CVE-2019-1068

Описание

Злоумышленник, сумевший эксплуатировать эту уязвимость, способен выполнить код с использованием аккаунта службы SQL Server Database Engine.

Условия эксплуатации

Чтобы эксплуатировать уязвимость, аутентифицированный злоумышленник должен отправить специально подготовленный запрос на затронутый SQL сервер.

Решение

Обновление безопасности устраняет уязвимость, изменяя способ обработки Microsoft SQL Server Database Engine функций.

Часто задаваемые вопросы (FAQ)

У меня есть обновления GDR и/или CU (накопительное обновление) для моей версии SQL Server. Как узнать, какое обновление использовать?

• Сначала определите номер вашей версии SQL Server. Для получения дополнительной информации о том, как определить номер версии SQL Server, смотрите статью базы знаний Microsoft 321185 - Как определить версию, редакцию и уровень обновления SQL Server и его компонентов.
• Во-вторых, в таблице ниже найдите ваш номер версии или диапазон версий, к которому относится ваш номер версии. Соответствующее обновление — это то, которое нужно установить.

Примечание: Если ваш номер версии SQL Server не представлен в таблице ниже, ваша версия SQL Server больше не поддерживается. Пожалуйста, обновите до последнего пакета обновлений или продукта SQL Server, чтобы применить это и будущие обновления безопасности.

Что представляют собой обозначения GDR и CU и чем они отличаются?

Обозначения General Distribution Release (GDR) и Cumulative Update (CU) соответствуют двум различным вариантам обслуживания для базовых релизов SQL Server. Базовым релизом может быть либо RTM релиз, либо релиз пакета обновлений.

• GDR обновления — содержат только обновления безопасности для данной базы.
• CU обновления — содержат все функциональные исправления и обновления безопасности для данной базы.

Для любой заданной базы GDR или CU обновления могут быть вариантами (см. ниже).

• Если установка SQL Server находится на базовой версии, вы можете выбрать либо GDR, либо CU обновление.
• Если установка SQL Server намеренно только установила предыдущие GDR обновления, выберите установку пакета обновления GDR.
• Если установка SQL Server намеренно установила предыдущие CU обновления, выберите установку пакета обновлений безопасности CU.
• ПРИМЕЧАНИЕ: Вы можете сделать изменение от GDR обновлений к CU обновлениям ОДИН РАЗ. После того, как обновление CU для SQL Server установлено, НЕ возможно вернуться к пути обновления GDR.

Применяются ли эти обновления безопасности к SQL Server 2017 на Linux или в контейнерах Docker на Linux?

Да. Для получения информации о получении и установке CU или GDR обновлений на операционных системах Linux или контейнерах Docker смотрите:

1. Конфигурация репозиториев для установки и обновления SQL Server на Linux
2. Примечания к релизу для SQL Server 2017 на Linux
3. Официальные образы Microsoft SQL Server на Linux для Docker Engine

Будут ли эти обновления безопасности предложены кластерам SQL Server?

Да. Обновления также будут предложены экземплярам SQL Server 2016 SP1/SP2 и SQL Server 2017 RTM, которые работают в кластере. Обновления для кластеров SQL Server потребуют взаимодействия пользователя. Если кластер SQL Server 2016 SP1/SP2 или SQL Server 2017 RTM имеет пассивный узел, чтобы уменьшить время простоя, Microsoft рекомендует сначала сканировать и применить обновление на неактивном узле, затем сканировать и применить его на активном узле. Когда все компоненты будут обновлены на всех узлах, обновление больше не будет предложено.

Могут ли обновления безопасности быть применены к экземплярам SQL Server на Windows Azure (IaaS)?

Да. Экземпляры SQL Server на Windows Azure (IaaS) могут получить обновления безопасности через Microsoft Update, или клиенты могут скачать обновления безопасности из Центра загрузок Microsoft и применить их вручную.