Podsumowanie
W usługach Reporting Services istnieje luka w Microsoft SQL Server wykonywania kodu zdalnego, jeśli nieprawidłowo obsługuje żądania stron. Atakujący, który pomyślnie wykorzystuje tę lukę, może wykonywać kod w kontekście konta usługi Report Server. Wewnętrzny interfejs API używany dla dużych żądań plików PBIX umożliwia właściwość ścieżki pliku. W procesie usług raportowania może wystąpić próba napisania pliku tymczasowego na ścieżce zdalnej. Jeśli skrót NTLM zostanie przerwany na komputerze docelowym, atakujący może uzyskać poświadczenia dla procesu serwera raportów. Aby dowiedzieć się więcej na temat luki, zobacz CVE-2021-26859.
W tej aktualizacji zabezpieczeń program Power BI Report Server został zaktualizowany do następujących kompilacji.
Nazwa produktu |
Wersja produktu |
Wersja pliku |
---|---|---|
Power BI Report Server |
15.0.1103.241 |
1.8.7710.3956 |
Jak uzyskać i zainstalować aktualizację
Ta aktualizacja jest dostępna do pobrania z Centrum pobierania Microsoft:
Data wydania: 9 marca 2021 r.
Wymagania wstępne
Aby zastosować tę aktualizację, musisz mieć zainstalowaną dowolną wersję programu Power BI Report Server (maj 2020 r.).