KB4073225 — руководство по SQL Server по защите от Spectre, Meltdown и Micro-архитектурных уязвимостей данных

Аннотация

Корпорация Майкрософт знает о новом общедоступном классе уязвимостей, которые называются «межканалными атаками с исполнением», которые влияют на многие современные процессоры и операционные системы. В том числе Intel, AMD и ARM. Примечание. Эта проблема также повлияет на другие системы, такие как Android, Chrome, iOS и MacOS. Поэтому мы рекомендуем клиентам найти рекомендации от этих поставщиков.

Корпорация Майкрософт выпустила несколько обновлений, которые помогут устранить эти уязвимости. Мы также предпринимали меры для защиты наших облачных служб. Для получения дополнительных сведений ознакомьтесь со следующими разделами.

К настоящему времени корпорация Майкрософт не получала никакой информации, которая могла бы указывать на использование этих уязвимостей для атак. Корпорация Майкрософт продолжает работать вместе с отраслевыми партнерами, в том числе производителями микросхем, изготовителями оборудования и поставщиками приложений для защиты пользователей. Чтобы получить все доступные защиты, требуется оборудование, встроенное по и обновление программного обеспечения. В этот список также входят микрокоды от изготовителей устройств, а в некоторых случаях и обновления для антивирусного ПО. Дополнительные сведения об уязвимостях можно найти в статье Советы и рекомендации по безопасности Microsoft ADV180002. Общие рекомендации по устранению уязвимости этого класса можно найти в статье рекомендации по устранению проблем , приводящих к появлении уязвимостей в канале обработки на стороне

Опубликованные ADV190013-рекомендации Майкрософт по устранению уязвимостей, возникающих при выборке данных в микроархитектуре 2019. У SQL Server нет определенных исправлений системы безопасности для проблем, описанных в ADV190013. Руководство по окружению, на которое влияют ADV190013, можно найти в разделе рекомендации в этой статье. Обратите внимание на то, что эта рекомендация применима только к процессорам Intel.

Получение и установка обновления

Это обновление также доступно в службах Windows Server Update Services (WSUS) и на веб-сайтекаталога Центра обновления Майкрософт.Примечание: это обновление не будет скачиваться и устанавливаться автоматически с помощью центра обновления Windows.

Поддерживаемые уязвимые версии SQL Server

Корпорация Майкрософт рекомендует всем пользователям устанавливать обновления SQL Server (указанные ниже) в рамках обычного цикла исправлений.  Пользователи, работающие под управлением SQL Server в безопасной среде, в которых заблокированы точки расширения, и все коды третьих лиц, запущенные на том же сервере, являются надежными и утвержденными, но это не повлияет на этот вопрос.

При работе с процессорами x86 и x64 следующие версии SQL Server имеют доступные обновления:

• SQL Server 2008

• SQL Server 2008R2

• SQL Server 2012

• SQL Server 2014

• SQL Server 2016

• SQL Server 2017

Мы не считаем, что это повлияет на IA64 (Microsoft SQL Server 2008). Служба аналитики платформы Майкрософт (ТД) основана на Microsoft SQL Server 2014 или Microsoft SQL Server 2016, но это не повлияло. Некоторые общие рекомендации для ТД перечислены ниже в этой статье.

Советы

В следующей таблице описаны действия, которые необходимо выполнить пользователям в зависимости от среды, в которой работает SQL Server, и от того, какие функции используются. Корпорация Microsoft рекомендует развертывать исправления, используя стандартные процедуры для тестирования новых двоичных файлов перед их развертыванием в рабочей среде.

Рекомендации по производительности

Пользователям рекомендуется оценивать производительность конкретных приложений при применении обновлений.

Корпорация Microsoft рекомендует всем пользователям устанавливать обновленные версии SQL Server и Windows. Это должно повлиять на производительность существующих приложений на основе тестирования рабочих нагрузок SQL. Однако рекомендуется протестировать все обновления перед развертыванием в рабочей среде.

