SQL Server und Meltdown und Spectre

Was ein Einstieg in das Jahr 2018. Meine Blogpause wurde begleitet von einer der größten Sicherheitslücken in den letzten Jahren. Betroffen ist fast jeder Nutzer von IT und das platformübergreifend.

Mittlerweile hat nicht nur das Project Zero von Google weitreichende Informationen veröffentlicht, sondern auch die Hersteller haben reagiert.

Microsoft Azure wurde schon, soweit Patches vorhanden sind, abgesichert.

Für SQL Server hat Microsoft Richtlinien veröffentlicht, die von jedem Admin befolgt werden sollten um sensible Daten zu schützen.

• Windows Updates aktivieren und installieren Achtung: Für Windows Server 2012, 2008 und <= 20003 sind keine Patches vorhanden, die Lücke betrifft diese Systeme aber natürlich trotzdem.
• SQL Server Updates installieren Achtung: Für alle anderen SQL Versionen ist aktuell kein Patch veröffentlicht worden. Bitte bei Microsoft prüfen ob dies in der Zwischenzeit der Fall ist!
  • SQL Server 2017 CU3
  • SQL Server 2017 GDR
  • SQL Server 2016 SP1 CU7
  • SQL Server 2016 SP1 GDR
• Alle Funktionen deaktivieren, welche Code ausführen den Microsoft nicht kennt und somit als gefährlich gelten. Dazu gehören:
  • SQL CLR assemblies
  • R und Python Pakete die als externe Skripte angesprochen werden oder das “R/Machine Learning Studio”
  • SQL Agent auf dem selben Server wie der SQL Server mit z.B. ActiveX Skripten
  • Nicht-Microsoft OLE DB Treiber für Linked Server
  • Nicht-Microsoft Extended Stored Procedures

Wie immer sollten die Patches vorher getestet werden. In diesem speziellen Fall liegt das daran, dass die Patches zu Leistungseinbußen führen können. Jedoch sollte bei der Frage Datensicherheit vs. Performance nicht die Performance gewinnen, sondern es sollte einem nur bewusst sein was passieren wird.