史上最大的CPU Bug（幽灵和熔断的OS&SQLServer补丁）

背景

原文地址（http://www.cnblogs.com/wenBlog/p/8435229.html）

最近针对咱们的处理器出现了一系列的严重的bug。这种bug致使了两个状况，就是熔断和幽灵。

这就是这几天闹得人心惶惶的CPU大Bug。消息显示，以英特尔处理器为表明的现代CPU中，存在能够致使数据泄漏的大漏洞。这两类主要的漏洞被命名为Meltdown（熔断）和Spectre（幽灵），其中Meltdown漏洞会致使某些代码越过权限访问任意内存地址，直击敏感数据，这主要影响英特尔CPU；而Spectre漏洞机理不一样，但做用相似，同时几乎影响全部的处理器，英特尔、ARM和AMD均不能幸免。不过和Meltdown漏洞相比，利用Spectre漏洞进行攻击的难度更高，漏洞带来的风险要更低。

这里我将会总结针对不一样的系统如何补丁。

SQL Server 受影响的版本

 

首先这是一个CPU硬件问题，那么几乎全部的系统都会受到影响，SQL Server运行在X86或者X64架构下，也必然受到不小影响，下面是受到影响的版本：

• SQL Server 2008
• SQL Server 2008R2
• SQL Server 2012
• SQL Server 2014
• SQL Server 2016
• SQL Server 2017
• Azure SQL Database

 

除了上面几个外，还有一些像SQL Server 2005, SQL Server 2000, SQL Server 7,和SQL Server 6.5虽然也有影响可是已经再也不有对应的补丁出现了，很是遗憾。

 

注意: 根据微软的解释，IA64系统被认为不会受到此bug的影响，小幸运啊。

解决方案：

　　目前网路上公布的状况是主要依靠软件补丁来秀谷，可是必然所以带来必定的性能损失。

　　那么该如何修复此次爆出的漏洞，其实业界也有了对策。此次的漏洞没法经过微码修复，须要OS层面的更新，但若是修复Meltdown漏洞的话，则会形成性能损失，英特尔处理器打了PTI补丁后，性能会有5%~30%的降幅，某些特定的应用甚至会降低50%的性能。而AMD则不受Meltdown漏洞影响，若是是修复Spectre漏洞的话，并不会形成性能损失。ARM主要也是受Spectre漏洞影响，少部分受Meltdown漏洞影响，目前Android已经发布了修复补丁，但性能影响还不得而知。

 

SQL Server 补丁

 

这里有一篇讨论如何防止攻击的文章，有兴趣的能够去读一下（https://support.microsoft.com/en-us/help/4073225/guidance-protect-sql-server-against-spectre-meltdown）

很少数直接上补丁了，以下:

• SQL Server 2017 CU3 (download)
• SQL Server 2017 CU3 RTM (download)
• SQL Server 2017 GDR (download)
• SQL Server 2016 SP1 CU7 (download)
• SQL Server 2016 SP1 GDR (download)
• SQL Server 2016 RTM CU (download)
• SQL Server 2016 RTM GDR (download)
• SQL Server 2014 CU10 for SP2 (download)
• SQL Server 2012 SP4 GDR (download)
• SQL Server 2012 SP3 （后续）
• SQL Server 2008 R2 SP3 GDR (download)
• SQL Server 2008 SP 4 GDR (download)

之后会定时更新其余版本。方便你们及时获取。

OS 补丁

The Window KB for guidance is 4072698.

这里推荐一篇关于如何防止边信道攻击的指导文章（speculative execution side-channel vulnerabilities），微软仍是技术积累丰富啊，这点国内公司还有很长路要走，目前阿里的补救措施很缓慢。

下面是已经找到的操做系统的补丁，疯狂下载吧：

 

Windows Server (Server Core) v 1709 - KB4056892 Windows Server 2016 - KB4056890 Windwos Server 2012 R2  - KB4056898 Windows Server 2012 - N/A Windows Server 2008 R2 - KB4056897 Windows Server 2008 - N/A Red Hat v.7.3 - Kernel Side-Channel Attacks CVE-2017-5754, 5753, 5715 SUSE Linux - 7022512 Ubuntu - Update on the patches

 

VMWare提供了一个安全咨询和补丁，他们也推出了本身的补丁：

• ESXi 6.5 
• ESXi 6.0
• ESXi 5.5 (partial patch)
• Workstation 12.x - Upgrade to 12.5.8
• Fusion 8.x - Updated to 8.5.9

那种状况下须要当即补丁

　　1.若是数据库是SQLServer2017 or 2016 ,那么请当即打补丁吧。

　　2.SQL Server (Windows) VM in your data center 虚拟机运行的SQLServer -

　　　　解决：须要打补丁到操做系统或将SQLServer隔离在物理硬件上。查看Windows操做系统的微程序更改。

　　3.SQL Server 主机或者虚拟机上，同时代码和数据库在同一台机器上。使用了非置信的代码。

　　　　解决：须要打补丁到操做系统、数据库。

　　4.Linux系统的SQLServer。

　　　　解决：打补丁到Linux系统和SQLServer，检查linux的厂商

注意当不置信的SQL Server扩展代码被引用，它们包括以下 :

 SQL CLR R 和Python 包须要经过经过sp_external_script执行, 或者在一台独立机器上的R/ML。 SQL Agent 运行着ActiveX scripts 连接服务器上的非微软OLEDB 驱动 非微软的 XPs

 

微软提供的迁移方案SQL Server KB.

你能够偷懒的条件以下

 

若是你用的是SQL Server 2008, 2008 R2, 2012, 2014,你能够等待SQLServer补丁。它们尚未出来...惨。我也会定时更新这个补丁。还有一个好消息就是一下几种状况能够不须要补丁。

以下状况你能够喝茶聊天了（不须要打补丁的）：

 

若是你是在Azure、AWS。固然阿里云也已经打了补丁。，可是。

注意：AWS的EC2的VMS须要自行补丁。阿里云的ECS也须要自行补丁数据库。固然云上的虚拟机你们也要本身进行手动补丁了。

本次事件的影响：

除了2013年以前发布的Intel Itanium和Intel Atom CPU之外，自1995年以来，每一个处理器都受到这些漏洞的影响，不管您是使用Windows，Linux，MacOS，Android，Chrome OS仍是FreeBSD。安全研究人员为Google的Project Zero，Cyber​​us技术公司和格拉茨技术大学（Graz University of Technology）工做人员报告了这个崩溃和幽灵问题。

总结：

　　截止1月份目前主流操做系统都经过补丁的方式进行了修补，固然必然带来一些性能损失。目前来看微软反馈最迅速，其次是苹果，最后是谷歌...,我深度怀疑微软是已经知道这个漏洞的，爆发后迅速祭出了bug补丁。但愿跟你们及时交流解决这个bug引发的问题。