KB4073225 – керівництво SQL Server, щоб захиститися від невідповідних, криза та мікро-архітектурних даних, які мають вразливості вибірки.

Загальні відомості

Корпорація Майкрософт знає про новий загальнодоступний клас вразливостей, який називають "спекулятивним побічним каналом", що впливає на багато сучасних процесорів і операційних систем. Це включає в себе Intel, AMD та ARM. Примітка. Ця проблема також впливає на інші системи, як-от Android, хром, iOS і MacOS. Тому ми радимо клієнтам звернутися до керівництва від цих постачальників.

Корпорація Майкрософт випустила кілька оновлень, які допоможуть пом'якшити ці вразливості. Ми також прийняли заходи, щоб убезпечити наші хмарні служби. Щоб отримати докладніші відомості, перегляньте наведені нижче розділи.

Корпорація Майкрософт не отримала жодної інформації, що вказує на те, що ці вразливості використовувалися для атак клієнтів на цей раз. Корпорація Майкрософт продовжує тісно співпрацювати з партнерами по галузі, зокрема чіпових виробниками, апаратними постачальниками та постачальниками програм, щоб захистити клієнтів. Щоб отримати доступ до всіх доступних засобів захисту, обладнання або прошивки та оновлення програмного забезпечення, потрібно. Це включає в себе мікропрограму з ПОТ пристроїв, а також, у деяких випадках, оновлень для антивірусного програмного забезпечення. Щоб отримати докладні відомості про вразливі дані, ознайомтеся зі службою Microsoft Security КОНСУЛЬТАТИВНОЇ ADV180002. Щоб виконати загальні вказівки, щоб пом'якшити цей клас вразливості, ознайомтеся з настановами з пом'якшення наслідків , які не відповідальні за сторони каналу

Корпорація Майкрософт опублікувала ADV190013-Microsoft, щоб пом'якшити вразливості вибірки з Мікроархітектурним даними в травні 2019. SQL Server не має особливих виправлень системи безпеки для цієї проблеми, описаної в ADV190013. У розділі рекомендації в цій статті наведено вказівки для середовищ, які впливають на ADV190013. Зверніть увагу, що ці рекомендації застосовуються лише до процесорів Intel.

Отримання та інсталяція оновлення

Це оновлення також можна отримати за допомогою служб оновлень Windows Server Services (WSUS) або веб-сайтукаталогу Microsoft Update.Примітка: це оновлення не завантажуватиметься та інсталюється автоматично за допомогою служби Windows Update.

Доступні патчі SQL

Під час публікації доступні такі оновлені версії SQL Server для завантаження:

Випуск обслуговування

Цей документ буде оновлено, коли доступні додаткові оновлені версії.

Примітки

Ми випустили всі обов'язкові оновлення для сервера SQL Server, щоб пом'якшити "привид" і "криза", Спекулятивна бічна виконання каналу-вразливості. Корпорація Майкрософт не знає жодного додаткового впливу на "Spectre" і "" криза "спекулятивний канал виконання вразливості для компонентів, які не перелічено в розділі" доступні виправлення SQL ".
Усі подальші SQL Server 2014, SQL Server 2016 і SQL Server 2017 пакети оновлень і накопичувальне оновлення будуть містити виправлення. Наприклад, SQL Server 2016 SP2 вже містить виправлення, а також проблеми з кризою.
Щоб отримати найновіші відомості про доступні збірки Windows, ознайомтеся з наведеними нижче вказівками для Windows.

Windows Server для визначення вразливості на боці каналу "привид" або "криза"

Рекомендації з Windows Server для вразливості вибірки з Мікроархітектурним даними

Для Linux версії, зверніться до свого постачальника Linux, щоб отримати найновішу оновлену версію для певного дистрибутиву Linux.
Для того, щоб максимально швидко вирішити вразливість і вразливості на кризу, доставку цих оновлень SQL Server було спочатку зроблено в центрі завантажень Microsoft як основну модель доставки. Незважаючи на те, що ці оновлення буде доставлено в службу Microsoft Update у березні, ми радимо, що потерпілі клієнти інсталюватиме оновлення зараз, не очікуючи їх, щоб вони стали доступними через службу Microsoft Update.

Підтримувані версії SQL Server, які впливають на

Корпорація Майкрософт рекомендує всім клієнтам інсталювати оновлення SQL Server (наведено нижче) як частину звичайного циклу склеювання. Клієнти, які працюють на сервері SQL Server в безпечному середовищі, де блокуються точки розширення, і всі треті сторони, що працюють на тому самому сервері, довіряють і затверджують цю проблему.

