Összefoglalás
A Microsoft SQL Server Reporting Servicesben távoli kódvégrehajtási biztonsági rés áll fenn, ha helytelenül kezeli a lapkéréseket. Egy támadó, aki sikeresen kihasználta ezt a biztonsági rést, végrehajthatja a kódot a Jelentéskiszolgáló szolgáltatásfiók kontextusában. A nagy PBIX-fájlkérések belső API-ja lehetővé teszi a fájl elérési útvonalának tulajdonságát. Előfordulhat, hogy a jelentéskészítő szolgáltatás megpróbál ideiglenes fájlt írni egy távoli elérési útba. Ha az NTLM-kivonat hibás a célgépen, a támadó be tudja szerezni a jelentéskiszolgálói folyamat hitelesítő adatait. A biztonsági résről további információt a CVE-2021-26859-es CVE-26859-ben olvashat.
A Power BI Jelentéskiszolgáló a biztonsági frissítés alábbi buildire frissül.
|
Terméknév |
Termékverzió |
Fájlverzió |
|---|---|---|
|
Power BI Report Server |
15.0.1103.241 |
1.8.7710.3956 |
A frissítés beszerzése és telepítése
Ez a frissítés letölthető a Microsoft letöltőközpontból:
Kiadás dátuma: 2021. március 9.
Előfeltételek
A frissítés telepítéséhez telepítve kell lennie a Power BI Jelentéskiszolgáló bármely verziójának (2020. május).
