Tóm tắt
Lỗ hổng thực thi mã từ xa tồn tại trong Microsoft SQL Server báo cáo dịch vụ nếu nó không chính xác xử lý yêu cầu trang. Kẻ tấn công thành công khai thác lỗ hổng này có thể thực thi mã trong ngữ cảnh của tài khoản Dịch vụ báo cáo máy chủ. Một API nội bộ được dùng cho các yêu cầu tệp PBIX lớn cho phép một thuộc tính đường dẫn tệp. Quy trình dịch vụ báo cáo có thể tìm cách viết tệp tạm thời vào đường dẫn từ xa. Nếu Hash NTLM bị hỏng trên một máy tính đích, kẻ tấn công có thể nhận được thông tin xác thực cho quy trình máy chủ báo cáo. Để tìm hiểu thêm về lỗ hổng, hãy xem mục c-2021-26859.
Máy chủ báo cáo Power BI được cập nhật lên các bản dựng sau đây trong bản Cập Nhật bảo mật này.
Tên sản phẩm |
Phiên bản sản phẩm |
Phiên bản tệp |
---|---|---|
Máy chủ báo cáo Power BI |
15.0.1103.241 |
1.8.7710.3956 |
Cách tải và cài đặt bản Cập Nhật
Bản cập nhật này sẵn dùng để tải xuống từ Trung tâm tải xuống của Microsoft:
Ngày phát hành: 09/03/2018, 2021
Điều kiện tiên quyết
Để áp dụng bản cập nhật này, bạn phải có bất kỳ phiên bản nào của máy chủ báo cáo Power BI (tháng 5 2020) được cài đặt.