SQL Server-Leitfaden
Aufgrund der aktuell bekannt gewordenen Sicherheitslücke gibt es diverse Dokumente und Aktivitäten von Microsoft, um diese zu schließen.
Hier folgt eine erste Sammlung von Links zu dem Thema!
Der Artikel für die SQL Server findet sich hier: KB 4073225: SQL Server Guidance to protect against speculative execution side-channel vulnerabilities.
Die deutsche Übersetzung lautet "SQL Server-Leitfaden zum Schutz vor Sicherheitsrisiken durch Seitenkanalangriffe mit spekulativer Ausführung", krankt aber an der maschinellen Übersetzung: KB 4073225
Der Artikel für die Betriebssysteme findet sich hier: Windows Server guidance to protect against speculative execution side-channel vulnerabilities
Verfügbare Builds
Das oben angegebene Dokument für die SQL Server wird aktualisiert, wenn es weitere Patche gibt. Hier schon mal die Liste für die Patche, die am 05.01.2018 verfügbar sind.
SQL Server 2017 CU3
SQL Server 2017 GDR
SQL Server 2016 SP1 CU7
SQL Server 2016 SP1 GDR
Anmerkungen
Auch wenn es auf den ersten Blick erst mal keinen Grund zur Panik gibt, sollte man sich doch mit dem Thema beschäftigen und insbesondere auch diesen Punkt beachten: Untrusted SQL Server extensibility mechanisms.
Hier drunter verbergen sich so Sachen wie Non-Microsoft OLE DB providers used in Linked Servers oder auch die abgekündigten Non-Microsoft Extended Stored Procedures.
Betroffen sind auf jeden Fall alle Versionen, die aktuell noch supported werden: SQL Server 2008, SQL Server 2008R2, SQL Server 2012, SQL Server 2014, SQL Server 2016, SQL Server 2017
Wird es zu Performance-Einbußen kommen? Das ist eine gute Frage und kann aktuell noch nicht beantwortet werden. Die Vermutungen gehen eher dahin, dass man die Auswirkungen nicht merken wird. Falls es dennoch zu Problemen kommen sollte, wäre zu überlegen, den "non-trusted" Code abzuschalten, das System zu isolieren und die Einstellung an der Registry rückgängig zu machen. Aber das ist oft einfacher gesagt als getan! Maschinen in einer "private hosting" Umgebung sind jedenfalls weniger stark betroffen.
Hintergrund
Für die meisten dürfte es recht schwierig sein zu verstehen, was bei dieser Sicherheitslücke (Meltdown/Spectre) passieren kann. Hierzu gibt es eine (etwas) verständlichere Beschreibung für nicht so technisch versierte: An Explanation of the Meltdown/Spectre Bugs for a Non-Technical Audience
| Print article | This entry was posted by cmu on 05.01.18 at 10:37:00 . Follow any responses to this post through RSS 2.0. |
-
-
64-bit administration amnesty b_cher berechtigungen bi bug connect «cumulative update» denali dmv entwicklung «integration services» konferenz konferenzen log mvp nntp pass performance reporting «reporting services» «service pack» «service packs» «sql azure» «sql server 2005» «sql server 2008» «sql server 2008 r2» «sql server 2012» «sql server 2014» «sql server 2016» «SQL Server 2017» ssis ssms t-sql tools «trace flag» whitepapers «window functions» «windows 7»
cmu: Danke fürs mitlesen!
11.07.2019 ist der korrekte Termin. A…
klausobd: Hi,
der Termin ist aber schon lange vorbei ?
Termin:…- klausobd: Hi,
freu mich schon auf deinen Vortrag, der zum Glück nich…
- cmu: Gemeint war hier der Service-Account vom SSIS. Im MSDN Foru…
aon1961: Hallo Christoph,
vielen Dank für die fixe Antwort.
Welc…- cmu: Hast Du auch den Service-Account geändert? Das darf man auf…
