Ringkasan
Kerentanan eksekusi kode jarak jauh ada di layanan pelaporan Microsoft SQL Server jika salah menangani permintaan halaman. Penyerang yang berhasil eksploitasi kerentanan ini dapat mengeksekusi kode dalam konteks akun layanan server laporan. API internal yang digunakan untuk permintaan file besar PBIX memungkinkan properti jalur file. Proses Layanan pelaporan mungkin mencoba menulis file sementara ke jalur jarak jauh. Jika hash NTLM rusak pada komputer target, penyerang bisa mendapatkan kredensial untuk proses server laporan. Untuk mempelajari selengkapnya tentang kerentanan tersebut, lihat CVE-2021-26859.
Server laporan Power BI diperbarui ke Build berikut dalam pembaruan keamanan ini.
Nama Produk |
Versi produk |
Versi file |
---|---|---|
Server laporan Power BI |
15.0.1104.310 |
1.9.7709.41358 |
Cara mendapatkan dan menginstal pembaruan
Pembaruan ini tersedia untuk diunduh dari Pusat Unduhan Microsoft:
Tanggal rilis: 9 Maret 2021
Prasyarat
Untuk menerapkan pembaruan ini, Anda harus memiliki versi Power BI Report server (October 2020) yang diinstal.