2022-0310: Microsoft SQL Server, powerbi-client: Zwei Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2022-02-09 11:31)

Neues Advisory

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann eine Schwachstelle in Microsoft SQL Server 2019 für Linux-Container lokal ausnutzen, um Privilegien zu eskalieren. Eine weitere Schwachstelle im Power BI Client kann mit erweiterten Privilegien aus der Ferne ausgenutzt werden, um Informationen auszuspähen.

Microsoft informiert über die Schwachstellen, die über die Kategorie 'SQL Server' im Leitfaden für Sicherheitsupdates identifiziert werden können. Es steht ein Sicherheitsupdate für SQL Server 2019 für Linux-Container bereit. Das Update für PowerBI Client wird betroffenen Diensten und Anwendungen automatisch ausgeliefert. Anwender sollen sicherstellen, dass sie das PowerBI Client JS SDK auf Version 2.19.1 aktualisieren.

Schwachstellen:

CVE-2022-23254

Schwachstelle in powerbi-client ermöglicht Ausspähen von Informationen

CVE-2022-23276

Schwachstelle in Microsoft SQL Server ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.