У наведених нижче версіях SQL Server доступні оновлення, коли вони запускаються в системах процесорів x86 і x64:

SQL Server 2008
SQL Server 2008R2
SQL Server 2012
SQL Server 2014
SQL Server 2016
SQL Server 2017

Ми не віримо, що IA64 (Microsoft SQL Server 2008) впливає. Служба аналітичної платформи Microsoft (APS) базується на Microsoft SQL Server 2014 або Microsoft SQL Server 2016, але це не залежить від цього. Деякі загальні вказівки для APS наведено в цій статті.

Рекомендації

У наведеній нижче таблиці описано, що слід робити клієнтам, залежно від середовища, у якому запущено SQL Server, і яку функціональність використовується. Корпорація Майкрософт рекомендує розгортати виправлення, використовуючи звичайні процедури для тестування нових двійкових файлів, перш ніж розгортати їх у виробничому середовищі.

Номер сценарію	Опис сценарію	Пріоритетні рекомендації
1	База даних і сховище даних Azure SQL	Дії не обов'язково (див. тут , щоб отримати докладні відомості).
2	Запуск SQL Server на фізичному комп'ютері або віртуальній машині І жодна з наведених нижче умов не виконується: Інша програма, яка виконує потенційно ворожий код, розміщений на тому самому комп'ютері Інтерфейси розширюваність SQL Server використовуються з ненадійним кодом (див. нижче для списку)	Корпорація Майкрософт рекомендує інсталювати всі оновлення операційної системи to для захисту від служби 2017-5753. Корпорація Майкрософт рекомендує інсталювати всі оновлення операційної системи , щоб захиститися від вразливості вибірки з МІКРОАРХІТЕКТУРНИМ даними (чве-2018-12126, c-2018-12130, c -2018-12127 та icve-2018-11091). Увімкнення затінення віртуальної адреси ядра (KVAS) та непрямої підтримки обладнання для пом'якшення гілки гілок (див . нижче). Патчі SQL Server слід інсталювати як частину звичайної виправлення політики у вікні наступного запланованого оновлення. Ви можете продовжувати використовувати hyperthreading на такому хості.
3	Запуск SQL Server на фізичному комп'ютері або віртуальній машині ТА інша програма, яка виконує потенційно вороже код, розміщений на тому самому комп'ютері Інтерфейси розширення SQL Server і (або) використовуються з ненадійним кодом (див. нижче для списку)	Корпорація Майкрософт рекомендує інсталювати всі оновлення операційної системи , щоб захиститися від служби 2017-5753. Корпорація Майкрософт рекомендує інсталювати всі оновлення операційної системи , щоб захиститися від вразливості вибірки з МІКРОАРХІТЕКТУРНИМ даними (чве-2018-12126, c-2018-12130, c -2018-12127 та icve-2018-11091). Застосуємо виправлення SQL Server (див. нижче). Це захищає від ЧВЕ 2017-5753. Радимо ввімкнути затінення віртуальної адреси ядра (KVAS) (див. нижче). Це захищає від ЧВЕ 2017-5754. Радимо ввімкнути опосередковане підтримка обладнання для пом'якшення гілки гілок (див. нижче). Це захищає від ЧВЕ 2017-5715 Радимо вимкнути hyperthreading на хості, якщо використовуються процесори Intel.
4	Запуск SQL Server на фізичному комп'ютері ТА інша програма, яка виконує потенційно ворожі коди, не є співвласником на тому самому комп'ютері І інтерфейси розширення SQL Server використовуються для виконання НАДІЙНОГО коду. Приклади Збірки, які були розглянуті або схвалені для використання у виробництві Зв'язані сервери, яким ви довіряєте, які працюють із перевірених запитів Не приклади: Довільні сценарії R/Python, завантажені з Інтернету UДвійкові файли у ntrusted CLR від третьої сторони	Корпорація Майкрософт рекомендує інсталювати всі оновлення операційної системи to для захисту від служби 2017-5753. Корпорація Майкрософт рекомендує інсталювати всі оновлення ОС , щоб захиститися від вразливості вибірки з МІКРОАРХІТЕКТУРНИМ даними (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 і CVE-2018-11091). Радимо ввімкнути затінення віртуальної адреси ядра (KVAS) (див. нижче). Це захищає від ЧВЕ 2017-5754. Радимо ввімкнути опосередковане підтримка обладнання для пом'якшення гілки гілок (див. нижче). Це захищає від ЧВЕ 2017-5715 Ми рекомендуємо вимкнути hyperthreading на такому середовищі, якщо використовуються процесори Intel. Патчі SQL Server слід інсталювати як частину звичайної виправлення політики у вікні наступного запланованого оновлення.
5	SQL Server запущено в ОС Linux.	Інсталюйте оновлення ОС Linux із постачальника послуг розповсюдження. Застосовуючи патчі Linux SQL Server (див. нижче). Це захищає від ЧВЕ 2017-5753. Нижче наведено вказівки щодо того, як увімкнути режим ізоляції таблиці ядра Linux (KPTI) і IBP (CVEs CVES 2017-5754 і CVES 2017-5715). Ми рекомендуємо вимкнути hyperthreading на такому середовищі, якщо процесори Intel використовуються для сценарію #3 та #4 згаданим вище.
6	Системна платформа аналітики (APS)	Хоча APS не підтримує функції розширюваності сервера SQL Server, перелічених у цьому бюлетені, радимо інсталювати виправлення ОС Windows на пристрої APS. Увімкнення функції KVAS/IBP не обов'язковий.

