【安全通告】Microsoft SQL Server Reporting Services远程执行代码漏洞风险通告(CVE-2020-0618)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,研究人员近期披露了 Microsoft SQL Server Reporting Services 远程执行代码漏洞(漏洞编号:CVE-2020-0618)的漏洞利用。微软在2020年2月补丁日中披露了该漏洞,本次通告标识该漏洞利用工具已公开。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Microsoft SQL Server Reporting Services 是微软基于服务器的报表生成软件,它是 Microsoft SQL Server 服务套件的一部分,通过Web界面进行管理,可用于准备和交付各种交互式报告。Microsoft SQL Server Reporting Services(SSRS)在处理页面请求方式中存在远程代码执行漏洞,经过身份验证的攻击者通过向受影响的 Reporting Services 实例提交精心构造的HTTP请求,可利用应用中的反序列化问题在服务器上执行代码。
风险等级
高风险
漏洞风险
经过身份验证的攻击者通过向受影响的 Reporting Services 实例提交精心构造的 HTTP 请求,可利用应用中的反序列化问题在服务器上执行代码。
影响版本
Microsoft SQL Server 2016
Microsoft SQL Server 2014
Microsoft SQL Server 2012
修复建议
微软官方已发布漏洞修复更新,腾讯云安全建议您:
更新系统补丁:确保服务器打上了所需的补丁,打开 Windows Update 更新功能或下载修复补丁,点击“检查更新”。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。
漏洞参考
