<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("微软安全公告,MS15-058,SQL Server,远程代码执行") PageTitle=stripHTML("微软安全公告MS15-058 : SQL Server允许远程代码执行") ArticleIntro=stripHTML("此次安全更新修复微软SQL Server漏洞。其中最严重的漏洞是允许远程代码执行未认证攻击者蓄意构造请求从非法地址执行一个虚函数从而导致指向未初始化内存的函数调用。要利用此漏洞攻击者需要创建或修改数据") Articlecontent=stripHTML("内容摘要  此次安全更新修复微软SQL Server漏洞。其中最严重的漏洞是允许远程代码执行未认证攻击者蓄意构造请求从非法地址执行一个虚函数从而导致指向未初始化…") ModuleName = stripHTML("exploits") InfoID = stripHTML("205293") ChannelShortName=stripHTML("漏洞") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("exploits") %> 微软安全公告MS15-058 : SQL Server允许远程代码执行 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 漏洞 >> 最新漏洞 >> win 漏洞 >> 正文

[图文]微软安全公告MS15-058 : SQL Server允许远程代码执行

2015/7/16 作者:Venvoo 来源: 网络收集
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

  

  内容摘要

  此次安全更新修复微软SQL Server漏洞。其中最严重的漏洞是允许远程代码执行未认证攻击者蓄意构造请求从非法地址执行一个虚函数从而导致指向未初始化内存的函数调用。要利用此漏洞攻击者需要创建或修改数据库的权限。

  本次重大安全更新针对Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2012, 以及Microsoft SQL Server 2014等版本。更多有关信息查阅受影响软件部分。

  此次安全更新通过纠正SQL Server处理内部函数调用和指针转换方式修补漏洞。更多漏洞有关信息见漏洞信息部分。

  有关此次更新更多信息见Microsoft Knowledge Base Article 3065718

  受影响软件

  经测试确定了以下软件受漏洞影响的具体版本。其他版本的软件由于超过技术支持生命周期或不受漏洞影响未列出。若需要查阅软件版本的技术支持生命周期见Microsoft Support Lifecycle

  

http://www.77169.com/exploits/UploadFiles_7195/201507/20150716093315740.png

  

http://www.77169.com/exploits/UploadFiles_7195/201507/20150716093315778.png

  更新FAQ

  针对我的SQL Server版本存在GDR与QFE两类更新我如何知道使用哪一种更新

  首先确定你的SQL Server版本号。更多关于确定SQL Server版本号的信息见Microsoft Knowledge Base Article 321185

  其次在下表中定位你的版本号或版本号所属范围对应的更新即是你所需要安装的。

  注 若你的SQL Server版本号未出现在下表中则说明你拥有不再支持的SQL Server版本。请更新到最新的服务包或SQL Server产品以应用本次及未来的安全更新。

  针对SQL Server 2008 Service Pack 3:

  

http://www.77169.com/exploits/UploadFiles_7195/201507/20150716093315916.png

  针对SQL Server 2008 Service Pack 4:

  

http://www.77169.com/exploits/UploadFiles_7195/201507/20150716093315484.png

  针对SQL Server 2008 R2 Service Pack 2:

  

http://www.77169.com/exploits/UploadFiles_7195/201507/20150716093315597.png

  针对SQL Server 2008 R2 Service Pack 3:

  

http://www.77169.com/exploits/UploadFiles_7195/201507/20150716093315382.png

  

http://www.77169.com/exploits/UploadFiles_7195/201507/20150716093315958.png

  注 应用GDR更新后数据库更新脚本不会自动执行。这属于正常现象因补丁仅仅替换了二进制文件。

  需要额外安装指导见更新信息部分中相应SQL Server版本的安全更新信息小节。

  GDR与QFE更新代表什么两者有什么区别

  General Distribution Release (GDR)Quick Fix Engineering (QFE)对应针对SQL Server两种不同的更新服务分支。两者的主要区别是QFE包含所有更新的累积而GDR仅包括对于给定基准的安全更新。基准可以是初始RTM版本或服务包。

  对任意给定基准若你的软件版本符合基准或以针对基准安装了GDR更新GDR或QFE更新都是可选的。若针对基准安装了以前的QFE更新则本次只能安装QFE

漏洞栏目相关内容