Консультативна робота

Клієнти радять оцінити ефективність своїх конкретних програм, коли вони застосовують оновлення.

Корпорація Майкрософт радить всім клієнтам інсталювати оновлені версії сервера SQL Server і Windows. Ця дія має бути незначною за мінімальну продуктивність для наявної програми на основі перевірки Microsoft для навантаження SQL. Однак радимо перевірити всі оновлення, перш ніж розгортати їх у виробничому середовищі.

Корпорація Майкрософт вимірювали ефект затінення віртуальної адреси ядра (KVAS), таблиці сторінок ядра (KPTI) і зменшення прогнозно-відповідного прогнозування гілок (IBP) на різних місцях SQL в різних середовищах, і знайшли певні навантаження з значною деградацією. Радимо перевірити ефект ефективності ввімкнення цих функцій, перш ніж розгортати їх у виробничому середовищі. Якщо ефект ефективності ввімкнення цих функцій занадто високий для наявної програми, можна визначити, чи є ізоляція SQL Server від ненадійного коду, який працює на тому ж комп'ютері, – це найкращий спосіб пом'якшення цієї програми.

Докладні відомості про ефект продуктивності від непрямого підтримки обладнання для запобігання прогнозуванням гілок (IBP) докладно наведено тут.

Корпорація Майкрософт оновить цей розділ, щоб отримати докладні відомості, коли вона доступна.

Увімкнення затінення віртуальної адреси ядра (KVAS в ОС Windows) і таблиці "ядро" на сторінці ядра (KPTI на Linux)

KVAS і KPTI відповідно до CVE 2017-5754, також відомий як "криза" або "варіант 3" в розкритті GPZ.

SQL Server працює в багатьох середовищах: фізичні комп'ютери, віртуальні машини в загальнодоступному та приватному хмарному середовищі, у системах Linux і Windows. Незалежно від середовища, програма запускається на комп'ютері або в ВМ. Викличте цю межубезпеки.

Якщо всі коди в цій межі мають доступ до всіх даних у цій межі, дія не потрібна. Якщо це не так, межа вважається кількома орендарями. Знайдено вразливості, які дають змогу для будь-якого коду, навіть з обмеженими дозволами, які виконуються в будь-якому процесі в цій межі, щоб прочитати будь-які інші дані в цій межі. Якщо в межі недовіреного коду є будь-який процес, це може використовувати ці вразливості, щоб читати дані з інших процесів. Цей ненадійний код може бути ненадійним кодом, використовуючи механізми розширюваність SQL Server або інші процеси в межі, на якому запущено Недовірений код.

Щоб захиститися від ненадійного коду в межі багатоклієнтської частини, скористайтеся одним із наведених нижче способів.

Видаліть ненадійний код. Додаткові відомості про те, як це зробити для механізмів розширення SQL Server, наведено нижче. Щоб видалити ненадійний код з інших програм, у тій самій межі, зазвичай необхідні зміни, які стосуються програми. Наприклад, поділ на дві віртуальні машини.
Увімкніть KVAS або KPTI. Це матиме ефект продуктивності. Додаткові відомості, як описано вище в цій статті.

Щоб отримати докладні відомості про ввімкнення KVAS для Windows, ознайомтеся з KB4072698. Щоб отримати докладні відомості про ввімкнення функції KPTI на Linux, проконсультуйтеся з постачальником операційної системи.

