微软安全公告MS15-058 : SQL Server允许远程代码执行
内容摘要
此次安全更新修复微软SQL Server漏洞。其中最严重的漏洞是允许远程代码执行未认证攻击者蓄意构造请求从非法地址执行一个虚函数从而导致指向未初始化内存的函数调用。要利用此漏洞攻击者需要创建或修改数据库的权限。
本次重大安全更新针对Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2012, 以及Microsoft SQL Server 2014等版本。更多有关信息查阅受影响软件部分。
此次安全更新通过纠正SQL Server处理内部函数调用和指针转换方式修补漏洞。更多漏洞有关信息见漏洞信息部分。
有关此次更新更多信息见Microsoft Knowledge Base Article 3065718。
受影响软件
经测试确定了以下软件受漏洞影响的具体版本。其他版本的软件由于超过技术支持生命周期或不受漏洞影响未列出。若需要查阅软件版本的技术支持生命周期见Microsoft Support Lifecycle。
更新FAQ
针对我的SQL Server版本存在GDR与QFE两类更新我如何知道使用哪一种更新
首先确定你的SQL Server版本号。更多关于确定SQL Server版本号的信息见Microsoft Knowledge Base Article 321185。
其次在下表中定位你的版本号或版本号所属范围对应的更新即是你所需要安装的。
注 若你的SQL Server版本号未出现在下表中则说明你拥有不再支持的SQL Server版本。请更新到最新的服务包或SQL Server产品以应用本次及未来的安全更新。
针对SQL Server 2008 Service Pack 3:
针对SQL Server 2008 Service Pack 4:
针对SQL Server 2008 R2 Service Pack 2:
针对SQL Server 2008 R2 Service Pack 3:
注 应用GDR更新后数据库更新脚本不会自动执行。这属于正常现象因补丁仅仅替换了二进制文件。
需要额外安装指导见更新信息部分中相应SQL Server版本的安全更新信息小节。
GDR与QFE更新代表什么两者有什么区别
General Distribution Release (GDR)Quick Fix Engineering (QFE)对应针对SQL Server两种不同的更新服务分支。两者的主要区别是QFE包含所有更新的累积而GDR仅包括对于给定基准的安全更新。基准可以是初始RTM版本或服务包。
对任意给定基准若你的软件版本符合基准或以针对基准安装了GDR更新GDR或QFE更新都是可选的。若针对基准安装了以前的QFE更新则本次只能安装QFE
官方 