![\"twitter\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/twitter.png\" "\\"Share")
<\/a><\/a>![\"linkedin\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/linkedin.png\" "\\"Share")
<\/a>![\"mail\"](\"https:\/\/blog.capdata.fr\/wp-content\/plugins\/social-media-feather\/synved-social\/image\/social\/regular\/48x48\/mail.png\" "\\"Share")
<\/a>Tout d’abord bonne ann\u00e9e \u00e0 tous et meilleurs v\u0153ux pour 2018 !<\/p>\n
Cette ann\u00e9e d\u00e9marre sur les chapeaux de roues pour tous les ouvriers de l’IT que nous sommes avec l’annonce officielle faite le 3 janvier dernier de deux failles principales d\u00e9couvertes au c\u0153ur de l’architecture des processeurs, les d\u00e9nomm\u00e9es\u00a0\u00a0Meltdown et Spectre<\/a>.\u00a0Les deux failles bien que d\u00e9voilant des vuln\u00e9rabilit\u00e9s distinctes reposent toutes les deux sur le principe d’ex\u00e9cution sp\u00e9culative impl\u00e9ment\u00e9e dans les processeurs Intel depuis des lustres (l’\u00e9quipe de Google Project Zero mentionne des CPU datant de 1995…).<\/p>\n Le principe est que derri\u00e8re un branchement conditionnel (if …<\/em>) , le processeur va commencer \u00e0 ex\u00e9cuter certaines instructions par anticipation en utilisant un algorithme pr\u00e9dictif. Si la condition est invalide (branch mispredict<\/em>), alors les registres affect\u00e9s par ces ex\u00e9cutions anticip\u00e9es seront invalid\u00e9s et le flot d’ex\u00e9cution est raccroch\u00e9 \u00e0 la condition valide. Toutefois des traces sont laiss\u00e9es au niveau des caches ce qui permet d’aller lire depuis l’espace d’adressage utilisateur (usermode<\/em>) des donn\u00e9es prot\u00e9g\u00e9es dans l’espace r\u00e9serv\u00e9 au noyau (kernelmode<\/em>). Dans le cas de Meltdown, cela permet d’aller d\u00e9coder l’ASLR<\/a>, la randomisation du chargement des adresses m\u00e9moire du noyau, et de savoir \u00e0 quelle adresse quel module est charg\u00e9, pour pouvoir de nouveau\u00a0 g\u00e9n\u00e9rer des attaques comme c’\u00e9tait le cas avant la mise en place de ces m\u00e9canismes (2007 sur Windows, 2001 sur Linux).<\/p>\n Cons\u00e9quence, des donn\u00e9es sensibles que l’on croyait prot\u00e9g\u00e9es et inviolables nativement de par l’architecture du processeur peuvent \u00eatre d\u00e9rob\u00e9es.<\/p>\n Pour plus de d\u00e9tails, se reporter au document d’\u00e9tude concernant chaque faille (Meltdown<\/a>, Spectre<\/a>), ainsi qu’au travail pr\u00e9liminaire fourni par Anders Fogh<\/a>\u00a0en juillet 2017 et qui avait conduit les diff\u00e9rents acteurs (Project Zero, Universit\u00e9 de Graz et Cyberus) \u00e0 remonter le probl\u00e8me aux principaux int\u00e9ress\u00e9s Intel, AMD, etc…<\/p>\n Des patches pour Meltdown seulement ont commenc\u00e9 \u00e0 \u00eatre d\u00e9ploy\u00e9s d’abord sur Linux, puis Windows, et on a commenc\u00e9 \u00e0 voir passer des interruptions de service pour passage de ces patches notamment sur les plateformes cloud AMAZON et Microsoft pour la partie IaaS pas plus tard qu’hier dans la journ\u00e9e.<\/p>\n La seule info technique sur la solution de contournement vient de l’adoption du patch dit KAISER<\/a> propos\u00e9 par le groupe de travail sur Meltdown, dans la distro Linux mainstream le 29 d\u00e9cembre dernier<\/a>. La solution est d’impl\u00e9menter le Kernel Page Table Isolation<\/a> ou KPTI afin de retirer la visibilit\u00e9 de l’espace d’adressage noyau depuis le user mode. Cette solution s’applique \u00e0 Meltdown uniquement.