Martedì 14 giugno 2022 Microsoft ha rilasciato una serie di importanti aggiornamenti sulla sicurezza, uno per ciascuna delle versioni correnti di SQL Server, ovvero da SQL Server 2014 a SQL Server 2019.
La vulnerabilità risolta dall’aggiornamento
Questo aggiornamento va a risolvere una vulnerabilità nota, identificata dal codice CVE-2022-29143 e relativa all’esecuzione di codice da remoto. Un utente autenticato può, se malintenzionato, sfruttare questa vulnerabilità tramite l’esecuzione di una query realizzata appositamente, usando la funzione di partizione $partition su una tabella con un indice di tipo Columnstore.
Quali versioni di SQL Server sono state aggiornate?
L’elenco completo delle versioni di SQL Server aggiornate è il seguente:
- SQL Server 2019 (CU 16 e GDR)
- SQL Server 2017 (CU 29 e GDR)
- SQL Server 2016 (SP3 Azure Connected, SP3 GDR. SP2 CU17 e SPD GDR).
- SQL Server 2014 (SP3 CU 4 e SP3 GDR)
Come aggiorno il mio SQL Server?
Per aggiornare SQL Server occorre innanzitutto individuare la versione, l’edizione e il livello di aggiornamento (tra aggiornamenti di sicurezza, service pack e build di aggiornamento cumulativo) che si utilizza.
Per ciascuna è disponibile una breve descrizione sul relativo aggiornamento di sicurezza sul sito ufficiale Microsoft.
Una volta individuata la versione corretta, è possibile aggiornare SQL Server tramite:
- Windows Update (compreso nell’aggiornamento automatico)
- Microsoft Update Catalog
- Area download Microsoft
Conclusioni: l'importanza degli aggiornamenti
Il consiglio che diamo è di applicare l’aggiornamento di sicurezza il prima possibile. Si tratta di un altro esempio di come è fondamentale mantenere aggiornato il proprio sistema, dal DBMS alle applicazioni, e di gestire in modo corretto i privilegi SQL.
Ne approfittiamo per ricordare che tra meno di un mese termina il supporto esteso per SQL Server 2012, per cui è consigliabile passare il prima possibile ad una versione più recente per continuare a ricevere gli aggiornamenti, dato che il termine del supporto esteso determina che SQL Server 2012 non verrà più aggiornato nemmeno dal punto di vista della sicurezza.
di Alice Sella, pubblicato il 17 giugno 2022
