August-Patchday: Verwirrung um SQL Server 2014 SP2

Publiziert am 16. August 2018 von Günter Born

Windows Update[English]Aktuell hat Microsoft einiges an Verwirrung im Hinblick auf die August 2018-Sicherheitsupdates für den SQL-Server hinterlassen. Oder anders ausgedrückt: Der SQL Server 2014 SP2 kommt in den Updates nicht vor. Hier ein paar Details.

Anzeige

Schwachstelle CVE-2018-8273 in SQL Server

Im Microsoft SQL Server gibt es die Remote Code Execution-Schwachstelle CVE-2018-8273. Diese ist sowohl in der National Vulnerability Database unter CVE-2018-8273 als auch beim Microsoft im Security Update Guide dokumentiert. Dort steht:

A buffer overflow vulnerability exists in the Microsoft SQL Server that could allow remote code execution on an affected system. An attacker who successfully exploited this vulnerability could execute code in the context of the SQL Server Database Engine service account.

To exploit the vulnerability, an attacker would need to submit a specially crafted query to an affected SQL server.

The security update addresses the vulnerability by modifying how the Microsoft SQL Server Database Engine handles objects in memory.

Ein Pufferüberlauf ermöglicht Angreifern möglicherweise Code im Kontext der SQL-Datenbank auf dem SQL-Server auszuführen.

Es gibt Sicherheitsupdates für den SQL-Server

Microsoft hat, auch wenn die Ausnutzbarkeit als niedrig eingestuft wird, ein Sicherheitsupdate für den SQL-Server freigegeben, um diese Schwachstelle zu schließen. So weit so gut. Dann schreibt man hier:

The following software versions or editions are affected. Versions or editions that are not listed are either past their support life cycle or are not affected. To determine the support life cycle for your software version or edition, see the Microsoft Support Lifecycle.

In Deutsch: Alle SQL-Server-Versionen, die in der Microsoft-Tabelle nicht aufgelistet sind, sind aus dem Support gefallen – oder nicht betroffen. Hier die Liste der Patches:

  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 1: 4293801
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 1 (CU): 4293808
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 2: 4293802
  • Microsoft SQL Server 2016 for x64-based Systems Service Pack 2 (CU): 4293807
  • Microsoft SQL Server 2017 for x64-based Systems: 4293803
  • Microsoft SQL Server 2017 for x64-based Systems (CU): 4293805

Susan Bradley ist nun aufgefallen, dass zwar Microsoft SQL Server 2016 und 2017 in der Liste auftauchen. Aber Microsoft SQL Server 2014 SP2 fehlt offenbar. Sie hat dies auf Twitter publiziert.

Es gäbe nun (nach dem Vorspann auf der Microsoft-Seite) die erste Interpretation, dass Microsoft SQL Server 2014 SP2 aus dem Support gefallen ist. Susan Bradley weist bei askwoody.com darauf hin, dass dieses Produkt noch bis 2024 Support durch Sicherheits-Updates erhält (10 Jahre Support).

Die andere Interpretationsmöglichkeit wäre natürlich, dass zwar Microsoft SQL Server 2016 und 2017 die Schwachstelle CVE-2018-8273 aufweisen. Aber Microsoft SQL Server 2014 weist keine derartige Lücke auf (der obige Vorspann lässt diesen Schluss zu). Da es offenbar kein Update gibt, neige ich zu dieser Erklärung.

Anzeige

Im Sinne der Microsoft-Leitlinien, dass Updates einfach, transparent und planbar sein sollen, hätte ich mir hier eine kurze explizite Anmerkung der Art 'Microsoft SQL Server 2014 not affected' gewünscht. Microsoft hat sich bezüglich des Sachverhalts – zumindest auf den Tweet von Susan Bradley – noch nicht geäußert. Liegen euch anderweitige Informationen vor?

Ähnliche Artikel:
Sicherheitsupdate für Adobe Acrobat/Reader
Adobe Flash Player: Update Version 30.0.0.154
Microsoft Office Patchday (7. August 2018)
Windows 10 Updates KB4295110/KB4023057 (9.8.2018)
Microsoft Security Update Summary 14. August 2018
Patchday: Updates für Windows 7/8.1/Server 14. August 2018
Patchday Windows 10-Updates (14. August 2018)
Patchday Microsoft Office Updates (14. August 2018)
Microsoft Patchday: Weitere Updates zum 14. August 2018

Foreshadow (L1TF), neue (Spectre-ähnliche) CPU-Schwachstellen

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Update abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu August-Patchday: Verwirrung um SQL Server 2014 SP2

  1. Dalai sagt:
    16. August 2018 um 21:07 Uhr

    >kurze explizite Anmerkung der Art 'Microsoft SQL Server 2014 not affected' gewünscht.

    Wobei sie dann ältere Versionen ebenfalls mit einbeziehen müssten, denn selbst SQL Server 2008 ist – mit dem aktuellen Service Pack 4 – noch im Support. Gleiches gilt für SQL Server 2008 R2 und 2012. Insofern denke ich schon, dass deine Vermutung stimmt, dass die 2014er (und frühere) nicht betroffen ist.

    Mit den Angaben der jeweils aktuellen Service Packs von dieser Seite http://sqlserverbuilds.blogspot.com/ kann man wunderbar auf der MS Support Lifecycle Seite (https://support.microsoft.com/en-us/lifecycle/search/?c2=1044) suchen und rausbekommen, bis wann der Support der jeweiligen SQL Server Versionen läuft.

    Grüße

    Antworten
  2. Dekre sagt:
    31. Oktober 2018 um 11:37 Uhr

    Es gibt wohl jetzt ein SP3, was von MS gestern abend wohl veröffentlicht wurde.
    Bei Win 7 ist es das KB4022619. Bei den anderen Windows-Versionen -kein Ahnung.
    Ich warte da erst einmal ab.

    Antworten

Schreibe einen Kommentar zu Dalai Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.