Корпорация Майкрософт оценивает эффект затенения виртуальных адресов ядра (KVAS), косвенный переход к таблице страниц ядра (KPTI) и смягчение прогноза ветвлений (IBP) в различных рабочих нагрузках SQL в различных средах и обнаружил некоторые рабочие нагрузки с значительным падением. Рекомендуется протестировать влияние этих функций на производительность перед развертыванием в рабочей среде. Если влияние включения этих функций на производительность в существующем приложении слишком велико, вы можете определить, является ли изоляция SQL Server из ненадежного кода, запущенного на том же компьютере, более уязвимой для вашего приложения.

Дополнительные сведения о возможностях, влияющих на производительность по снижению уровня детализации ветвлений (IBP), описаны ниже.

Корпорация Майкрософт будет обновлять этот раздел с дополнительными сведениями о ее доступности.

Включение функции затенения виртуальных адресов ядра (KVAS в Windows) и косвенного использования таблицы страниц ядра (KPTI в Linux)

KVAS и KPTI с помощью CVE 2017-5754, также называемые "Meltdown" или "вариант 3", в раскрытиех GPZ.

SQL Server работает во многих средах: физические компьютеры, виртуальные машины в общедоступных и частных облачных средах на компьютерах с ОС Linux и Windows. Независимо от среды программа запускается на компьютере или виртуальной машине. Назовите эту границубезопасности.

Если весь код на границе имеет доступ ко всем данным в этой границе, никаких действий не требуется. Если это не так, то в качестве границы говорят, что это несколько клиентов. Обнаруженные уязвимости позволяют любому коду даже с ограниченными разрешениями, которые выполняются в любом процессе в этой границе, для чтения данных, находящихся в этой границе. Если в границе с ненадежным кодом имеется какой-либо процесс, он может использовать эти уязвимости для чтения данных из других процессов. Этот ненадежный код может быть ненадежным кодом с помощью механизмов расширяемости SQL Server или других процессов в границе, где выполняется ненадежный код.

Для защиты от ненадежного кода на границе нескольких клиентов используйте один из указанных ниже способов.

• Удалите ненадежный код. Дополнительные сведения о том, как это сделать для механизмов расширения SQL Server, приведены ниже. Для удаления ненадежного кода из других приложений, находясь в той же границе, обычно требуются изменения, специфичные для приложения. Например, можно разделить на две ВМ.

• Включите KVAS или KPTI. Это может повлиять на производительность. Для получения дополнительных сведений, как описано выше в этой статье.

Дополнительные сведения о том, как включить KVAS для Windows, можно найти в статьях KB4072698. Дополнительные сведения о том, как включить KPTI в Linux, можно найти в дистрибьюторе операционной системы.

Пример сценария, в котором настоятельно рекомендуется использовать KVAS или KPTI

Локальный физический компьютер, на котором размещается учетная запись пользователя, не имеющего системного администратора, позволяет пользователям отправлять произвольные сценарии R для выполнения с помощью SQL Server (который использует дополнительные процессы для выполнения этих сценариев вне файла Sqlservr. exe). Необходимо включить KVAS и KPTI, чтобы они были защищены от разглашения данных в процессе Sqlservr. exe и для предотвращения раскрытия данных в памяти ядра системы. Примечание. Механизм расширяемости в SQL Server не считается автоматически небезопасным, так как он используется. Эти механизмы можно безопасно использовать в SQL Server, пока каждая зависимость считается проверенной и доверенной для клиента. Кроме того, существуют другие продукты, основанные на SQL, для правильной работы которых может потребоваться использование механизмов расширения. Например, для правильной работы упакованного приложения, созданного на основе SQL Server, может потребоваться хранимая процедура связанного сервера или среды CLR. Корпорация Microsoft не рекомендует удалять эти данные в рамках устранения проблем. Вместо этого следует проверить каждое использование, чтобы определить, является ли этот код понятным и надежным в качестве начального действия. В этой статье приведены инструкции по определению того, в какой ситуации они должны включать KVAS. Это связано с тем, что это действие может существенно повлиять на производительность.

