Actualización de seguridad para SQL Server 2016 SP2 CU11 (KB4535706)
Esta actualización se aplica a Microsoft SQL Server 2016 SP2 CU11.
¡Importante! Al seleccionar un idioma a continuación, todo el contenido de la página cambiará completamente a ese idioma en forma dinámica.
Versión:
13.0.5622.0
Date Published:
15/5/2024
File Name:
SQLServer2016-KB4535706-x64.exe
File Size:
752.4 MB
Corrección de la primera vulnerabilidad de seguridad:
Cuando Microsoft SQL Server Reporting Services controla las solicitudes de página de manera incorrecta, se produce una vulnerabilidad en la ejecución de código remoto. Si un atacante se aprovechase de esta vulnerabilidad, podría ejecutar código en el contexto de la cuenta de servicio de Report Server.
Para aprovechar esta vulnerabilidad, sería necesario que un atacante autenticado enviase una solicitud de página especialmente diseñada a una instancia de Reporting Services afectada.
Para solucionar la vulnerabilidad, la actualización de seguridad modifica la manera en que Microsoft SQL Server Reporting Services controla las solicitudes de página.
Corrección de la segunda vulnerabilidad de seguridad:
Existe una vulnerabilidad de scripting entre sitios (XSS) cuando Microsoft SQL Server Reporting Services (SSRS) no sanea correctamente una solicitud web especialmente diseñada para un servidor de SSRS afectado. Si un atacante se aprovechase de esta vulnerabilidad, podría ejecutar scripts en el contexto del usuario de destino. Los ataques podrían permitir al atacante leer contenido que el atacante no está autorizado a leer, ejecutar código malintencionado y usar la identidad de la víctima para realizar acciones en el sitio en nombre del usuario, como cambiar permisos y eliminar contenido.
Para aprovechar esta vulnerabilidad, un atacante tendría que convencer a un usuario autenticado para que hiciese clic en un vínculo especialmente diseñado a un servidor SSRS afectado.
Para solucionar la vulnerabilidad, la actualización de seguridad corrige el saneamiento de la URL de SSRS.
Para obtener una lista completa de los problemas resueltos en esta actualización, vea el artículo de Microsoft Knowledge Base asociado: KB4535706
Las siguientes actualizaciones de seguridad de SQL Server contienen correcciones de SQL Server Reporting Services que se pueden descargar:
Actualización de seguridad para SQL Server 2016 SP2 CU11 (KB4535706)
Actualización de seguridad para SQL Server 2016 SP2 GDR (KB4532097)Sistemas operativos compatibles
Windows Server 2016, Windows Server 2019, Windows 10, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2
Esta actualización es aplicable a las instancias de SQL Server 2016 SP2 CU.- Esta actualización se aplica a las instancias de la actualización acumulativa de Microsoft SQL Server 2016 SP2 a las que se ha aplicado una actualización acumulativa (versiones de la 13.0.5149.0(CU1) a la 13.0.5598.27(CU11).
Después de instalar esta actualización, puede que deba reiniciar el equipo.
Para las instancias de Microsoft SQL Server 2016 SP2 a las que no se ha aplicado ninguna actualización acumulativa (versión 13.0.5026.0-13.0.5101.9), vea Actualización de seguridad para SQL Server 2016 SP2 GDR (KB4532097).