สรุป
ช่องโหว่การปฏิบัติการโค้ดระยะไกลมีอยู่ใน Microsoft SQL Server Reporting Services ถ้าจัดการกับการร้องขอเพจอย่างไม่ถูกต้อง ผู้โจมตีที่แสวงหาช่องโหว่นี้อาจเรียกใช้โค้ดในบริบทของบัญชีบริการเซิร์ฟเวอร์รายงานได้ส5รวด API ภายในที่ใช้กับการร้องขอไฟล์ PBIX ขนาดใหญ่จะอนุญาตคุณสมบัติเส้นทางไฟล์ กระบวนการบริการการรายงานอาจพยายามเขียนไฟล์ชั่วคราวไปยังเส้นทางระยะไกล ถ้าแฮช NTLM ใช้งานไม่ได้บนคอมพิวเตอร์เป้าหมาย ผู้โจมตีอาจได้รับข้อมูลรับรองความถูกต้องของกระบวนการเซิร์ฟเวอร์รายงาน เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ ให้ดูที่CVE-2021-26859
เซิร์ฟเวอร์รายงาน Power BI ได้รับการอัปเดตเป็นรุ่นต่อไปนี้ในการอัปเดตความปลอดภัยนี้
ชื่อผลิตภัณฑ์ |
เวอร์ชันของผลิตภัณฑ์ |
รุ่นของไฟล์ |
---|---|---|
เซิร์ฟเวอร์รายงาน Power BI |
15.0.1103.241 |
1.8.7710.3956 |
วิธีรับและติดตั้งการอัปเดต
การอัปเดตนี้พร้อมให้ดาวน์โหลดจากศูนย์ดาวน์โหลด Microsoft:
วันที่เผยแพร่: 9 มีนาคม 2021
ข้อกำหนดเบื้องต้น
เมื่อต้องการใช้การอัปเดตนี้ คุณต้องมีเซิร์ฟเวอร์รายงาน Power BI เวอร์ชันใดก็ได้ (พฤษภาคม 2020) ติดตั้งอยู่