Sammanfattning
Det finns en säkerhetsrisk för fjärrkodskörning Microsoft SQL Server Reporting Services om de hanterar sidförfrågningar felaktigt. En attack som lyckas utnyttja det här problemet kan köra kod i kontexten för Report Server-tjänstkontot. Ett internt API som används för stora PBIX-filförfrågningar tillåter en filsökvägsegenskap. Reporting Services-processen kan försöka skriva en tillfällig fil till en fjärrsökväg. Om NTLM-hashtaggen bryts på en måldator kan attackeraren hämta autentiseringsuppgifterna för rapportserverprocessen. Mer information om problemet finns i CVE-2021-26859.
Power BI-rapportservern uppdateras till följande byggen i den här säkerhetsuppdateringen.
Produktnamn |
Produktversion |
Filversion |
---|---|---|
Power BI-rapportserver |
15.0.1104.310 |
1.9.7709.41358 |
Hämta och installera uppdateringen
Den här uppdateringen kan laddas ned från Microsoft Download Center:
Utgivningsdatum: 9 mars 2021
Krav
Du måste ha valfri version av Power BI Report Server (oktober 2020) installerad för att kunna tillämpa den här uppdateringen.