聞いていない場合、最近10年間に販売された実質的にすべてのプロセッサに影響を与える一連の関連する脆弱性が最近発見されました。InfoSec.SEでメルトダウン/スペクトルの脆弱性に関する技術的な詳細を確認できます。
SQL Server DBAとして、これについて何を理解する必要がありますか?
SQL Server(またはvmファーム)を他の企業と共有しない場合、これはまだリスクですか?
これは単なるOSパッチですか?または、この脆弱性に対処するために必要なSQL Server用のパッチ/ホットフィックスはありますか?どのSQL Serverバージョンにパッチが適用されますか?
一部の記事は、特に高度に仮想化された環境で、5〜30%のパフォーマンスへの影響を予測しています。SQL Serverのパフォーマンスへの影響を予測する方法はありますか?
回答:
これは、3つの「CVE」番号が割り当てられた脆弱性に関するマイクロソフトのセキュリティアドバイザリです。
これらの脆弱性がSQLサーバーに与える影響についてのMicrosoft KBは、新しい情報が利用可能になると積極的に更新されます。
KB 4073225:投機的実行のサイドチャネルの脆弱性から保護するためのSQL Serverガイダンス。
マイクロソフトの正確な推奨事項は、構成とビジネスシナリオによって異なります。詳細については、KBを参照してください。たとえば、Azureでホストしている場合、アクションは不要です(環境に既にパッチが適用されています)。ただし、信頼できない可能性のあるコードを持つ共有仮想環境または物理環境でアプリケーションをホストしている場合、他の軽減策が必要になる場合があります。
SQLパッチは現在、次の影響を受けるSQLバージョンに対して利用可能です。
これらのSQLサーバーパッチは、CVE 2017-5753(Spectre:Bounds check bypass)から保護します。
CVE 2017-5754(Meltdown:Rogue data cache load)から保護するために、Windowsでカーネル仮想アドレスシャドーイング(KVAS)(レジストリの変更を介して)またはLinuxでLinux Kernel Page Table Isolation(KPTI)を(パッチからLinuxディストリビューター)。
CVE 2017-5715(スペクトル:ブランチターゲットインジェクション)から保護するために、レジストリの変更とハードウェアメーカーのファームウェアアップデートにより、ブランチターゲットインジェクション軽減ハードウェアサポート(IBC)を有効にできます。
ご使用の環境ではKVAS、KPTI、およびIBCが不要な場合がありますが、これらはパフォーマンスに最も大きな影響を与える変更点です(エンファシスマイニング)。
マイクロソフトは、すべてのお客様にSQL ServerおよびWindowsの更新バージョンをインストールすることをお勧めします。これにより、MicrosoftのSQLワークロードのテストに基づいた既存のアプリケーションへのパフォーマンスへの影響を最小限に抑えることができますが、運用環境に展開する前に検証することをお勧めします。
マイクロソフトは、カーネル仮想アドレスシャドウイング(KVAS)、カーネルページテーブルインダイレクション(KPTI)、およびブランチターゲットインジェクションの軽減(IBC)がさまざまな環境のさまざまなSQLワークロードに与える影響を測定し、ワークロードの大幅な低下を発見しました。実稼働環境に展開する前に、これらの機能を有効にした場合のパフォーマンスへの影響を検証することをお勧めします。これらの機能を有効にした場合のパフォーマンスへの影響が既存のアプリケーションに対して大きすぎる場合、顧客は同じマシンで実行されている信頼できないコードからSQL Serverを分離する方がアプリケーションの緩和策かどうかを検討できます。
Microsoft System Center Configuration Manager(SCCM)固有のガイダンス: 2018年1月8日の投機的実行サイドチャネルの脆弱性を緩和するための追加ガイダンス。
関連するブログ投稿: