Résumé
Il existe une vulnérabilité d’exécution de code à distance dans Microsoft SQL Server si celui-ci traite de manière incorrecte les demandes de page. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code dans le contexte du compte de service Report Server. Une API interne utilisée pour les demandes de fichiers PBIX de grande taille permet d’obtenir une propriété de chemin d’accès de fichier. Le processus des services de création de rapports peut essayer d’écrire un fichier temporaire sur un chemin d’accès distant. Si le code de hachage NTLM est rompu sur un ordinateur cible, l’attaquant peut obtenir les informations d’identification pour le processus de serveur de rapports. Pour en savoir plus sur cette vulnérabilité, consultez la page CVE-2021-26859.
Power BI Report Server est mis à jour avec les builds suivantes dans cette mise à jour de sécurité.
|
Nom du produit |
Version du produit |
Version du fichier |
|---|---|---|
|
Power BI Report Server |
15.0.1103.241 |
1.8.7710.3956 |
Procédure d'obtention et d'installation de la mise à jour
Cette mise à jour peut être téléchargée à partir du Centre de téléchargement Microsoft.
Date de publication : 9 mars 2021.
Conditions préalables
Pour que vous puissiez appliquer cette mise à jour, l’une des versions de Power BI Report Server (mai 2020) doit être installée.
