2024-2371: Microsoft SQL Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2024-09-11 13:00)
- Neues Advisory
- Version 2 (2024-09-11 18:38)
- Dem Advisory wurden weitere Schwachstellen, welche die Native Scoring Funktionalität betreffen, hinzugefügt. Ein erfolgreicher Angriff, der diese Schwachstellen ausnutzt, setzt ausreichende Berechtigungen voraus, um über die SQL Server Native Scoring Funktionalität vorab trainierte Modelle auf Daten anzuwenden, ohne diese aus der Datenbank zu bewegen. Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren und beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen. Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich.
Betroffene Software
Server
Betroffene Plattformen
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren und beliebigen Programmcode auszuführen.
Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich.
Im Rahmen des Microsoft-Patchtags im September 2024 werden Sicherheitsupdates zur Behebung der Schwachstellen bereitgestellt. Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'SQL Server' identifiziert werden.
Schwachstellen:
CVE-2024-26186
Schwachstelle in Microsoft SQL Server Native Scoring ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2024-26191 CVE-2024-37335
Schwachstellen in Microsoft SQL Server Native Scoring ermöglichen Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2024-37337 CVE-2024-37342 CVE-2024-37966
Schwachstellen in Microsoft SQL Server Native Scoring ermöglichen Ausspähen von InformationenCVE-2024-37338
Schwachstelle in Microsoft SQL Server Native Scoring ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2024-37339 CVE-2024-37340
Schwachstellen in Microsoft SQL Server Native Scoring ermöglichen Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2024-37341
Schwachstelle in Microsoft SQL Server ermöglicht PrivilegieneskalationCVE-2024-37965
Schwachstelle in Microsoft SQL Server ermöglicht PrivilegieneskalationCVE-2024-37980
Schwachstelle in Microsoft SQL Server ermöglicht PrivilegieneskalationCVE-2024-43474
Schwachstelle in Microsoft SQL Server ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.