Microsoft Security Updates August 2014

Es dürfte sicher nicht uninteressant sein, einmal einen genaueren Blick auf das Bulletin MS14-044 zu werfen.

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft SQL Server (eine in SQL Server Master Data Services und die andere im SQL Server Managementsystem für relationale Datenbanken). Die schwerwiegendere dieser Sicherheitsanfälligkeiten, die SQL Server Master Data Services betrifft, kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein Benutzer eine speziell gestaltete Website besucht, die ein clientseitiges Skript in die Benutzerinstanz von Internet Explorer einschleust.

Damit zusammenhängend kommt diese Woche ein ganzer Haufen von Security Updates für SQL Server 2008 bis SQL Server 2014 heraus!

Hier ist die Liste der KB Artikel, die ich dazu gefunden habe:

QFE bedeutet Quick Fix Engineering, GDR bedeutet General Distribution Release. Details siehe: An Incremental Servicing Model is available from the SQL Server team to deliver hotfixes for reported Problems

Inhaltlich beziehen sich alle KB-Artikel auf das oben erwähnte Bulletin. Wer MDS (Master Data Services) verwendet, sollte sich die Details der WSUS-Updates anschauen, da hier wohl einiges zu beachten ist.

MDS

Zum einen im Bereich MDS.
Zitat:
In SQL Master Data Services (MDS) liegt eine Sicherheitsanfälligkeit durch siteübergreifende Skripterstellung vor, durch die ein Angreifer ein clientseitiges Skript in die Benutzerinstanz von Internet Explorer einschleusen kann. Das Skript kann im Namen des Zielbenutzers Inhalte vortäuschen, Informationen offen legen oder Aktionen ausführen, die der Benutzer auf der Website vornehmen kann.
Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2014-1820.

T-SQL

Der zweite Bereich betrifft T-SQL:
Zitat:
In Microsoft SQL Server liegt eine Sicherheitsanfälligkeit bezüglich Denial-of-Service vor. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann bewirken, dass der Server nicht mehr reagiert, bis ein manueller Neustart initiiert wird.

Automatische Installation oder per Hand?

Das ist eine schwierige Frage, aber eine gute Planung ist auf jeden Fall notwendig, da es zu einem Neustart kommen kann. Für Cluster gilt, dass hier beide Knoten nacheinander gepatched werden müssen, so dass auch diese Aktion entsprechend koordiniert werden muss.

Außerdem ist zu beachten, dass man sich genau anschauen sollte, was die nachträgliche Installation eines CU (cumulative updates) mit diesen Sicherheitsupdates macht. Im Zweifel gilt natürlich immer, dass man nach der CU-Installation das Security Patch wiederholt. So entfernt z. B. das CU1 oder CU2 für SQL Server 2014 dieses Patch wieder für die Master Data Services.

  • mschier
    Kommentar von: mschier
    13.08.14 @ 16:03:36

    Wenn ich das Build 10.50.4321 / 2009.100.4321.0 auf einen SQL Server 2008 R2 mit SP 2 installiere

    (2977319 MS14-044: Description of the security update for SQL Server 2008 R2 Service Pack 2 (QFE)
    http://sqlserverbuilds.blogspot.de/)

    , sind dann auch die CUs 1-13 inkludiert?

  • Kommentar von: cmu
    14.08.14 @ 16:00:54

    So wie ich es verstanden habe, ist es ein reines Sicherheitsupdate für MDS und T-SQL. In einigen KB Artikeln ist auch zu lesen, dass nach der Installation eines CU dieses Sicherheitsupdate wiederholt werden muss. Daher gehe ich davon aus, dass hier keine CUs enthalten sind.

  • mschier
    Kommentar von: mschier
    15.08.14 @ 08:49:14

    ok danke!

    Hier auch nochmal ein interessanter Artikel dazu.
    http://support.microsoft.com/kb/935897/en-us

  • Kommentar von: cmu
    15.08.14 @ 09:21:17

    Danke, das ist der Artikel, auf den ich oben auch hingewiesen hatte! ;-)
    Details siehe: An Incremental Servicing Model is available from the SQL Server team to deliver hotfixes for reported Problems…

Einen Kommentar hinterlassen

You must be logged in to leave a comment. Log in now!

If you have no account yet, you can register now...
(It only takes a few seconds!)