问作为一个Server，关于崩溃/幽灵漏洞，我需要了解什么？

EN

下面是微软针对这些漏洞的安全咨询，这些漏洞已被分配给三个"CVE“编号：

• CVE-2017-5715 -分支目标注入(“光谱”)
• CVE-2017-5753 -边界检查旁路(“幽灵”)
• CVE-2017-5754 -盗取数据缓存负载(“熔毁”)

有关这些漏洞如何影响SQL服务器的Microsoft KB在新信息可用时正在积极更新：

KB 4073225:防止投机性执行侧通道漏洞的Server指南.

Microsoft的确切建议将取决于您的配置和业务场景，有关详细信息，请参阅知识库。例如，如果您在Azure上托管，则不需要任何操作(环境已经修补)。但是，如果您在共享虚拟或物理环境中托管具有潜在不受信任代码的应用程序，则可能需要其他缓解措施。

SQL修补程序目前可用于下列受影响的SQL版本：

• Server 2008：2008年年SP4民主德国
• Server 2008R2：2008R2 SP3 GDR
• Server 2012：2012年年SP3CU、2012年年SP3民主德国、2012年年SP4民主德国
• Server 2014：2014年年SP2民主德国，2014年年SP2CU
• Server 2016：2016年SP1年CU7、2016年年全球复兴开发银行SP1、2016年年CU、2016年年民主德国、2016年SP1年CU7
• Server 2017：2017年年GRD、2017年年CU3 RTM、2017年年CU3

这些SQL服务器补丁防止CVE 2017-5753 (谱:边界检查旁路)。

为了防止CVE 2017-5754 (崩溃:流氓数据缓存负载)，您可以在Windows (通过注册表更改)或Linux上的Linux内核页表隔离(KPTI)上启用内核虚拟地址隐藏(KVAS) (通过来自Linux分发服务器的修补程序)。

为了防止CVE 2017-5715 (谱:分支目标注入)，您可以通过注册表更改和硬件制造商的固件更新启用分支目标注入缓解硬件支持(IBC)。

请注意，您的环境可能不需要KVAS、KPTI和IBC，而这些更改对性能影响最大(重点是我的)：

Microsoft建议所有客户安装Server和Windows的更新版本。这对基于Microsoft测试SQL工作负载的现有应用程序的性能影响应该可以忽略不计，但是，我们建议您在部署到生产环境之前进行验证。Microsoft测量了内核虚拟地址隐藏(KVAS)、内核页表间接式(KPTI)和分支目标注入缓解(IBC)对不同环境中各种SQL工作负载的影响，发现一些工作负载严重退化。我们建议您在部署到生产环境之前验证启用这些特性对性能的影响。如果启用这些功能对现有应用程序的性能影响太大，客户可以考虑将Server与运行在同一台计算机上的不受信任代码隔离是否更好地减轻了他们的应用程序。

(SCCM)的具体指南：2018年截至年1月8日缓解投机性执行侧通道漏洞的附加指导。

相关博客文章：

• 布伦特·奥扎尔：用于熔毁和幽灵攻击的服务器修补程序
• SQLHA：不好的，可怕的处理器缺陷和服务器部署-几乎所有你需要知道的
• 托马斯LaRock：服务器防止熔毁和幽灵攻击的指南
• 格伦·贝瑞：用于熔毁和幽灵攻击的更新
• 格伦·贝瑞：检查Windows中的熔毁和减少幽灵状态
• 服务器2017的最新版本 (CU3的收集信息和链接)
• 乔伊·德安东尼：幽灵和崩溃:它们如何影响服务器？