Microsoft SQL Server 阻斷服務弱點

Security Vulnerability

發行日期: 2023年10月10日

上次更新:2023年11月14日

Assigning CNA
Microsoft
CVE.org link
CVE-2023-36728
影響
阻斷服務
最大嚴重性
重要
Weakness
CVSS Source
Microsoft
向量字串
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C

請參閱常見弱點評分系統,以取得有關這些量度定義的詳細資訊。

可擅用性

下列表格提供最初公開時此弱點的可擅用性評定

Publicly disclosed
No
Exploited
No
Exploitability assessment
利用可能性低

常見問題集

我的系統執行 SQL Server。我需要採取哪些措施?

更新相關的 SQL Server 版本。這些更新中包含任何適用驅動程式的修正程式。

我的系統執行自己的應用程式。我需要採取哪些措施?

更新應用程式以使用適用於 SQL Server 的 Microsoft ODBC Driver 17 (或 18),或是 Microsoft OLE DB Driver 18 (或 19)。將驅動程式更新至此頁面所列的版本,其可針對此弱點提供保護。

我的系統執行來自軟體廠商的應用程式。我需要採取哪些措施?

洽詢應用程式廠商,確認其是否與適用於 SQL Server 的 Microsoft ODBC Driver 17 (或 18),或是 Microsoft OLE DB Driver 18 (或 19) 相容。將驅動程式更新至此頁面所列的版本,其可針對此弱點提供保護。

我所使用的 SQL Server 版本有適用的 GDR 和/或 CU (累積更新) 更新。如何知道該使用哪一個更新?

  • 第一,判斷您的 SQL Server 版本號碼。如需有關如何判斷 SQL Server 版本號碼的詳細資訊,請參閱 Microsoft 知識庫文章 321185 (部分機器翻譯) - 如何判斷 SQL Server 及其元件的版本、版次及更新層級。
  • 第二,在下表中找出您的版本號碼,或版本號碼所在的版本範圍。對應的更新就是您必須安裝的更新。

注意:如果下表未顯示您的 SQL Server 版本號碼,即表示不再支援該 SQL Server 版本。請升級到最新的 Service Pack 或 SQL Server 產品,以套用此更新及未來的安全性更新。

更新編號 標題 適用的現有產品版本有... 此安全性更新也包含下列服務發行版本...
5029503 SQL Server 2022 CU8+GDR 的安全性更新 16.0.4003.1 - 16.0.4075.1 KB 5029666 - SQL2022 RTM CU8
5029379 SQL Server 2022 RTM+GDR 的安全性更新 16.0.1000.6 - 16.0.1050.5 KB 5021522 - 先前的 SQL2022 RTM GDR
5029378 SQL Server 2019 CU22+GDR 的安全性更新 15.0.4003.23 - 15.0.4322.2 KB 5027702 - SQL2019 RTM CU22
5029377 SQL Server 2019 RTM+GDR 的安全性更新 15.0.2000.5 - 15.0.2101.7 KB 5021125 - 先前的 SQL2019 RTM GDR
5029376 SQL Server 2017 CU31+GDR 的安全性更新 14.0.3006.16 - 14.0.3460.9 KB 5021126 - SQL2017 RTM CU31
5029375 SQL Server 2017 RTM+GDR 的安全性更新 14.0.1000.169 - 14.0.2047.8 KB 5021127 - 先前的 SQL2017 RTM GDR
5029187 SQL Server 2016 SP3 Azure Connect Feature Pack+GDR 的安全性更新 13.0.7000.253 - 13.0.7024.30 KB 5021128 - 先前的 Azure Connect Feature Pack GDR
5029186 SQL Server 2016 SP3+GDR 的安全性更新 13.0.6300.2 - 13.0.6430.49 KB 5021129 - 先前的 SQL2016 SP3 GDR
5029185 SQL Server 2014 SP3 CU4+GDR 的安全性更新 12.0.6205.1 - 12.0.6444.4 KB 5021045 - SQL2014 SP3 CU4
5029184 SQL Server 2014 SP3+GDR 的安全性更新 12.0.6024.0 - 12.0.6174.8 KB 5021037 - 先前的 SQL2014 SP3 GDR

什麼是 GDR 與 CU 更新指定,以及這兩者有何不同?

「一般發行版本」(GDR) 和「累積更新」(CU) 指定是指,適用於 SQL Server 基準版本的兩個不同服務選項。基準可能是 RTM 版本或 Service Pack 版本。

  • GDR 更新 – 只包含指定基準累積的安全性更新。
  • CU 更新 – 包含指定基準累積的所有功能性修正程式與安全性更新。

對於任何指定的基準而言,GDR 或 CU 更新都是選項 (請參閱以下內容)。

  • 如果 SQL Server 安裝為基準版本,您可以選擇 GDR 或 CU 更新。
  • 如果 SQL Server 安裝刻意只安裝過去的 GDR 更新,請選擇安裝 GDR 更新套件。
  • 如果 SQL Server 安裝刻意安裝先前的 CU 更新,請選擇安裝 CU 安全性更新套件。

注意:您可以從 GDR 更新變更為 CU 更新,但只限一次。在 SQL Server 安裝套用 SQL Server CU 更新之後,就無法返回 GDR 更新路徑。

這些安全性更新可以套用至 Windows Azure (IaaS) 上的 SQL Server 執行個體嗎?

是。您可以透過 Microsoft Update,針對 Windows Azure (IaaS) 上的 SQL Server 執行個體取得安全性更新,或者客戶可以從 Microsoft 下載中心下載安全性更新,然後手動套用。

根據 CVSS 量度,成功利用此弱點會導致完全喪失可用性 (A:H)?對於此弱點,這代表什麼意思?

攻擊者可能會影響服務可用性,導致阻斷服務 (DOS)。

致謝

  • VictorV(Tang tianwen) with Kunlun Lab
Microsoft 了解資訊安全業界所做的努力,其盡責地揭露弱點來協助我們保護客戶。請參閱致謝以取得詳細資訊。

安全性更新

若要了解您軟體的支援生命週期,請參閱 Microsoft 支援週期網站

發行日期 Descending

免責聲明

Microsoft 知識庫提供的資訊係依「現況」提供,不附任何保證。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

您對 MSRC 安全性更新導覽的滿意度為何?