SQL Server 2016 SP2 CU11 的安全性更新 (KB4535706)

第一個安全性弱點修正:
當 Microsoft SQL Server Reporting Services 不正確地處理分頁要求時，其內部就會存在遠端程式碼執行弱點。成功惡意探索此弱點的攻擊者，可以在報表伺服器服務帳戶的內容中執行程式碼。
經驗證的攻擊者必須提交特製的分頁要求給受影響的 Reporting Services 執行個體，才能惡意探索這項弱點。
安全性更新可藉由修改 Microsoft SQL Server Reporting Services 處理分頁要求的方式，來解決這項弱點。

第二個安全性弱點修正:
當 Microsoft SQL Server Reporting Services (SSRS) 未適當地清理對受影響 SSRS 伺服器的特製 Web 要求時，就會存在跨網站指令碼 (XSS) 弱點。成功惡意探索此弱點的攻擊者，可以在目標使用者的內容中執行指令碼。攻擊可能會讓攻擊者得以讀取其無權讀取的內容、執行惡意程式碼，並使用受害者的身分識別代表該使用者在網站中採取動作，例如變更權限和刪除內容。
攻擊者必須說服經驗證的使用者按一下受影響 SSRS 伺服器的特製連結，才能惡意探索這項弱點。
此安全性更新會更正 SSRS URL 清理，以解決此弱點。

如需此更新中已解決問題的完整清單，請參閱相關的 Microsoft 知識庫文章 - KB4535706

下列 SQL Server 安全性更新包含這兩種 SQL Server Reporting Services 修正，並可供下載:
SQL Server 2016 SP2 CU11 的安全性更新 (KB4535706)
SQL Server 2016 SP2 GDR 的安全性更新 (KB4532097)

支援的作業系統

Windows Server 2016, Windows Server 2019, Windows 10, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

此更新適用於 SQL Server 2016 SP2 CU 執行個體。

此更新會更新已套用累積更新的 Microsoft SQL Server 2016 SP2 CU (13.0.5149.0(CU1) - 13.0.5598.27(CU11) 版)。

安裝此更新之後，可能需要重新啟動電腦。

針對未套用任何累積更新的 Microsoft SQL Server 2016 SP2 執行個體 (13.0.5026.0-13.0.5101.9 版)，請參閱 SQL Server 2016 SP2 GDR 的安全性更新 (KB4532097)。