Приклад сценарію, у якому настійно рекомендовано KVAS або KPTI

Локальний фізичний комп'ютер, який хостів SQL Server як обліковий запис, який не є системним адміністратором, дає змогу клієнтам надсилати довільні сценарії R для запуску через SQL Server (що використовує вторинні процеси для запуску цих сценаріїв за межами sqrserr. exe). Потрібно ввімкнути KVAS і KPTI, щоб захиститися від розкриття даних у процесі Sqrserr. exe, а також захиститися від розкриття даних у пам'яті ядра системи. Примітка. Механізм розширюваність в SQL Server не автоматично вважається небезпечним тільки тому, що він використовується. Ці механізми можна безпечно використовувати в SQL Server, доки для кожної залежності розуміється та довірена Замовник. Крім того, є інші продукти, які вбудовані на основі SQL, які можуть знадобитися для правильної роботи механізмів розширення. Наприклад, якщо запакована програма, яка будується поверх SQL Server, може знадобитися для правильної роботи зв'язаного сервера або CLR-збереженої процедури. Корпорація Майкрософт не рекомендує видаляти ці дані як частину пом'якшення. Натомість перегляньте кожне використання, щоб визначити, чи є цей код зрозумілим і надійним, як початкова дія. Ці вказівки допоможуть клієнтам визначити, чи вони знаходяться в ситуації, у якій вони мають активувати KVAS. Це пояснюється тим, що ця дія має значні наслідки продуктивності.

Увімкнення підтримки апаратного забезпечення для непрямого зменшення прогнозу (ПББ)

IBP пом'якшує відповідні значення 2017-5715, також відомий як половина привид або "варіант 2" в розкритті GPZ.

У цій статті описано, як активувати KVAS у Windows, а також ввімкнути IBP. Однак, IBP також вимагає оновлення прошивки від виробника устаткування. Окрім інструкцій у KB4072698 , щоб увімкнути захист у Windows, клієнти мають отримувати та інсталювати оновлення зі свого постачальника обладнання.

Приклад сценарію, у якому настійно рекомендується використовувати IBP

Локальний фізичний комп'ютер – це хостинг SQL Server поруч із програмою, яка дає змогу ненадійним користувачам передавати та виконувати довільний код JavaScript. Якщо припустити, що в базі даних SQL існують конфіденційні дані, ми настійно рекомендуємо, щоб захиститися від розкриття інформації про процес до процесу.

У ситуаціях, у яких підтримка обладнання IBP не відображається, корпорація Майкрософт рекомендує відділяти Недовірені процеси та надійне процес на різні фізичні комп'ютери або віртуальні машини.

Користувачі Linux: зверніться до постачальника операційної системи, щоб отримати відомості про захист від варіанту 2 (c 2017-5715).

Запропоновано приклад сценарію, у якому наполегливо рекомендується використовувати для вразливості дискретизації Мікроархітектурних даних.

Розглянемо приклад розташування локального сервера, на якому запущено два екземпляри SQL Server, які розміщують два різні бізнес-програми на двох різних віртуальних машинах на тому ж самому фізичному хості. Припустимо, що ці два бізнес-програми не можуть читати дані, які зберігалися в екземплярах SQL Server. Зловмисник, який успішно використовував ці уразливості, може мати можливість читати дані привілейованих даних через цільові межі, використовуючи ненадійний код, який працює на комп'ютері, як окремий процес або ненадійний код, який виконується за допомогою засобу розширення SQL Server (див. розділ нижче для параметрів розширюваності сервера SQL Server). У середовищах спільного ресурсу (наприклад, у деяких конфігураціях хмарних служб) ці вразливості можуть дозволити неправильно отримувати доступ до інформації в одній віртуальній машині. У сценаріях, які не переглядають в автономному режимі, зловмисник має знадобитися попередній доступ до системи або можливість запускати спеціально створений застосунок на цільовій системі, щоб використовувати ці вразливості.

Ненадійні механізми розширюваність SQL Server

SQL Server містить багато функцій розширюваності та механізмів. Більшість цих механізмів вимкнуто за замовчуванням. Проте ми радимо клієнтам переглянути кожний екземпляр виробництва для використання функції розширення. Рекомендується, щоб кожний із цих функцій обмежувала мінімальний набір двійкових файлів, а клієнти обмежують доступ для запобігання виконанню довільного коду на тому ж комп'ютері, що й SQL Server. Ми радимо клієнтам визначити, чи потрібно довіряти кожному двійковому, а також вимкнути або видалити ненадійні двійкові файли.

