SQL Server 2016 SP2 CU11 安全更新程序 (KB4535706)

第一个安全漏洞修补程序：
当 Microsoft SQL Server Reporting Services 未正确处理页面请求时，它存在一个远程代码执行漏洞。成功利用此漏洞的攻击者可以在报表服务器服务帐户上下文中执行代码。
要利用此漏洞，经过身份验证的攻击者需要向受影响的 Reporting Services 实例提交一个精心编制的页面请求。
此安全更新程序通过修改 Microsoft SQL Server Reporting Services 处理页面请求的方式来解决此漏洞。

第二个安全漏洞修补程序：
当 Microsoft SQL Server Reporting Services (SSRS) 未正确审查到受影响的 SSRS 服务器的精心编制的 Web 请求时，它存在跨站点脚本 (XSS) 漏洞。成功利用此漏洞的攻击者可以在目标用户的上下文中运行脚本。通过攻击，攻击者可以读取攻击者无权读取的内容、执行恶意代码以及使用受害者的身份代表该用户在站点上执行操作，例如更改权限和删除内容。
要利用此漏洞，攻击者需要说服经过身份验证的用户单击精心编制的转到受影响的 SSRS 服务器的链接。
此安全更新程序通过更正 SSRS URL 审查解决了此漏洞。

若要查看此更新解决的问题的完整列表，请参阅相关的 Microsoft 知识库文章 - KB4535706

下面的 SQL Server 安全更新程序包含这两个 SQL Server Reporting Services 修补程序，并且已可以下载：
SQL Server 2016 SP2 CU11 安全更新程序 (KB4535706)
SQL Server 2016 SP2 GDR 安全更新程序 (KB4532097)

支持的操作系统

Windows Server 2016, Windows Server 2019, Windows 10, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

此更新适用于 SQL Server 2016 SP2 CU 实例。

此更新会刷新已应用累积更新的 Microsoft SQL Server 2016 SP2 CU 实例（版本 13.0.5149.0(CU1) 到 13.0.5598.27(CU11)）。

安装此更新后，可能需要重启计算机。

对于尚未应用任何累积更新的 Microsoft SQL Server 2016 SP2 实例（版本 13.0.5026.0 到 13.0.5101.9），请参阅 SQL Server 2016 SP2 GDR 安全更新程序 (KB4532097)。