史上最大的CPU Bug（幽靈和熔斷的OS&SQLServer補丁）

背景

原文地址（http://www.cnblogs.com/wenBlog/p/8435229.html）

最近針對咱們的處理器出現了一系列的嚴重的bug。這種bug致使了兩個狀況，就是熔斷和幽靈。

這就是這幾天鬧得人心惶惶的CPU大Bug。消息顯示，以英特爾處理器爲表明的現代CPU中，存在能夠致使數據泄漏的大漏洞。這兩類主要的漏洞被命名爲Meltdown（熔斷）和Spectre（幽靈），其中Meltdown漏洞會致使某些代碼越過權限訪問任意內存地址，直擊敏感數據，這主要影響英特爾CPU；而Spectre漏洞機理不一樣，但做用相似，同時幾乎影響全部的處理器，英特爾、ARM和AMD均不能倖免。不過和Meltdown漏洞相比，利用Spectre漏洞進行攻擊的難度更高，漏洞帶來的風險要更低。

這裏我將會總結針對不一樣的系統如何補丁。

SQL Server 受影響的版本

 

首先這是一個CPU硬件問題，那麼幾乎全部的系統都會受到影響，SQL Server運行在X86或者X64架構下，也必然受到不小影響，下面是受到影響的版本：

• SQL Server 2008
• SQL Server 2008R2
• SQL Server 2012
• SQL Server 2014
• SQL Server 2016
• SQL Server 2017
• Azure SQL Database

 

除了上面幾個外，還有一些像SQL Server 2005, SQL Server 2000, SQL Server 7,和SQL Server 6.5雖然也有影響可是已經再也不有對應的補丁出現了，很是遺憾。

 

注意: 根據微軟的解釋，IA64系統被認爲不會受到此bug的影響，小幸運啊。

解決方案：

　　目前網路上公佈的狀況是主要依靠軟件補丁來秀谷，可是必然所以帶來必定的性能損失。

　　那麼該如何修復此次爆出的漏洞，其實業界也有了對策。此次的漏洞沒法經過微碼修復，須要OS層面的更新，但若是修復Meltdown漏洞的話，則會形成性能損失，英特爾處理器打了PTI補丁後，性能會有5%~30%的降幅，某些特定的應用甚至會降低50%的性能。而AMD則不受Meltdown漏洞影響，若是是修復Spectre漏洞的話，並不會形成性能損失。ARM主要也是受Spectre漏洞影響，少部分受Meltdown漏洞影響，目前Android已經發布了修復補丁，但性能影響還不得而知。

 

SQL Server 補丁

 

這裏有一篇討論如何防止攻擊的文章，有興趣的能夠去讀一下（https://support.microsoft.com/en-us/help/4073225/guidance-protect-sql-server-against-spectre-meltdown）

很少數直接上補丁了，以下:

• SQL Server 2017 CU3 (download)
• SQL Server 2017 CU3 RTM (download)
• SQL Server 2017 GDR (download)
• SQL Server 2016 SP1 CU7 (download)
• SQL Server 2016 SP1 GDR (download)
• SQL Server 2016 RTM CU (download)
• SQL Server 2016 RTM GDR (download)
• SQL Server 2014 CU10 for SP2 (download)
• SQL Server 2012 SP4 GDR (download)
• SQL Server 2012 SP3 （後續）
• SQL Server 2008 R2 SP3 GDR (download)
• SQL Server 2008 SP 4 GDR (download)

之後會定時更新其餘版本。方便你們及時獲取。

OS 補丁

The Window KB for guidance is 4072698.

這裏推薦一篇關於如何防止邊信道攻擊的指導文章（speculative execution side-channel vulnerabilities），微軟仍是技術積累豐富啊，這點國內公司還有很長路要走，目前阿里的補救措施很緩慢。

下面是已經找到的操做系統的補丁，瘋狂下載吧：

 

Windows Server (Server Core) v 1709 - KB4056892 Windows Server 2016 - KB4056890 Windwos Server 2012 R2  - KB4056898 Windows Server 2012 - N/A Windows Server 2008 R2 - KB4056897 Windows Server 2008 - N/A Red Hat v.7.3 - Kernel Side-Channel Attacks CVE-2017-5754, 5753, 5715 SUSE Linux - 7022512 Ubuntu - Update on the patches

 

VMWare提供了一個安全諮詢和補丁，他們也推出了本身的補丁：

• ESXi 6.5 
• ESXi 6.0
• ESXi 5.5 (partial patch)
• Workstation 12.x - Upgrade to 12.5.8
• Fusion 8.x - Updated to 8.5.9

那種狀況下須要當即補丁

　　1.若是數據庫是SQLServer2017 or 2016 ,那麼請當即打補丁吧。

　　2.SQL Server (Windows) VM in your data center 虛擬機運行的SQLServer -

　　　　解決：須要打補丁到操做系統或將SQLServer隔離在物理硬件上。查看Windows操做系統的微程序更改。

　　3.SQL Server 主機或者虛擬機上，同時代碼和數據庫在同一臺機器上。使用了非置信的代碼。

　　　　解決：須要打補丁到操做系統、數據庫。

　　4.Linux系統的SQLServer。

　　　　解決：打補丁到Linux系統和SQLServer，檢查linux的廠商

注意當不置信的SQL Server擴展代碼被引用，它們包括以下 :

 SQL CLR R 和Python 包須要經過經過sp_external_script執行, 或者在一臺獨立機器上的R/ML。 SQL Agent 運行着ActiveX scripts 連接服務器上的非微軟OLEDB 驅動 非微軟的 XPs

 

微軟提供的遷移方案SQL Server KB.

你能夠偷懶的條件以下

 

若是你用的是SQL Server 2008, 2008 R2, 2012, 2014,你能夠等待SQLServer補丁。它們尚未出來...慘。我也會定時更新這個補丁。還有一個好消息就是一下幾種狀況能夠不須要補丁。

以下狀況你能夠喝茶聊天了（不須要打補丁的）：

 

若是你是在Azure、AWS。固然阿里雲也已經打了補丁。，可是。

注意：AWS的EC2的VMS須要自行補丁。阿里雲的ECS也須要自行補丁數據庫。固然雲上的虛擬機你們也要本身進行手動補丁了。

本次事件的影響：

除了2013年以前發佈的Intel Itanium和Intel Atom CPU之外，自1995年以來，每一個處理器都受到這些漏洞的影響，不管您是使用Windows，Linux，MacOS，Android，Chrome OS仍是FreeBSD。安全研究人員爲Google的Project Zero，Cyber​​us技術公司和格拉茨技術大學（Graz University of Technology）工做人員報告了這個崩潰和幽靈問題。

總結：

　　截止1月份目前主流操做系統都經過補丁的方式進行了修補，固然必然帶來一些性能損失。目前來看微軟反饋最迅速，其次是蘋果，最後是谷歌...,我深度懷疑微軟是已經知道這個漏洞的，爆發後迅速祭出了bug補丁。但願跟你們及時交流解決這個bug引發的問題。