[English]Aktuell hat Microsoft einiges an Verwirrung im Hinblick auf die August 2018-Sicherheitsupdates für den SQL-Server hinterlassen. Oder anders ausgedrückt: Der SQL Server 2014 SP2 kommt in den Updates nicht vor. Hier ein paar Details.
Schwachstelle CVE-2018-8273 in SQL Server
Im Microsoft SQL Server gibt es die Remote Code Execution-Schwachstelle CVE-2018-8273. Diese ist sowohl in der National Vulnerability Database unter CVE-2018-8273 als auch beim Microsoft im Security Update Guide dokumentiert. Dort steht:
A buffer overflow vulnerability exists in the Microsoft SQL Server that could allow remote code execution on an affected system. An attacker who successfully exploited this vulnerability could execute code in the context of the SQL Server Database Engine service account.
To exploit the vulnerability, an attacker would need to submit a specially crafted query to an affected SQL server.
The security update addresses the vulnerability by modifying how the Microsoft SQL Server Database Engine handles objects in memory.
Ein Pufferüberlauf ermöglicht Angreifern möglicherweise Code im Kontext der SQL-Datenbank auf dem SQL-Server auszuführen.
Es gibt Sicherheitsupdates für den SQL-Server
Microsoft hat, auch wenn die Ausnutzbarkeit als niedrig eingestuft wird, ein Sicherheitsupdate für den SQL-Server freigegeben, um diese Schwachstelle zu schließen. So weit so gut. Dann schreibt man hier:
The following software versions or editions are affected. Versions or editions that are not listed are either past their support life cycle or are not affected. To determine the support life cycle for your software version or edition, see the Microsoft Support Lifecycle.
In Deutsch: Alle SQL-Server-Versionen, die in der Microsoft-Tabelle nicht aufgelistet sind, sind aus dem Support gefallen – oder nicht betroffen. Hier die Liste der Patches:
- Microsoft SQL Server 2016 for x64-based Systems Service Pack 1: 4293801
- Microsoft SQL Server 2016 for x64-based Systems Service Pack 1 (CU): 4293808
- Microsoft SQL Server 2016 for x64-based Systems Service Pack 2: 4293802
- Microsoft SQL Server 2016 for x64-based Systems Service Pack 2 (CU): 4293807
- Microsoft SQL Server 2017 for x64-based Systems: 4293803
- Microsoft SQL Server 2017 for x64-based Systems (CU): 4293805
Susan Bradley ist nun aufgefallen, dass zwar Microsoft SQL Server 2016 und 2017 in der Liste auftauchen. Aber Microsoft SQL Server 2014 SP2 fehlt offenbar. Sie hat dies auf Twitter publiziert.
@msftsecresponse CVE-2018-8273 indicates that SQL 2016 and 2017 are vulnerable but hints that prior sql versions are not supported. I can see that SQL 2014 sp2 is still supported. My guess is that CVE-2018-8273 is only vulnerable for SQL 2016 and 2017, is that correct?
— SBSDiva (@SBSDiva) 15. August 2018
Es gäbe nun (nach dem Vorspann auf der Microsoft-Seite) die erste Interpretation, dass Microsoft SQL Server 2014 SP2 aus dem Support gefallen ist. Susan Bradley weist bei askwoody.com darauf hin, dass dieses Produkt noch bis 2024 Support durch Sicherheits-Updates erhält (10 Jahre Support).
Die andere Interpretationsmöglichkeit wäre natürlich, dass zwar Microsoft SQL Server 2016 und 2017 die Schwachstelle CVE-2018-8273 aufweisen. Aber Microsoft SQL Server 2014 weist keine derartige Lücke auf (der obige Vorspann lässt diesen Schluss zu). Da es offenbar kein Update gibt, neige ich zu dieser Erklärung.
Im Sinne der Microsoft-Leitlinien, dass Updates einfach, transparent und planbar sein sollen, hätte ich mir hier eine kurze explizite Anmerkung der Art 'Microsoft SQL Server 2014 not affected' gewünscht. Microsoft hat sich bezüglich des Sachverhalts – zumindest auf den Tweet von Susan Bradley – noch nicht geäußert. Liegen euch anderweitige Informationen vor?
Ähnliche Artikel:
Sicherheitsupdate für Adobe Acrobat/Reader
Adobe Flash Player: Update Version
Microsoft Office Patchday (7. August 2018)
Windows 10 Updates KB4295110/KB4023057 (9.8.2018)
Microsoft Security Update Summary 14. August 2018
Patchday: Updates für Windows 7/8.1/Server 14. August 2018
Patchday Windows 10-Updates (14. August 2018)
Patchday Microsoft Office Updates (14. August 2018)
Microsoft Patchday: Weitere Updates zum 14. August 2018
Foreshadow (L1TF), neue (Spectre-ähnliche) CPU-Schwachstellen
>kurze explizite Anmerkung der Art 'Microsoft SQL Server 2014 not affected' gewünscht.
Wobei sie dann ältere Versionen ebenfalls mit einbeziehen müssten, denn selbst SQL Server 2008 ist – mit dem aktuellen Service Pack 4 – noch im Support. Gleiches gilt für SQL Server 2008 R2 und 2012. Insofern denke ich schon, dass deine Vermutung stimmt, dass die 2014er (und frühere) nicht betroffen ist.
Mit den Angaben der jeweils aktuellen Service Packs von dieser Seite http://sqlserverbuilds.blogspot.com/ kann man wunderbar auf der MS Support Lifecycle Seite (https://support.microsoft.com/en-us/lifecycle/search/?c2=1044) suchen und rausbekommen, bis wann der Support der jeweiligen SQL Server Versionen läuft.
Es gibt wohl jetzt ein SP3, was von MS gestern abend wohl veröffentlicht wurde.
Bei Win 7 ist es das KB4022619. Bei den anderen Windows-Versionen -kein Ahnung.
Ich warte da erst einmal ab.