SQL Serverでは、パッチはどのように機能しますか?
以下のSQL Serverサービスパックのパッチがどのように機能するかを説明する必要があります。
最新のメルトダウンパッチが適用されているSQL Server 2014のパッチを下回っているサーバーはほとんどありません
12.00.5214
2014.120.5214.64057120 SQL Server 2014 Service Pack 2 GDRのセキュリティ更新:2018年1月16日–セキュリティアドバイザリADV180002 CVE-2017-5715 CVE-2017-5753 CVE-2017-5754
そしていくつかは以下の
12.00.5532
2014.120.5532.03194718 MS16-136:SQL Server 2014 Service Pack 2 CUのセキュリティ更新プログラムの説明:2016年11月8日
2014.120.5532.0バージョンは1つより高いビルドにあるようです2014.120.5214.6が、OCT 2016で公開されているようにチェックすると、そのパッチは古いようです。
ビルド2014.120.5532.0のサーバーにメルトダウンパッチを適用する必要がありますか、それともメルトダウンの対象ですか?.
これについていくつかのより良い理解が必要です。
参照:
- SQL Server 2014 SP2 GDRのセキュリティ更新プログラムの説明:2018年1月16日
- SQL Server 2014 SP2 CU10のセキュリティ更新プログラムの説明:2018年1月16日
- ADV180002 |投機的実行サイドチャネルの脆弱性を軽減するためのガイダンス
2018年1月16日、ADV180002 | Guidance to mitigate speculative execution side-channel vulnerabilitiesがスタンドアロンパッチとしてリリースされました。ビルド番号12.00.5214およびファイルバージョン2014.120.5214.6。このパッチは、サービスパック2がインストールされ、CUがインストールされていないサーバーに適用できます。累積的な更新プログラムをインストールしたくないが、それでもセキュリティ修正プログラムをインストールしたいショップがあるからです。
あなたはそれを見ることができます ここ 。
同じ日に、Service Pack 2以降のすべての累積的な更新が必要な人のために、同じパッチがCU10としてリリースされました。ビルド番号12.00.5571およびファイルバージョン2014.120.5571.0。
あなたはそれを見ることができます ここ 。
ビルド2014.120.5532.0のサーバーにメルトダウンパッチを適用する必要がありますか、それともメルトダウンの対象ですか?.
はい、mitigate speculative execution side-channel vulnerabilitiesを緩和したい場合はMeltdown and Spectreとも呼ばれます。その場合、12.00.5532から12.00.5571へのすべての更新を含むCU10を適用します。最新の利用可能なアップデートはCU14、ビルドversin 12.00.5600です。
MS-136ではない側も non-C および CU version でリリースされました。
5532パッチは MS16-136 の以前のパッチの別のリリースでした。元のリリースはSQL 2014 SP2用で、2番目のリリースはSP2 CU2用でした。
Spectre\Meltdown patch は、MS16-136パッチの後にリリースされました。これはいくつかの方法でリリースされました。SQLServer 2014 SP2インスタンス(12.00.5214)に適用できるパッチがあったか、インスタンス(12.00.5571)にSP2 CU10以降を適用できました。これらのどちらでも、確実に保護されます。
52.0は5214より前にリリースされたため、12.00.5214がすでに適用されていなければ、12.00.5532のインスタンスはSpectre\Meltdownから保護されません。 Spectre\Meltdownパッチなどのセキュリティパッチは、SQL Serverの以前のパスレベル用にリリースして、数値の衝突を回避できるようにする必要があります。
1つのかなり安全なオプション-すべての2014インスタンスにSP2 CU10以降にパッチを適用して、両方の修正が確実に適用されるようにします。または、とにかく5214を5532インスタンスに適用します。