SQL Server-Leitfaden

Aufgrund der aktuell bekannt gewordenen Sicherheitslücke gibt es diverse Dokumente und Aktivitäten von Microsoft, um diese zu schließen.

Hier folgt eine erste Sammlung von Links zu dem Thema!

Der Artikel für die SQL Server findet sich hier: KB 4073225: SQL Server Guidance to protect against speculative execution side-channel vulnerabilities.
Die deutsche Übersetzung lautet "SQL Server-Leitfaden zum Schutz vor Sicherheitsrisiken durch Seitenkanalangriffe mit spekulativer Ausführung", krankt aber an der maschinellen Übersetzung: KB 4073225

Der Artikel für die Betriebssysteme findet sich hier: Windows Server guidance to protect against speculative execution side-channel vulnerabilities

Verfügbare Builds

Das oben angegebene Dokument für die SQL Server wird aktualisiert, wenn es weitere Patche gibt. Hier schon mal die Liste für die Patche, die am 05.01.2018 verfügbar sind.
SQL Server 2017 CU3
SQL Server 2017 GDR
SQL Server 2016 SP1 CU7
SQL Server 2016 SP1 GDR

Anmerkungen

Auch wenn es auf den ersten Blick erst mal keinen Grund zur Panik gibt, sollte man sich doch mit dem Thema beschäftigen und insbesondere auch diesen Punkt beachten: Untrusted SQL Server extensibility mechanisms.
Hier drunter verbergen sich so Sachen wie Non-Microsoft OLE DB providers used in Linked Servers oder auch die abgekündigten Non-Microsoft Extended Stored Procedures.

Betroffen sind auf jeden Fall alle Versionen, die aktuell noch supported werden: SQL Server 2008, SQL Server 2008R2, SQL Server 2012, SQL Server 2014, SQL Server 2016, SQL Server 2017

Wird es zu Performance-Einbußen kommen? Das ist eine gute Frage und kann aktuell noch nicht beantwortet werden. Die Vermutungen gehen eher dahin, dass man die Auswirkungen nicht merken wird. Falls es dennoch zu Problemen kommen sollte, wäre zu überlegen, den "non-trusted" Code abzuschalten, das System zu isolieren und die Einstellung an der Registry rückgängig zu machen. Aber das ist oft einfacher gesagt als getan! Maschinen in einer "private hosting" Umgebung sind jedenfalls weniger stark betroffen.

Hintergrund

Für die meisten dürfte es recht schwierig sein zu verstehen, was bei dieser Sicherheitslücke (Meltdown/Spectre) passieren kann. Hierzu gibt es eine (etwas) verständlichere Beschreibung für nicht so technisch versierte: An Explanation of the Meltdown/Spectre Bugs for a Non-Technical Audience