CVE-2019-1332

Описание

Уязвимость типа межсайтового скриптинга (XSS) в Microsoft SQL Server Reporting Services (SSRS) обнаружена из-за некорректной обработки веб-запросов специального формата к серверу SSRS.

Злоумышленник, эксплуатировавший уязвимость, способен выполнить скрипты в контексте целевого пользователя. Это позволяет злоумышленнику читать данные, к которым у него нет доступа, выполнять вредоносный код и использовать личность жертвы, чтобы совершать действия на сайте от имени пользователя, такие как изменение разрешений и удаление контента.

Условия эксплуатации

Для эксплуатации уязвимости злоумышленник должен убедить авторизованного пользователя кликнуть по специально сформированной ссылке на уязвимый сервер SSRS.

Решение

Обновление исправляет уязвимость путем корректировки обработки URL в SSRS.

Часто задаваемые вопросы (FAQ)

Есть экземпляры обновлений GDR и/или CU для моей версии SQL Server. Как определить, какое обновление использовать?

1. Во-первых, определите номер версии вашего SQL Server. За более подробной информацией обратитесь к статье базы знаний Microsoft 321185 - Как определить версию, выпуск и уровень обновления SQL Server и его компонентов.
2. Во-вторых, в таблице ниже найдите номер вашей версии или диапазон, в который входит ваш номер версии. Соответствующее обновление — это то, которое нужно установить.

Примечание: Если ваша версия SQL Server не представлена в таблице ниже, то она больше не поддерживается. Пожалуйста, обновитесь до последнего Пакета обновлений или продукта SQL Server, чтобы применить это и будущие обновления безопасности.

Что обозначают обновления GDR и CU и как они различаются?

Обозначения General Distribution Release (GDR) и Cumulative Update (CU) соответствуют двум различным вариантам сервиса для базовых релизов SQL Server. Базовый релиз может быть либо RTM выпуском, либо выпуском Service Pack.

• GDR обновления — накопительно содержат только обновления безопасности для заданного базового релиза.
• CU обновления — накопительно содержат все функциональные исправления и обновления безопасности для заданного базового релиза.

Для любого базового релиза могут быть предложены как обновления GDR, так и CU (см. ниже).

• Если установка SQL Server находится на базовой версии, можно выбрать либо обновление GDR, либо CU.
• Если установка SQL Server намеренно устанавливала только предыдущие GDR обновления, то следует установить пакет обновления GDR.
• Если установка SQL Server намеренно устанавливала предыдущие CU обновления, то следует установить пакет обновления CU безопасности.
• Замечание: Вы имеете возможность один раз изменить путь обновления с GDR на CU. После применения CU обновления к установке SQL Server, вернуться к пути обновлений GDR невозможно.

Могут ли обновления безопасности применяться к экземплярам SQL Server на Windows Azure (IaaS)?

Да. Обновления безопасности могут быть предоставлены экземплярам SQL Server на Windows Azure (IaaS) через Microsoft Update, или клиенты могут загрузить обновления безопасности из Центра загрузок Microsoft и применить их вручную.