{"id":208025,"date":"2018-08-16T15:38:32","date_gmt":"2018-08-16T13:38:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=208025"},"modified":"2024-10-04T20:50:15","modified_gmt":"2024-10-04T18:50:15","slug":"august-patchday-verwirrung-um-sql-server-2014-sp2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/08\/16\/august-patchday-verwirrung-um-sql-server-2014-sp2\/","title":{"rendered":"August-Patchday: Verwirrung um SQL Server 2014 SP2"},"content":{"rendered":"

\"Windows[English<\/a>]Aktuell hat Microsoft einiges an Verwirrung im Hinblick auf die August 2018-Sicherheitsupdates f\u00fcr den SQL-Server hinterlassen. Oder anders ausgedr\u00fcckt: Der SQL Server 2014 SP2 kommt in den Updates nicht vor. Hier ein paar Details. <\/p>\n

<\/p>\n

Schwachstelle CVE-2018-8273 in SQL Server<\/h2>\n

\"\"Im Microsoft SQL Server gibt es die Remote Code Execution-Schwachstelle CVE-2018-8273. Diese ist sowohl in der National Vulnerability Database unter CVE-2018-8273<\/a> als auch beim Microsoft im Security Update Guide dokumentiert<\/a>. Dort steht:<\/p>\n

\n

A buffer overflow vulnerability exists in the Microsoft SQL Server that could allow remote code execution on an affected system. An attacker who successfully exploited this vulnerability could execute code in the context of the SQL Server Database Engine service account. <\/p>\n

To exploit the vulnerability, an attacker would need to submit a specially crafted query to an affected SQL server. <\/p>\n

The security update addresses the vulnerability by modifying how the Microsoft SQL Server Database Engine handles objects in memory.<\/p>\n<\/blockquote>\n

Ein Puffer\u00fcberlauf erm\u00f6glicht Angreifern m\u00f6glicherweise Code im Kontext der SQL-Datenbank auf dem SQL-Server auszuf\u00fchren. <\/p>\n

Es gibt Sicherheitsupdates f\u00fcr den SQL-Server <\/h2>\n

Microsoft hat, auch wenn die Ausnutzbarkeit als niedrig eingestuft wird, ein Sicherheitsupdate f\u00fcr den SQL-Server freigegeben, um diese Schwachstelle zu schlie\u00dfen. So weit so gut. Dann schreibt man hier<\/a>:<\/p>\n

\n

The following software versions or editions are affected. Versions or editions that are not listed<\/u> are either past their support life cycle<\/u> or are not affected<\/u>. To determine the support life cycle for your software version or edition, see the Microsoft Support Lifecycle<\/a>.<\/p>\n<\/blockquote>\n

In Deutsch: Alle SQL-Server-Versionen, die in der Microsoft-Tabelle nicht aufgelistet sind, sind aus dem Support gefallen \u2013 oder nicht betroffen. Hier die Liste der Patches: <\/p>\n

    \n
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 1: 4293801<\/a> <\/li>\n
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 1 (CU): 4293808<\/a> <\/li>\n
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 2: 4293802<\/a> <\/li>\n
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 2 (CU): 4293807<\/a> <\/li>\n
  • Microsoft SQL Server 2017 for x64-based Systems: 4293803<\/a> <\/li>\n
  • Microsoft SQL Server 2017 for x64-based Systems (CU): 4293805<\/a><\/li>\n<\/ul>\n

    Susan Bradley ist nun aufgefallen, dass zwar Microsoft SQL Server 2016 und 2017 in der Liste auftauchen. Aber Microsoft SQL Server 2014 SP2 fehlt offenbar. Sie hat dies auf Twitter<\/a> publiziert. <\/p>\n

    \n

    @msftsecresponse<\/a> CVE-2018-8273 indicates that SQL 2016 and 2017 are vulnerable but hints that prior sql versions are not supported. I can see that SQL 2014 sp2 is still supported. My guess is that CVE-2018-8273 is only vulnerable for SQL 2016 and 2017, is that correct?<\/p>\n

    \u2014 SBSDiva (@SBSDiva) 15. August 2018<\/a><\/p><\/blockquote>\n