Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (11.09.24):
Dem Advisory wurden weitere Schwachstellen, welche die Native Scoring
Funktionalität betreffen, hinzugefügt.

Ein erfolgreicher Angriff, der diese Schwachstellen ausnutzt, setzt
ausreichende Berechtigungen voraus, um über die SQL Server Native Scoring
Funktionalität vorab trainierte Modelle auf Daten anzuwenden, ohne diese
aus der Datenbank zu bewegen.

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Informationen auszuspähen, Privilegien zu eskalieren und beliebigen
Programmcode mit den Rechten des betroffenen Dienstes auszuführen. Für die
Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich.
Version 1 (11.09.24):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
Informationen auszuspähen, Privilegien zu eskalieren und beliebigen
Programmcode auszuführen.

Für die Ausnutzung aller Schwachstellen sind übliche Privilegien
erforderlich.

Im Rahmen des Microsoft-Patchtags im September 2024 werden
Sicherheitsupdates zur Behebung der Schwachstellen bereitgestellt. Die
Sicherheitsupdates können im Microsoft Security Update Guide über die
Kategorie ‘SQL Server’ identifiziert werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2024-2371]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html