Аннотация
В службах reporting Services Microsoft SQL Server есть уязвимость для удаленного выполнения кода, если они неправильно обрабатывают запросы страниц. Злоумышленник, который успешно использует эту уязвимость, может выполнить код в контексте учетной записи службы Report Server. Внутренний API, который используется для больших запросов PBIX-файлов, позволяет использовать свойство пути к файлу. Службы отчетов могут попытаться вписать временный файл на удаленный путь. Если на целевом компьютере не работает hash NTLM, злоумышленник может получить учетные данные для сервера отчетов. Дополнительные о уязвимости см. в CVE-2021–26859.
В этом обновлении для системы безопасности сервер отчетов Power BI обновлен до следующих сборк.
Название продукта |
Версия продукта |
Версия файла |
---|---|---|
Сервер отчетов Power BI |
15.0.1104.310 |
1.9.7709.41358 |
Получение и установка обновления
Это обновление можно скачать из Центра загрузки Майкрософт.
Дата выпуска: 9 марта 2021 г.
Предварительные условия
Чтобы применить это обновление, у вас должна быть установлена любая версия сервера отчетов Power BI (октябрь 2020 г.).