Уязвимость в Microsoft SQL Server Analysis Services, связанная с некорректной проверкой разрешений
Описание
В Microsoft SQL Server Analysis Services обнаружена Уязвимость утечки информации, возникающая из-за некорректной проверки разрешений. Злоумышленник может эксплуатировать эту уязвимость, если его учетные данные позволяют доступ к затронутой базе данных SQL Server. Успешная эксплуатация может привести к получению дополнительной информации о базе данных и файлах.
Условия эксплуатации
Злоумышленник должен иметь учетные данные, которые предоставляют доступ к уязвимой базе данных SQL Server, чтобы эксплуатировать эту уязвимость.
Решение
Обновление безопасности устраняет уязвимость, корректируя процесс проверки разрешений в SQL Server Analysis Services.
Часто задаваемые вопросы
Как узнать, какое обновление мне нужно установить?
- Определите вашу версию SQL Server. Подробная информация о версии SQL Server доступна в статье базы знаний Microsoft.
- Найдите вашу версию в таблице ниже. Установите соответствующее обновление.
Примечание: Если ваш номер версии SQL Server отсутствует в таблице, значит ваша версия больше не поддерживается. Пожалуйста, обновите до последнего пакета обновлений или продукта SQL Server, чтобы применить данное и будущие обновления безопасности.
| Номер обновления | Название | Если текущая версия продукта… | Это обновление безопасности также включает… |
|---|---|---|---|
| 4019092 | Описание обновления безопасности для SQL Server 2012 SP3 GDR: 8 августа 2017 г. | 11.0.6020.0 - 11.0.6248.0 | 3194721 |
| 4019090 | Описание обновления безопасности для SQL Server 2012 SP3 CU: 8 августа 2017 г. | 11.0.6518.0 - 11.0.6598.0 | 3194724 |
| 4019091 | Описание обновления безопасности для SQL Server 2014 Service Pack 1 GDR: 8 августа 2017 г. | 12.0.4100.1 - 12.0.4232.0 | 3194720 |
| 4032542 | Описание обновления безопасности для SQL Server 2014 Service Pack 1 CU: 8 августа 2017 г. | 12.0.4416.0 - 12.0.4511.0 | 3194720 |
| 4019093 | Описание обновления безопасности для SQL Server 2014 Service Pack 2 GDR: 8 августа 2017 г. | 12.0.5000.0 - 12.0.5203.0 | 3194714 |
| 4036996 | Описание обновления безопасности для SQL Server 2014 Service Pack 2 CU: 8 августа 2017 г. | 12.0.5511.0 - 12.0.5546.0 | 3194718 |
| 4019088 | Описание обновления безопасности для SQL Server 2016 RTM GDR: 8 августа 2017 г. | 13.0.1601.5 - 13.0.1722.0 | 3194716 |
| 4019086 | Описание обновления безопасности для SQL Server 2016 RTM CU: 8 августа 2017 г. | 13.0.2149.0 - 13.0.2204.0 | 3194717 |
| 4019089 | Описание обновления безопасности для SQL Server 2016 Service Pack 1 GDR: 8 августа 2017 г. | 13.0.1605.0 - 13.0.1721.0 | Не применимо |
| 4019095 | Описание обновления безопасности для SQL Server 2016 CU: 8 ноября 2016 г. | 13.0.4411.0 - 13.0.4435.0 | Не применимо |
Для получения дополнительных инструкций по установке ознакомьтесь с подразделом "Информация об обновлении" для вашего издания SQL Server.
Как отличаются обновления GDR и CU?
Обновления General Distribution Release (GDR) и Cumulative Update (CU) представляют собой две ветви обновления для SQL Server. Основное различие состоит в том, что ветви CU включают все обновления для заданной основы, тогда как ветви GDR включают только накопительные критические обновления. Основа может быть исходным релизом или пакетом обновлений.
Будут ли эти обновления безопасности предложены для кластеров SQL Server?
Да. Обновления будут предложены для экземпляров SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2, SQL Server 2016 RTM и SQL Server 2016 SP1, находящихся в кластере. Для обновления кластеров SQL Server потребуется взаимодействие с пользователем.
Могут ли обновления безопасности применяться к экземплярам SQL Server на Windows Azure (IaaS)?
Да. Экземпляры SQL Server на Windows Azure (IaaS) могут получать обновления через Microsoft Update или клиенты могут скачать обновления из Центра загрузки Microsoft и применить их вручную.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Microsoft SQL Server 2012 for 32-bit Systems Service Pack 3 (GDR) | ||
| Microsoft SQL Server 2012 for 32-bit Systems Service Pack 3 (CU) | ||
| Microsoft SQL Server 2012 for x64-based Systems Service Pack 3 (GDR) | ||
| Microsoft SQL Server 2012 for x64-based Systems Service Pack 3 (CU) | ||
| Microsoft SQL Server 2014 Service Pack 1 for 32-bit Systems (GDR) | ||
| Microsoft SQL Server 2014 Service Pack 1 for 32-bit Systems (CU) | ||
| Microsoft SQL Server 2014 Service Pack 1 for x64-based Systems (GDR) | ||
| Microsoft SQL Server 2014 Service Pack 1 for x64-based Systems (CU) | ||
| Microsoft SQL Server 2014 Service Pack 2 for 32-bit Systems (GDR) | ||
| Microsoft SQL Server 2014 Service Pack 2 for 32-bit Systems (CU) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
Microsoft SQL Server Analysis Services in Microsoft SQL Server 2012, Microsoft SQL Server 2014, and Microsoft SQL Server 2016 allows an information disclosure vulnerability when it improperly enforces permissions, aka "Microsoft SQL Server Analysis Services Information Disclosure Vulnerability".
Microsoft SQL Server Analysis Services in Microsoft SQL Server 2012, Microsoft SQL Server 2014, and Microsoft SQL Server 2016 allows an information disclosure vulnerability when it improperly enforces permissions, aka "Microsoft SQL Server Analysis Services Information Disclosure Vulnerability".
EPSS