【漏洞详情】

近日，微软 SQL Server 远程代码执行漏洞（CVE-2020-0618）利用脚本已公开。该漏洞是SSRS的ReportingServicesWebServer.dll 中的输入验证不正确，进而导致的.net反序列化漏洞。经过身份验证的远程攻击者通过向受影响的服务器发送特制请求包，可以造成远程代码执行。

【漏洞评级】

高危

【 影响范围】

SQL Server 2016 Service Pack 2 13.0.5026.0-13.0.5101.9

SQL Server 2016 Service Pack 2 13.0.5149.0-13.0.5598.27

SQL Server 2014 Service Pack 3 12.0.6024.0-12.0.6108.1

SQL Server 2014 Service Pack 2 12.0.6205.1-12.0.6329.1

SQL Server 2012 Service Pack 4 111.0.7001.0-11.0.7462.6

【修复建议】

目前官方已发布补丁修复了该漏洞，建议受影响的,用户结合实际业务评估漏洞风险影响，及时升级安全补丁，避免安全风险。

补丁官网下载地址： https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0618

【参考链接】

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0618

特别提醒：清除恶意文件前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年9月21日