Kopsavilkums
Attālā koda izpildes ievainojamība pastāv Microsoft SQL Server atskaišu izveides pakalpojumos, ja tā nepareizi apstrādā lapu pieprasījumus. Uzbrucējs, kas veiksmīgi izmanto šo ievainojamību, var izpildīt kodu atskaites servera pakalpojuma konta kontekstā. Iekšējs API, kas tiek izmantots lieliem PBIX failu pieprasījumiem, var izmantot rekvizītu faila ceļš. Atskaišu izveides pakalpojumu process var mēģināt rakstīt pagaidu failu attālajā ceļā. Ja NTLM jaucējkods ir bojāts, uzbrucējs var saņemt atskaites servera procesa akreditācijas datus. Papildinformāciju par drošības problēmu skatiet rakstā CVE-2021-26859.
Power BI atskaišu serveris tiek atjaunināts uz šajā drošības atjauninājumā esošo būvējumu.
Produkta nosaukums |
Produkta versija |
Faila versija |
---|---|---|
Power BI atskaišu serveris |
15.0.1103.241 |
1.8.7710.3956 |
Kā iegūt un instalēt atjauninājumu
Šis atjauninājums ir pieejams lejupielādei no Microsoft lejupielādes centra.
Izlaides datums: 2021. gada 9. marts
Priekšnoteikumi
Lai lietotu šo atjauninājumu, ir jābūt instalētai kādai Power BI atskaišu servera versijai (2020 maijam).