<\/p>\n Maintenant la question c’est quelles sont les cons\u00e9quences d’un tel bouleversement pour les bases de donn\u00e9es car il y a d\u00e9j\u00e0 quelques retours sur l’impact en termes de performance notamment\u00a0ici<\/a>\u00a0et l\u00e0<\/a>.<\/p>\n Microsoft a donc fourni une note<\/a>\u00a0sp\u00e9cifique pour SQL Server en pr\u00e9cisant le type de sc\u00e9nario (bare metal, machine virtuelle, cloud, linux) le degr\u00e9 d’exposition et les pr\u00e9conisations. Les versions \u00e9tant concern\u00e9es par les patches sont les versions \u00e0 partir de SQL Server 2008 jusqu’\u00e0 la SQL Server 2017, versions Itanium non comprises. Les plus anciennes ne seront pas corrig\u00e9es, ce qui devrait inciter les retardataires \u00e0 migrer si ce n’est pas d\u00e9j\u00e0 fait. La bonne nouvelle c’est qu’une grosse partie des fonctionnalit\u00e9s Enterprise de SQL Server 2016 est \u00e9galement disponible en \u00e9dition standard<\/a>, ce serait dommage de ne pas profiter de l’occasion.<\/p>\n 4 patches de s\u00e9curit\u00e9 sur SQL Server sont disponibles pour l’instant pour les versions 2016 et 2017, en GDR et dans le dernier CU \u00e0 chaque fois, on ne sait pas ce qu’ils contiennent ni ce qu’ils font.<\/p>\n Egalement une liste des fonctionnalit\u00e9s ‘\u00e0 risque’ est mentionn\u00e9e principalement tout ce qui concerne de l’ex\u00e9cution de code externe comme CLR, proc\u00e9dures stock\u00e9es \u00e9tendues, R\/Python, et l’utilisation de serveurs li\u00e9s hors du p\u00e9rim\u00e8tre de confiance.\u00a0 Mais globalement si SQL Server est ex\u00e9cut\u00e9 en bare metal dans un environnement ‘de confiance’ c’est \u00e0 dire que tous les composants p\u00e9riph\u00e9riques sont connus et valid\u00e9s du point de vue s\u00e9curit\u00e9, il n’y a pas de raison de patcher dans l’imm\u00e9diat.<\/p>\n A savoir qu’une note<\/a>\u00a0similaire pour Windows Server est \u00e9galement disponible. On n’a pas pour l’instant de retour sur l’impact de SQL Server 2017 sur Linux avec KTPI activ\u00e9.<\/p>\n Update ! 11 janvier 2018<\/strong><\/em><\/p>\n Pour l’instant pas de nouvelle de l’impl\u00e9mentation de KPTI<\/a> sur OEL 6 et 7, alors que chez Red Hat on\u00a0a d\u00e9j\u00e0 commenc\u00e9 \u00e0 travailler<\/a> sur le sujet. Pas vu pour l’instant de communiqu\u00e9 d’Oracle sur Meltdown, qui est le risque le plus imm\u00e9diat. Pas de benchmark donc disponible, mais il est \u00e0 pr\u00e9voir qu’il y aura un impact sur la partie OS, RDBMS et m\u00eame cloud puisque Oracle VM s’appuie sur Xen qui est dans le scope.<\/p>\n Update ! 11 janvier 2018<\/strong><\/em><\/p>\n Thierry dans les commentaires nous indique qu’Oracle a publi\u00e9 des correctifs pour OEL 6 et 7:<\/p>\n https:\/\/linux.oracle.com\/errata\/ELSA-2018-0007.html<\/a> Percona<\/a> a commenc\u00e9 \u00e0 communiquer\u00a0 sur le sujet pour l’instant m\u00eame chose pas de benchmark disponible:<\/p>\n “At this time, Percona does not have conclusive results on how much performance impact you might expect on your databases. We\u2019re working on getting some benchmarks results published shortly.”