סיכום
קיימת פגיעות של ביצוע קוד מרוחק בשירותי הדיווח של Microsoft SQL Server אם הוא מטפל באופן שגוי בבקשות עמוד. תוקף שמצליח לנצל פגיעות זו יכול לבצע קוד בהקשר של חשבון השירות של הדוח Server. אפליקציית API פנימית המשמשת עבור בקשות לקבצים גדולים של PBIX מאפשרת מאפיין נתיב קובץ. התהליך של שירותי הדיווח עשוי לנסות לכתוב קובץ זמני בנתיב מרוחק. אם hash ה-NTLM מנותק במחשב יעד, התוקף יכול לקבל את האישורים עבור תהליך שרת הדוחות. לקבלת מידע נוסף אודות הפגיעות, ראה CVE-2021-26859.
שרת הדוחות של Power BI מתעדכן לגירסאות ה-build הבאות בעדכון אבטחה זה.
שם מוצר |
גירסת מוצר |
גירסת קובץ |
---|---|---|
שרת הדוחות של Power BI |
15.0.1103.241 |
1.8.7710.3956 |
כיצד להשיג ולהתקין את העדכון
עדכון זה זמין להורדה ממרכז ההורדות של Microsoft:
תאריך הפצה: 9 במרץ 2021
דרישות מוקדמות
כדי להחיל עדכון זה, דרושות לך גירסה כלשהי של שרת הדוחות של Power BI (מאי 2020).