您现在的位置: 首页» 通知公告

关于SQL Server存在远程命令执行漏洞的预警通知

发布日期:2020-02-21  作者: 来源:

    近日,有研究发现,微软SQL Server存在远程命令执行漏洞。经过身份验证后,攻击者可利用该高危漏洞向SQL Server的报告服务(Reporting Services)发送特制请求进行触发。攻击成功后可获得SQL Server服务的对应控制权限。微软已于本月发布了安全更新(CVE-2020-0618),以修复该漏洞。

    受影响的版本及修复补丁号如下:

产品名称

版本

补丁编号

SQL Server 2016 Service Pack 2(GDR)

13.0.5026.0-13.0.5101.9

KB4505220

SQL Server 2016 Service Pack 2 CU11

13.0.5149.0-13.0.5598.27

KB4527378

SQL Server 2014 Service Pack 3 (GDR)

12.0.6024.0-12.0.6108.1

KB4505218

Server 2014 Service Pack 2 CU4

12.0.6205.1-12.0.6329.1

KB4500181

SQL Server 2012 Service Pack 4 (QFE)

111.0.7001.0-11.0.7462.6

KB4057116

    请根据所使用的SQL Server版本号,安装上表中对应的补丁,下载地址为:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0618

    如果所使用的SQL Server版本号未在上表中显示,则该版本不再受到微软的官方支持,同样有遭受该漏洞影响的风险。建议升级到最新的SQL Server,以免遭受漏洞攻击。

    请各单位开展漏洞排查和安全加固,提高安全防范能力,发现攻击情况及时处置并报告。若有问题,请联系网教中心信息管理部,电话:87082976,邮箱:nic@nwafu.edu.cn。


网络与教育技术中心

2020年2月20日



  

Copyright © 2005-2020 西北农林科技大学信息化管理处(网络与教育技术中心)