<\/em><\/p>\n Pas de comm chez MariaDB sur le sujet pour l’instant On rappelle que les principaux int\u00e9ress\u00e9s sont d’une part Intel et dans une moindre mesure AMD, puis les \u00e9diteurs d’operating system. Les \u00e9diteurs de base de donn\u00e9es sont eux en bout de cha\u00eene et hormis Microsoft qui a d\u00e9j\u00e0 publi\u00e9 des correctifs pour SQL Server (dont on ignore le contenu), les autres s’en tiennent aux correctifs Linux et Windows.<\/p>\n Update ! 11 janvier 2018<\/strong><\/em><\/p>\n La premi\u00e8re alerte<\/a> est venue d’Andres Freund sur la mailing list hackers<\/a> en d\u00e9but de semaine qui a pu tester rapidement une \u00e9ventuelle d\u00e9gradation de perfs en TPS avec et sans l’activitation des KTPIs qui montre un -16% sur une simple requ\u00eate CPU bound en local. Je vous invite vivement \u00e0 lire le contenu de ce post et vous abonner \u00e0 la suite. Robert Haas<\/a> a d\u00e9j\u00e0 commenc\u00e9 \u00e0 r\u00e9pondre et il y a fort \u00e0 parier que le fil de discussion s’enrichisse au fil des jours.<\/p>\n Update ! 11 janvier 2018<\/strong><\/em><\/p>\n Pour l’instant beaucoup de sp\u00e9culations<\/em>\u00a0 sur les impacts en termes de performance de ces nouveaux patches sur les bases de donn\u00e9es, et pas beaucoup de faits, mais soyons s\u00fbr que \u00e7a va arriver dans le mois de janvier. Sur Linux, la solution de s\u00e9parer les pages tables entre usermode et kernelmode va certainement rajouter des cycles \u00e0 chaque interruption, appel syst\u00e8me, etc… Sur Windows on ne sait pas encore quelles modifications ont \u00e9t\u00e9 faites pour prot\u00e9ger la randomisation des adresses m\u00e9moire du noyau (ASLR), on peut supposer que ce sera du m\u00eame acabit que sur Linux, \u00e0 savoir masquer les entr\u00e9es depuis le usermode.<\/p>\n Ce qui est certain c’est que l’on va voir d\u00e9bouler tout un tas d’op\u00e9rations de patch de securit\u00e9 chez tous les h\u00e9bergeurs<\/a>\u00a0, certaines ayant commenc\u00e9 d\u00e9j\u00e0 sur AWS et potentiellement Azure.<\/p>\n Stay tuned<\/p>\n ~David<\/p>\n Tout d’abord bonne ann\u00e9e \u00e0 tous et meilleurs v\u0153ux pour 2018 ! Cette ann\u00e9e d\u00e9marre sur les chapeaux de roues pour tous les ouvriers de l’IT que nous sommes avec l’annonce officielle faite le 3 janvier dernier de deux failles… Continuer la lecture SQL Server<\/h1>\n
Une publication officielle<\/a> fait le point sur les vuln\u00e9rabilit\u00e9s, les patches et les potentielles r\u00e9gressions attendues en fonction des OS. Windows 7 et 8 seraient davantage impact\u00e9s que Windows 10.<\/div>\nOracle<\/h1>\n
\nhttps:\/\/linux.oracle.com\/errata\/ELSA-2018-0008.html<\/a><\/p>\nMySQL:<\/h1>\n
Premier bench<\/a> remont\u00e9 et qui montre 7% de charge en plus sur l’OS patch\u00e9 (Debian en l’occurence) avec pcid et jusqu’\u00e0 11% en nopcid.<\/div>\nPostgreSQL<\/h1>\n
Simon Riggs a publi\u00e9 un article hier<\/a> pour remettre les choses au clair concernant les all\u00e9gations de probl\u00e8me de performance sur PostgreSQL. Les tests effectu\u00e9s montrent une perte de 7% sur l’activit\u00e9 CPU bound avec pti=on<\/em>. La seule vuln\u00e9rabilit\u00e9 connue \u00e0 travers PostgreSQL concerne l’utilisation de langages PL non trust\u00e9s comme PL\/PerlU. Aucun patch de s\u00e9curit\u00e9 n’est pr\u00e9vu c\u00f4t\u00e9 PostgreSQL, la recommandation est bien \u00e9videmment d’appliquer les patches OS disponibles.<\/div>\nConclusion:<\/h1>\n
<\/a><\/a><\/a>","protected":false},"excerpt":{"rendered":"