Збірки SQL CLR
Пакунки r і Python, які виконуються через механізм зовнішніх сценаріїв або виконуються з ізольовану студію R/машинного навчання на тому ж фізичному комп'ютері, що й SQL Server

Точки розширюваність агента SQL, які виконуються на тому ж фізичному комп'ютері, що й SQL Server (скрипти ActiveX)
Постачальники, які не належать до Microsoft OLE DB, які використовуються на зв'язаних серверах
Розширені процедури, які не належать до корпорації Майкрософт
Об'єкти COM, виконані в межах сервера (доступні через sp_OACreate)
Програми, виконані через xp_cmdshell

Якщо використовується ненадійний код у SQL Server, можна не лише використовувати її.

Сценарій або використання інциденту	Пом'якшення або пропоновані дії
Запуск сервера SQL Server із підтримкою CLR (sp_configure ' CLR ввімкнуто ', 1)	Якщо це можливо, вимкніть CLR, якщо його не потрібно в програмі, щоб зменшити ризик використання ненадійного коду, який завантажується в SQL Server (SQL Server 2017 +) Якщо програма CLR все ще потрібна у вашій програмі, увімкніть функцію для завантаження лише певних вузлів за допомогою функції "жорстка безпека" (CLR), використовуючи sys.sp_add_trusted_assembly (sys.sp_add_trusted_assembly (TRANSACT-SQL)). Зверніть увагу, чи можна перенести код CLR на еквівалентний код T-SQL Перегляньте дозволи безпеки, щоб заблокувати сценарії, які можна використовувати на основі CLR-операцій. Обмежити створення складання, складання ЗОВНІШНЬОГО доступу та НЕБЕЗПЕЧНЕ складання дозволу на мінімальний набір користувачів або шлях до коду, щоб заборонити завантаження нових вузлів до наявної розгорнутої програми.
Запуск зовнішніх сценаріїв Java/R/Python із сервера SQL Server (зовнішні сценарії sp_configure ', 1)	Якщо можливо, вимкніть зовнішні сценарії, якщо не потрібно, щоб зменшити площу атаки. (SQL Server 2017 +) Якщо можливо, перенесення зовнішніх сценаріїв робить скорингу для використання функції "рідна функція скорингу" (за допомогою функції "передбачити T-SQL"). Перегляньте дозволи безпеки, щоб заблокувати сценарії, у яких можна використовувати зовнішні сценарії. Обмежте виконання будь-якого ЗОВНІШНЬОГО СЦЕНАРІЮ, щоб отримати мінімальний набір користувачів або шлях до коду, щоб заборонити виконання довільних сценаріїв.
Використання зв'язаних серверів (sp_addlinkedserver)	Перегляньте інстальовані постачальники OLEDB і радимо видалити будь-які ненадійні постачальники OLEDB із комп'ютера. (Переконайтеся, що ви не видаляєте постачальників OLEDB, якщо вони використовуються за межами сервера SQL на комп'ютері). Приклад про те, як перерахувати наявну постачальників OLEDB: Oledbenumerator. метод Getнумератора (тип) Перегляд і видалення непотрібних зв'язаних серверів із сервера SQL Server (sp_dropserver), щоб зменшити ймовірність того, що Недовірений код виконується в процесі sqrserr. exe. Перегляньте дозволи безпеки, щоб заблокувати доступ до будь-якого ЗВ'ЯЗАНОГО дозволу на СЕРВЕРІ, щоб мінімальна кількість користувачів. Перевірка зіставлень пов'язаного сервера та зіставлення облікових даних (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin) для обмеження користувачів, які можуть виконувати операції на зв'язаних серверах, до мінімального набору користувачам і сценаріїв.
Використання розширених процедур збереження (sp_addextendedproc)	Оскільки розширені умови збереження застаріли, видаліть усі їх використання та не використовуйте їх у виробничих системах.
Використання xp_cmdshell для виклику двійкових файлів із сервера SQL Server	Ця функція вимкнута за замовчуванням. Перегляд і обмеження використання xp_cmdshell для виклику ненадійних двійкових файлів. Ви можете керувати доступом до цієї кінцевої точки через sp_configure, як описано нижче. Параметр настроювання конфігурації сервера xp_cmdshell
Використання COM-об'єктів за допомогою sp_OACreate	Ця функція вимкнута за замовчуванням. Об'єкти COM, які викликається через sp_OACreate виконання коду, інстальованого на сервері. Перегляньте всі такі виклики для недовірених двійкових файлів. Ви можете перевірити параметри, використовуючи sp_configure, як описано нижче. Параметр настроювання сервера процедур автоматизації OLE