Beveiligingsadvies NCSC-2024-0364 [1.00] [M/H] Kwetsbaarheden verholpen in Microsoft SQL Server
Verholpen Kwetsbaarheden in Microsoft SQL Server
Microsoft heeft verschillende kwetsbaarheden verholpen in hun SQL Server-producten. Deze pagina geeft een overzicht van de geïdentificeerde kwetsbaarheden, hun mogelijke impact, en de beschikbare oplossingen per 2024.
Deze pagina zet de platte tekst van officiële advisories automatisch om naar HTML. Hierdoor kan mogelijk informatie verloren gaan. De Signed PGP-versies zijn leidend.
Publicatie-informatie
| Publicatie | Kans | Schade | Details | Downloads |
|---|---|---|---|---|
| Vandaag | Medium | High | NCSC-2024-0364 [1.00] |
Signed-PGP CSAF |
Kenmerken van de Kwetsbaarheden
- Heap-based Buffer Overflow
- Untrusted Pointer Dereference
- Improper Privilege Management
- Numeric Truncation Error
- Improper Input Validation
- Out-of-bounds Read
- Use After Free
- Improper Null Termination
- Improper Access Control
Omschrijving
Microsoft heeft kwetsbaarheden in SQL Server aangepakt, waarvan de meeste zich in SQL Native Scoring bevinden. Deze kwetsbaarheden kunnen een kwaadwillende in staat stellen om verhoogde rechten te verkrijgen, toegang te krijgen tot gevoelige gegevens, en willekeurige code uit te voeren binnen de SQL Server. Voor succesvolle exploits moet de aanvaller reeds geauthenticeerd zijn.
Betreffende Platforms en Versies
| Platforms | Producten | Versies |
|---|---|---|
|
Microsoft SQL Server 2016 Service Pack 3, Microsoft SQL Server 2016 Service Pack 3 Azure Connect Feature Pack, Microsoft SQL Server 2017 CU 31, Microsoft SQL Server 2017 GDR, Microsoft SQL Server 2019 CU 28, Microsoft SQL Server 2019 GDR, Microsoft SQL Server 2022 GDR, Microsoft SQL Server 2022 CU 14 |
13.0.0 – 16.0.0 |
Oplossingen
Microsoft heeft updates uitgebracht om de beschreven kwetsbaarheden te verhelpen. Het wordt aangeraden deze updates zo snel mogelijk te installeren. Voor meer informatie over de kwetsbaarheden, het installeren van de updates en eventuele workarounds, verwijzen we u naar het Microsoft Security Guidance Portal.
Bekende CVE’s
De volgende CVE-identificaties zijn toegewezen aan de kwetsbaarheden:
- CVE-2024-26186
- CVE-2024-26191
- CVE-2024-37335
- CVE-2024-37337
- CVE-2024-37338
- CVE-2024-37339
- CVE-2024-37340
- CVE-2024-37341
- CVE-2024-37342
- CVE-2024-37965
- CVE-2024-37966
- CVE-2024-37980
- CVE-2024-43474
Door gebruik te maken van deze security advisory accepteert u de volgende voorwaarden:
Het Nationaal Cyber Security Centrum Nederland (NCSC) heeft uiterste zorg besteed aan de samenstelling van dit beveiligingsadvies. Desondanks kan het NCSC niet instaan voor de volledigheid, juistheid, of continue actualiteit van dit beveiligingsadvies. De informatie is uitsluitend bedoeld als algemene informatieron, en er kunnen geen rechten aan worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor welke schade dan ook, voortvloeiend uit de nauwkeurigheid of onvolledigheid van de gegeven informatie, of het gebruik of de onmogelijkheid om dit beveiligingsadvies te gebruiken.
Nederlands recht is van toepassing op dit beveiligingsadvies. Alle geschillen in verband met, en/of voortvloeiend uit dit advies zullen worden voordeeld aan de exclusief bevoegde rechter te Den Haag, waaronder ook de voorzieningenrechter in kort geding.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----