SQL Server 2016 SP2 CU11용 보안 업데이트(KB4535706)

첫 번째 보안 취약성 수정:
페이지 요청을 잘못 처리하는 경우 Microsoft SQL Server Reporting Services에 원격 코드 실행 취약성이 있습니다. 이 취약성을 악용하는 공격자는 보고서 서버 서비스 계정의 컨텍스트에서 코드를 실행할 수 있습니다.
이 취약성을 악용하려면 인증된 공격자가 특별히 구성된 페이지 요청을 영향받은 Reporting Services 인스턴스에 제출해야 합니다.
이 보안 업데이트는 Microsoft SQL Server Reporting Services가 페이지 요청을 처리하는 방법을 수정하여 이 취약성을 해결합니다.

두 번째 보안 취약성 수정:
Microsoft SSRS(SQL Server Reporting Services)가 영향을 받은 SSRS 서버에 대해 특별히 구성된 웹 요청을 제대로 삭제하지 않는 경우 XSS(교차 사이트 스크립팅) 취약성이 있습니다. 이 취약성을 악용하는 공격자는 대상 사용자의 컨텍스트에서 스크립트를 실행할 수 있습니다. 공격을 통해 공격자는 읽기 권한이 없는 콘텐츠를 읽고, 악성 코드를 실행하고, 피해자의 ID를 사용하여 권한 변경, 콘텐츠 삭제 등 사용자 대신 사이트에서 작업을 할 수 있습니다.
이 취약성을 악용하려면 공격자는 인증된 사용자가 영향받은 SSRS 서버에 대해 특별히 구성된 링크를 클릭하도록 설득해야 합니다.
보안 업데이트는 SSRS URL 삭제를 수정하여 이 취약성을 해결합니다.

이 업데이트에서 해결된 문제의 전체 목록은 관련 Microsoft 기술 자료 문서(KB4535706)를 참조하세요.

다음 SQL Server 보안 업데이트는 SQL Server Reporting Services 수정 사항을 포함하며 다운로드 가능합니다.
SQL Server 2016 SP2 CU11용 보안 업데이트(KB4535706)
SQL Server 2016 SP2 GDR용 보안 업데이트(KB4532097)

지원되는 운영 체제

Windows Server 2016, Windows Server 2019, Windows 10, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

이 업데이트는 SQL Server 2016 SP2 CU 인스턴스에 적용됩니다.

이 업데이트는 누적 업데이트(버전 13.0.5149.0(CU1) - 13.0.5598.27(CU11))가 적용된 Microsoft SQL Server 2016 SP2 CU를 새로 고칩니다.

이 업데이트를 설치한 후 컴퓨터를 다시 시작해야 할 수 있습니다.

누적 업데이트(버전 13.0.5026.0-13.0.5101.9)가 적용되지 않은 Microsoft SQL Server 2016 SP2 인스턴스는 SQL Server 2016 SP2 GDR용 보안 업데이트(KB4532097)를 참조하세요.