Es dürfte sicher nicht uninteressant sein, einmal einen genaueren Blick auf das Bulletin MS14-044 zu werfen.

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft SQL Server (eine in SQL Server Master Data Services und die andere im SQL Server Managementsystem für relationale Datenbanken). Die schwerwiegendere dieser Sicherheitsanfälligkeiten, die SQL Server Master Data Services betrifft, kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein Benutzer eine speziell gestaltete Website besucht, die ein clientseitiges Skript in die Benutzerinstanz von Internet Explorer einschleust.

Damit zusammenhängend kommt diese Woche ein ganzer Haufen von Security Updates für SQL Server 2008 bis SQL Server 2014 heraus!

Hier ist die Liste der KB Artikel, die ich dazu gefunden habe:

• KB2977315 (SQL Server 2014) (GDR)
• KB2977316 (SQL Server 2014) (QFE)
• KB2977319 (SQL Server 2008 R2 SP1) (QFE)
• KB2977320 (SQL Server 2008 R2 SP2) (GDR)
• KB2977321 (SQL Server 2008 SP3) (GDR)
• KB2977322 (SQL Server 2008 SP3) (QFE)
• KB2977325 (SQL Server 2012 SP1) (QFE)
• KB2977326 (SQL Server 2012 SP1) (GDR)

QFE bedeutet Quick Fix Engineering, GDR bedeutet General Distribution Release. Details siehe: An Incremental Servicing Model is available from the SQL Server team to deliver hotfixes for reported Problems

Inhaltlich beziehen sich alle KB-Artikel auf das oben erwähnte Bulletin. Wer MDS (Master Data Services) verwendet, sollte sich die Details der WSUS-Updates anschauen, da hier wohl einiges zu beachten ist.

MDS

Zum einen im Bereich MDS.
Zitat:
In SQL Master Data Services (MDS) liegt eine Sicherheitsanfälligkeit durch siteübergreifende Skripterstellung vor, durch die ein Angreifer ein clientseitiges Skript in die Benutzerinstanz von Internet Explorer einschleusen kann. Das Skript kann im Namen des Zielbenutzers Inhalte vortäuschen, Informationen offen legen oder Aktionen ausführen, die der Benutzer auf der Website vornehmen kann. Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2014-1820.

T-SQL

Der zweite Bereich betrifft T-SQL:
Zitat:
In Microsoft SQL Server liegt eine Sicherheitsanfälligkeit bezüglich Denial-of-Service vor. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann bewirken, dass der Server nicht mehr reagiert, bis ein manueller Neustart initiiert wird.

Automatische Installation oder per Hand?

Das ist eine schwierige Frage, aber eine gute Planung ist auf jeden Fall notwendig, da es zu einem Neustart kommen kann. Für Cluster gilt, dass hier beide Knoten nacheinander gepatched werden müssen, so dass auch diese Aktion entsprechend koordiniert werden muss.

Außerdem ist zu beachten, dass man sich genau anschauen sollte, was die nachträgliche Installation eines CU (cumulative updates) mit diesen Sicherheitsupdates macht. Im Zweifel gilt natürlich immer, dass man nach der CU-Installation das Security Patch wiederholt. So entfernt z. B. das CU1 oder CU2 für SQL Server 2014 dieses Patch wieder für die Master Data Services.