此安全更新可解决 Microsoft SQL Server 中两个秘密报告的漏洞(SQL Server Master Data Services 中一个,SQL Server 关系数据库管理系统中一个)。其中较严重的漏洞影响 SQL Server Master Data Services,如果用户访问会将客户端脚本注入用户的 Internet Explorer 实例中的特制网站,该漏洞可能允许特权提升。在所有情况下,攻击者无法强制用户查看由攻击者控制的内容。相反,攻击者必须诱使用户采取行动,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站,或者让用户打开通过电子邮件发送的附件。
对于 Microsoft SQL Server 2008 Service Pack 3、Microsoft SQL Server 2008 R2 Service Pack 2 和 Microsoft SQL Server 2012 Service Pack 1 的受支持版本,此安全更新的等级为“重要”;对于 Microsoft SQL Server 2014(用于基于 x64 的系统),此安全更新的等级也为“重要”。此安全更新通过更正 SQL Master Data Services (MDS) 对输出进行编码的方式以及 SQL Server 处理 T-SQL 查询的方式来解决漏洞。
建议。 大多数客户均启用了自动更新,他们不必采取任何操作,因为此安全更新将自动下载并安装。有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。对于未启用了自动更新的客户,可以使用打开或关闭自动更新中的的步骤启用自动更新。注意: 在某些情形下,使用 Microsoft SQL Server Master Data Service (MDS) 的客户可能无法通过自动更新获得此更新。有关详细信息和变通办法步骤,请参阅 Microsoft 知识库文章 2969894 中的已知问题条目。
对于管理员和企业安装,或者想要手动安装此安全更新的最终用户(包括未启用自动更新的客户),Microsoft 建议客户尽早使用更新管理软件来应用此更新,或者使用 Microsoft Update 服务来检查更新。更新也可以通过本公告“受影响的软件”表中的下载链接获取。
另请参阅本公告后面部分中的“检测和部署工具及指导”一节。
English Version
https://technet.microsoft.com/en-us/library/security/MS14-044
简体中文版
https://technet.microsoft.com/zh-cn/library/security/MS14-044
Responses to “MS14-044 Vulnerabilities in SQL Server Could Allow Elevation of Privilege (2984340)”
Back Top
Leave a Reply