Am 10. September hat Microsoft einen neuen GDR (General Distribution Release) herausgebracht. Grund dafür sind Sicherheitslücken, die damit behoben werden. Dieser Patch gilt für alle SQL Server Versionen, die aktuell noch von Microsoft unterstützt werden. Das sind die Versionen 2016, 2017, 2019 und 2022.
Worin bestehen die Sicherheitslücken?
In den Details zum Patch werden 12 Schwachstellen aufgeführt. Diese beziehen sich überwiegend auf den Machine Learning Service. Genauer gesagt auf das Native Scoring Feature. Der Machine Learning Service ermöglicht es mit Python und R-Skripten Machine Learning Modelle zu erstellen und trainieren. Früher mussten dafür die Daten erst aus der Datenbank geladen werden, bevor das Modell damit trainieren kann. Der neue Service sorgt dafür, dass die Skripte direkt in der Datenbank ausgeführt werden können und somit keine Daten transferiert werden müssen.
Die Schwachstellen befinden sich nun beim Native Scoring. Mithilfe der T-SQL Funktion PREDICT können bereits trainierte und gespeicherte Modelle aufgerufen werden und einen neuen Satz von Daten bewerten. Dies nennt sich Native Scoring. Ein authentifizierter Angreifer hat hier die Chance die Modelle auf eigene Daten anzuwenden. Damit hat er die Möglichkeit an Informationen aus dem Heap zu gelangen. Auch wenn eine Ausnutzung dieser Schwachstelle von Microsoft als weniger wahrscheinlich eingestuft wurde, hat es dennoch eine hohe Wichtigkeit diese Lücke zu fixen.
Im GDR wurden zudem Schwachstellen zum Rechtemanagement behandelt. Ein Angreifer würde versuchen, an mehr Rechte zu gelangen, damit dieser an mehr Informationen erhalten oder mehr Schaden anrichten kann. Darum wurden hier Schwachstellen ausgebessert, über die das möglich war.
Was kann ich machen?
Wenn Sie eine betroffene SQL Server Version betreiben, raten wir dazu das Update zu laden, besonders wenn Sie den Machine Learning Service nutzen. Dafür gibt es mehrere Methoden. Die einfachste ist dabei über Windows Update. Wenn hier automatische Updates aktiviert sind, wird auch dieser Patch automatisch heruntergeladen und installiert. Ansonsten kann der Patch über das Download Center heruntergeladen werden und muss im Anschluss manuell installiert werden. Weitere Informationen auch zu den Schwachstellen finden Sie in den verlinkten Artikeln der entsprechenden Versionen.
SQL Server 2022: KB5042578
SQL Server 2019: KB5042749
SQL Server 2017: KB5042215
SQL Server 2016: KB5042207
Fazit & Kontakt
Wir predigen unseren Kunden immer das regelmäßige Patchen und Updaten der im Haus betriebenen SQL Server Versionen. Wird regelmäßig gepatched, entgeht man der Gefahr von Sicherheitsrisiken. Doch oft fehlt die Zeit oder schlichtweg das know-how. Wir helfen gerne speziell zu einzelnen Fällen weiter oder sind auch langfristig für Sie im SQL Server Managed Service zur Stelle. Wenn Sie mehr über unser Angebot erfahren möchten, kontaktieren Sie uns gerne über unser Kontaktformular oder rufen Sie uns einfach an. Wir freuen uns, Ihnen weiterhelfen zu können.
