Microsoft SQL Server 阻斷服務弱點
發行日期: 2023年10月10日
上次更新:2023年11月14日
- Assigning CNA
- Microsoft
- CVE.org link
- CVE-2023-36728
- 影響
- 阻斷服務
- 最大嚴重性
- 重要
- Weakness
- CVSS Source
- Microsoft
- 向量字串
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
- Metrics
- CVSS:3.1 5.5 / 4.8基本分數量度:5.5 / 時間分數量度: 4.8
攻擊媒介
本機
攻擊複雜性
低
權限要求
低
使用者互動
無
範圍
未變更
機密性
無
完整性
無
可用性
高
利用程式碼成熟度
未驗證
修復等級
官方修正程式
報告機密性
已確認
請參閱常見弱點評分系統,以取得有關這些量度定義的詳細資訊。
可擅用性
下列表格提供最初公開時此弱點的可擅用性評定。
- Publicly disclosed
- No
- Exploited
- No
- Exploitability assessment
- 利用可能性低
常見問題集
我的系統執行 SQL Server。我需要採取哪些措施?
更新相關的 SQL Server 版本。這些更新中包含任何適用驅動程式的修正程式。
我的系統執行自己的應用程式。我需要採取哪些措施?
更新應用程式以使用適用於 SQL Server 的 Microsoft ODBC Driver 17 (或 18),或是 Microsoft OLE DB Driver 18 (或 19)。將驅動程式更新至此頁面所列的版本,其可針對此弱點提供保護。
我的系統執行來自軟體廠商的應用程式。我需要採取哪些措施?
洽詢應用程式廠商,確認其是否與適用於 SQL Server 的 Microsoft ODBC Driver 17 (或 18),或是 Microsoft OLE DB Driver 18 (或 19) 相容。將驅動程式更新至此頁面所列的版本,其可針對此弱點提供保護。
我所使用的 SQL Server 版本有適用的 GDR 和/或 CU (累積更新) 更新。如何知道該使用哪一個更新?
- 第一,判斷您的 SQL Server 版本號碼。如需有關如何判斷 SQL Server 版本號碼的詳細資訊,請參閱 Microsoft 知識庫文章 321185 (部分機器翻譯) - 如何判斷 SQL Server 及其元件的版本、版次及更新層級。
- 第二,在下表中找出您的版本號碼,或版本號碼所在的版本範圍。對應的更新就是您必須安裝的更新。
注意:如果下表未顯示您的 SQL Server 版本號碼,即表示不再支援該 SQL Server 版本。請升級到最新的 Service Pack 或 SQL Server 產品,以套用此更新及未來的安全性更新。
更新編號 | 標題 | 適用的現有產品版本有... | 此安全性更新也包含下列服務發行版本... |
---|---|---|---|
5029503 | SQL Server 2022 CU8+GDR 的安全性更新 | 16.0.4003.1 - 16.0.4075.1 | KB 5029666 - SQL2022 RTM CU8 |
5029379 | SQL Server 2022 RTM+GDR 的安全性更新 | 16.0.1000.6 - 16.0.1050.5 | KB 5021522 - 先前的 SQL2022 RTM GDR |
5029378 | SQL Server 2019 CU22+GDR 的安全性更新 | 15.0.4003.23 - 15.0.4322.2 | KB 5027702 - SQL2019 RTM CU22 |
5029377 | SQL Server 2019 RTM+GDR 的安全性更新 | 15.0.2000.5 - 15.0.2101.7 | KB 5021125 - 先前的 SQL2019 RTM GDR |
5029376 | SQL Server 2017 CU31+GDR 的安全性更新 | 14.0.3006.16 - 14.0.3460.9 | KB 5021126 - SQL2017 RTM CU31 |
5029375 | SQL Server 2017 RTM+GDR 的安全性更新 | 14.0.1000.169 - 14.0.2047.8 | KB 5021127 - 先前的 SQL2017 RTM GDR |
5029187 | SQL Server 2016 SP3 Azure Connect Feature Pack+GDR 的安全性更新 | 13.0.7000.253 - 13.0.7024.30 | KB 5021128 - 先前的 Azure Connect Feature Pack GDR |
5029186 | SQL Server 2016 SP3+GDR 的安全性更新 | 13.0.6300.2 - 13.0.6430.49 | KB 5021129 - 先前的 SQL2016 SP3 GDR |
5029185 | SQL Server 2014 SP3 CU4+GDR 的安全性更新 | 12.0.6205.1 - 12.0.6444.4 | KB 5021045 - SQL2014 SP3 CU4 |
5029184 | SQL Server 2014 SP3+GDR 的安全性更新 | 12.0.6024.0 - 12.0.6174.8 | KB 5021037 - 先前的 SQL2014 SP3 GDR |
什麼是 GDR 與 CU 更新指定,以及這兩者有何不同?
「一般發行版本」(GDR) 和「累積更新」(CU) 指定是指,適用於 SQL Server 基準版本的兩個不同服務選項。基準可能是 RTM 版本或 Service Pack 版本。
- GDR 更新 – 只包含指定基準累積的安全性更新。
- CU 更新 – 包含指定基準累積的所有功能性修正程式與安全性更新。
對於任何指定的基準而言,GDR 或 CU 更新都是選項 (請參閱以下內容)。
- 如果 SQL Server 安裝為基準版本,您可以選擇 GDR 或 CU 更新。
- 如果 SQL Server 安裝刻意只安裝過去的 GDR 更新,請選擇安裝 GDR 更新套件。
- 如果 SQL Server 安裝刻意安裝先前的 CU 更新,請選擇安裝 CU 安全性更新套件。
注意:您可以從 GDR 更新變更為 CU 更新,但只限一次。在 SQL Server 安裝套用 SQL Server CU 更新之後,就無法返回 GDR 更新路徑。
這些安全性更新可以套用至 Windows Azure (IaaS) 上的 SQL Server 執行個體嗎?
是。您可以透過 Microsoft Update,針對 Windows Azure (IaaS) 上的 SQL Server 執行個體取得安全性更新,或者客戶可以從 Microsoft 下載中心下載安全性更新,然後手動套用。
根據 CVSS 量度,成功利用此弱點會導致完全喪失可用性 (A:H)?對於此弱點,這代表什麼意思?
攻擊者可能會影響服務可用性,導致阻斷服務 (DOS)。
致謝
- VictorV(Tang tianwen) with Kunlun Lab
安全性更新
若要了解您軟體的支援生命週期,請參閱 Microsoft 支援週期網站。
- 12.0.6179.1
- 12.0.6179.1
- 14.0.2052.1
- 18.3.2.1
- 18.3.2.1
- 18.3.2.1
- 17.10.5.1
- 17.10.5.1
- 17.10.5.1
- 18.6.0007.0
- 19.3.0002.0
- 16.0.1105.1
- 14.0.3465.1
- 13.0.7029.3
- 13.0.6435.1
- 12.0.6449.1
- 15.0.2104.1
- 12.0.6449.1
- 16.0.4080.1
- 15.0.4326.1
免責聲明
修訂
Updated links to security updates. This is an informational change only.
Updated FAQ information. This is an informational change only.
Information published.