2023-0361: Microsoft SQL Server, Power BI Report Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-02-15 13:47)
- Neues Advisory
- Version 2 (2023-02-17 12:07)
- Microsoft stellt zur Behebung der Schwachstelle CVE-2023-21528 auch Sicherheitsupdates für die Extended Support (ESU) Produkte Microsoft SQL Server 2008 Service Pack 4, Microsoft SQL Server 2008 R2 Service Pack 3 und Microsoft SQL Server 2012 Service Pack 4 zur Verfügung. Für das Extended Support (ESU) Produkt Microsoft SQL Server 2012 Service Pack 4 werden außerdem die Schwachstellen CVE-2023-21705 und CVE-2023-21713 adressiert.
Betroffene Software
Office
Server
Betroffene Plattformen
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen im Microsoft SQL Server aus der Ferne oder lokal ausnutzen, um beliebigen Programmcode auszuführen. Eine Schwachstelle im Power BI Report Server kann ein Angreifer aus der Ferne ausnutzen, um falsche Informationen darzustellen. Die erfolgreiche Ausnutzung dieser letztgenannten Schwachstelle kann Einfluss auf andere Komponenten haben.
Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Im Rahmen des Microsoft-Patchtags im Februar 2023 werden Sicherheitsupdates zur Behebung der Schwachstelle bereitgestellt. Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'SQL Server' identifiziert werden. Der Power BI Report Server steht als Sicherheitsupdate in der Version 15.0.1111.115 bereit.
Schwachstellen:
CVE-2023-21528
Schwachstelle in Microsoft SQL Server ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-21568
Schwachstelle in Microsoft SQL Server ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-21704
Schwachstelle in Microsoft SQL Server ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-21705 CVE-2023-21713
Schwachstellen in Microsoft SQL Server ermöglichen Ausführen beliebigen ProgrammcodesCVE-2023-21718
Schwachstelle in Microsoft SQL Server ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-21806
Schwachstelle in Power BI Report Server ermöglicht Darstellen falscher Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.