a possibilidade de qualquer código não fidedigno ser executado dentro do processo sqlservr.exe

  1. Reveja as permissões de segurança para bloquear qualquer permissão do SERVIDOR LINKED para o número mínimo de utilizadores.

  1. Reveja os mapeamentos de Login/Credenciais do Servidor Ligado (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin) para limitar quem pode executar operações em servidores ligados ao conjunto mínimo de utilizadores/cenários.

Utilizando procedimentos armazenados alargados (sp_addextendedproc)

À medida que os procedimentos armazenados alargados são depreciados, remova todas as utilizações destes e não os utilize em sistemas de produção.

Usando xp_cmdshell para invocar binários do SQL Server

Esta funcionalidade está desligada por defeito. Reveja e restrinja todo o uso de xp_cmdshell para invocar binários não fidedquilicos. Pode controlar o acesso a este ponto final através de sp_configure, conforme descrito aqui:

Opção de configuração do servidor xp_cmdshell

 

Utilização de objetos COM via sp_OACreate

Esta funcionalidade está desligada por defeito. Os objetos COM são invocados através de sp_OACreate código de execução instalado no servidor. Reveja tais pedidos de binários não fidedqui ostários. Pode verificar as definições através de sp_configure, conforme descrito aqui:

Opção de configuração do servidor de procedimentos de automatização ole

 
Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×