2019-2602: Microsoft SQL Server Reporting Services: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2019-12-11 12:27)

Neues Advisory

Version 2 (2020-02-12 10:46)

Microsoft informiert über die Veröffentlichung des Service Packs 2 von Microsoft SQL Server 2016 für x64-baierte Systeme (CU und GDR), für die Sicherheitsupdates zur Behebung der Schwachstelle bereitstehen.

Betroffene Software

Office
Server

Betroffene Plattformen

Microsoft

Beschreibung:

Es existiert eine Schwachstelle in Microsoft SQL Server Reporting Services, die es einem entfernten, nicht authentisierten Angreifer durch speziell gestaltete Webanfragen, die ein anderer Benutzer ausführen muss, ermöglicht dessen Identität zu übernehmen und mit seinen Rechten beliebigen Programmcode auszuführen sowie Privilegien zu eskalieren.

Im Rahmen des Microsoft-Patchtages im Dezember 2019 werden Sicherheitsupdates zur Behebung der Schwachstellen bereitgestellt. Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'SQL Server' und die Produkte 'SQL Server 2017 Reporting Services', 'SQL Server 2019 Reporting Services' und 'Power BI Report Server' identifiziert werden.

Schwachstellen:

CVE-2019-1332

Schwachstelle in Microsoft SQL Server Reporting Services ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.