Sammanfattning
Det finns en säkerhetsrisk för fjärrkodskörning Microsoft SQL Server Reporting Services om de hanterar sidförfrågningar felaktigt. En attack som lyckas utnyttja det här problemet kan köra kod i kontexten för Report Server-tjänstkontot. Ett internt API som används för stora PBIX-filförfrågningar tillåter en filsökvägsegenskap. Reporting Services-processen kan försöka skriva en tillfällig fil till en fjärrsökväg. Om NTLM-hashtaggen bryts på en måldator kan attackeraren hämta autentiseringsuppgifterna för rapportserverprocessen. Mer information om problemet finns i CVE-2021-26859.
Power BI-rapportservern uppdateras till följande byggen i den här säkerhetsuppdateringen.
Produktnamn |
Produktversion |
Filversion |
---|---|---|
Power BI-rapportserver |
15.0.1103.241 |
1.8.7710.3956 |
Hämta och installera uppdateringen
Den här uppdateringen kan laddas ned från Microsoft Download Center:
Utgivningsdatum: 9 mars 2021
Krav
För att kunna använda den här uppdateringen måste du ha någon version av Power BI Report Server (maj 2020) installerad.