Für alle, die SQL Server 2022 installiert haben gibt es große Neuigkeiten!
Seit gestern gibt es das erste Security Update für SQL Server 2022!
Das erste kumulative Update ist leider noch nicht erschienen. Wer also auf Probleme gestoßen ist, die in den Release Notes beschrieben wurden, muss sich noch etwas gedulden.
Es gibt allerdings nicht nur Neuigkeiten zum SQL Server 2022, sondern auch zu allen Versionen, für die es aktuell noch Support gibt (2014, 2016, 2017, 2019). Auch hierfür sind seit gestern neue Security Updates erhältlich.
Durch diese Updates werden allerdings keine neuen Funktionen hinzugefügt, sondern folgende Schwachstellen bei der Ausführung von Remotecode behoben:
- CVE-2023-21528 - Sicherheitsanfälligkeit in Microsoft SQL Server bezüglich Remotecodeausführung
- CVE-2023-21704 - Sicherheitsanfälligkeit im Microsoft SQL ODBC-Treiber bezüglich Remotecodeausführung
- CVE-2023-21705 - Sicherheitsanfälligkeit in Microsoft SQL Server bezüglich Remotecodeausführung
- CVE-2023-21713 - Sicherheitsanfälligkeit in Microsoft SQL Server bezüglich Remotecodeausführung
- CVE-2023-21718 - Sicherheitsanfälligkeit im Microsoft SQL ODBC-Treiber bezüglich Remotecodeausführung
Schauen wir uns jetzt die Bugs etwas genauer an:
| Bug Reference | Beschreibung | Bereich | Komponente | Plattform |
|---|---|---|---|---|
| 2033045 | Ein authentifizierter Angreifer kann den SQL Server-Speicher beeinflussen, wenn er eine spezielle CREATE- oder UPDATE STATISTICS-Anweisung ausführt | SQL Performance | Query Optimizer | Alle |
| 2029156 | Jedes Mitglied mit der ‘DQS KB Operator’-Rolle (dqs_kb_operator) oder einer höheren Berechtigungsstufe kann als das Konto, unter dem der SQL Server-Dienst läuft (Standardkonto ist NT SERVICE\MSSQLSERVER), auf dem Computer, auf dem SQL Server gehostet wird, Code ausführen. | Data Quality Services (DQS) | Data Quality Services | Windows |
| 2120756 | In seltenen Fällen kann es bei der Kommunikation zwischen zwei SQL Servern zu einer Speicherbeschädigung im ODBC-Treiber kommen. Dieses Problem tritt auf, wenn der Ziel-SQL-Server eine niedrigere Version des TDS-Protokolls (Tabular Data Stream) verwendet. Eine unsachgemäße Versionsprüfung führt dazu, dass Bilddatentypen auf der Client-Seite der Verbindung falsch dekodiert werden. | SQL Connectivity | SQL Connectivity | Windows |
| 2094937 | Jedes Mitglied mit der ‘DQS KB Operator’-Rolle (dqs_kb_operator)oder einer höheren Berechtigungsstufe kann als das Konto, unter dem der SQL Server-Dienst läuft (Standardkonto ist NT SERVICE\MSSQLSERVER), beliebige Dateien auf dem Computer, auf dem SQL Server gehostet wird, erstellen oder überschreiben. | Data Quality Services (DQS) | Data Quality Services | Windows |
Leistungspakete der Mainzer Datenfabrik
Als professioneller SQL Server Support und zertifizierter Microsoft Partner unterstützen wir Sie in allen Fragen und individuellen Problemen rund um Ihre Serverumgebung, egal ob vor Ort oder remote. Überzeugen Sie sich selbst von unserem vielfältigen Angebot und den individuellen Leistungspaketen.
Weitere Informationen zu SQL Server 2022 finden Sie hier. Bei weiteren Fragen stehen wir gerne über unser Kontaktformular zur Verfügung.