Поддержка аппаратных средств преодоления прогнозов для косвенных ветвлений (IBP)

IBP уменьшается до CVE 2017-5715, а также называется одной половиной Spectreа или "вариант 2" в раскрытие GPZ.

Инструкции, приведенные в этой статье, позволяющие включить KVAS в Windows, также включают IBP. Однако для IBP также требуется обновление микропрограммного обеспечения у производителя оборудования. Помимо инструкций, описанных в KB4072698 , чтобы включить защиту в Windows, пользователи должны получить и установить обновления от изготовителя оборудования.

Пример сценария, в котором IBP настоятельно рекомендуется

На локальном физическом компьютере размещается SQL Server наряду с приложением, которое позволяет недоверенным пользователям загрузить и выполнить произвольный код JavaScript. Предполагается, что в базе данных SQL есть конфиденциальные данные, поэтому IBP настоятельно рекомендуется в качестве меры для защиты от раскрытия информации о процессах.

В случаях, когда IBP аппаратной поддержки не существует, корпорация Майкрософт рекомендует разделять непроверенные процессы и надежный процесс на разные физические компьютеры или виртуальные машины.

Пользователи Linux: обратитесь к своему дистрибьютору операционной системы за информацией о том, как защититься от варианта 2 (CVE 2017-5715).

Пример сценария, в котором настоятельно рекомендуется уменьшить опасность уязвимости выборки данных в микроархитектуре

Предположим, что на локальном сервере запущены два экземпляра SQL Server, на которых размещается два разных бизнес-приложения на двух разных виртуальных машинах на одном физическом узле. Предполагается, что эти два бизнес-приложения не должны иметь возможность читать данные, хранящиеся в экземплярах SQL Server. Злоумышленник, успешно воспользовавшийся этими уязвимостями, может прочитать привилегированные данные через границы доверия, используя ненадежный код, выполняемый на компьютере, в качестве отдельного процесса или ненадежного кода, который выполняется с помощью механизма расширяемости SQL Server (дополнительные параметры расширения в SQL Server см. в разделе ниже). В средах общих ресурсов (например, в некоторых конфигурациях облачных служб) эти уязвимости могут позволить одной виртуальной машине неправильно обращаться к сведениям из другого источника. В сценариях без просмотра в автономных системах злоумышленнику потребуется предыдущий доступ к системе или возможность запустить специально созданное приложение на целевой системе, чтобы воспользоваться этими уязвимостями.

Недоверенные механизмы расширяемости SQL Server

SQL Server включает множество функций и механизмов расширения. Большинство из этих механизмов отключены по умолчанию. Однако мы рекомендуем пользователям изучить каждый из рабочих экземпляров, чтобы использовать функцию расширения. Рекомендуется, чтобы каждая из этих функций была ограничена минимальным набором двоичных файлов, и клиенты ограничивают доступ, чтобы предотвратить выполнение произвольного кода на том же компьютере, что и SQL Server. Мы рекомендуем пользователям определить, следует ли доверять каждому двоичному файлу, а также отключить или удалить недоверенные двоичные файлы.

• Сборки SQL CLR

• Пакеты R и Python выполняются с помощью механизма внешних сценариев или выполняются из автономного учебного пакета R/машин Learning Studio на том же физическом компьютере, что и SQL Server

• Точки расширения агента SQL Server, работающие на том же физическом компьютере, что и SQL Server (сценарии ActiveX);

• Сторонние поставщики OLE DB, используемые в связанных серверах

• Расширенные хранимые процедуры, отличные от Майкрософт

• COM-объекты, которые выполняются на сервере (доступ к которым осуществляется с помощью sp_OACreate)

• Программы, выполненные с помощью xp_cmdshell

Меры для предотвращения использования ненадежного кода на сервере SQL Server.