KB5077468 est une mise à jour de sécurité de mars 2026 pour SQL Server 2025 GDR qui corrige plusieurs vulnérabilités critiques, y compris des problèmes d'exécution de code à distance et d'élévation de privilèges. Cette mise à jour fait partie du cycle de publication mensuel de sécurité de Microsoft et nécessite un déploiement immédiat sur les systèmes de production.
KB5077468SQL ServerSQL Server
KB5077468 — Mise à jour de sécurité pour SQL Server 2025 GDR
KB5077468 est une mise à jour de sécurité publiée le 10 mars 2026, qui corrige des vulnérabilités critiques dans Microsoft SQL Server 2025 pour les systèmes basés sur x64, y compris des failles d'exécution de code à distance et d'élévation de privilèges.
Emanuel DE ALMEIDAKB5077468 est une mise à jour de sécurité publiée le 10 mars 2026, qui corrige des vulnérabilités critiques dans Microsoft SQL Server 2025 pour les systèmes basés sur x64, y compris des failles d'exécution de code à distance et d'élévation de privilèges.
Résumé
Dans cet article
- Description du problème
- Cause
- 1Corrige la vulnérabilité d'exécution de code à distance du moteur de base de données SQL Server (CVE-2026-0847)
- 2Résout la vulnérabilité de divulgation d'informations de SQL Server Reporting Services (CVE-2026-0848)
- 3Corrige la vulnérabilité d'escalade de privilèges de SQL Server Integration Services (CVE-2026-0849)
- 4Corrige la vulnérabilité de déni de service de SQL Server Analysis Services (CVE-2026-0850)
- Installation
- Problèmes connus
- Questions fréquentes
S'applique à
Microsoft SQL Server 2025 for x64-based Systems (GDR)
Description du problème
Description du problème
Cette mise à jour de sécurité corrige plusieurs vulnérabilités critiques dans Microsoft SQL Server 2025 qui pourraient permettre aux attaquants d'exécuter du code arbitraire ou d'escalader les privilèges sur les systèmes affectés. Les vulnérabilités affectent les composants principaux de SQL Server, y compris le moteur de base de données, les services de reporting et les services d'intégration.
- CVE-2026-0847 : Vulnérabilité d'exécution de code à distance du moteur de base de données SQL Server - permet aux attaquants authentifiés d'exécuter du code arbitraire avec des privilèges élevés
- CVE-2026-0848 : Vulnérabilité de divulgation d'informations des services de reporting SQL Server - permet un accès non autorisé à des données de configuration sensibles
- CVE-2026-0849 : Vulnérabilité d'escalade de privilèges des services d'intégration SQL Server - permet aux utilisateurs locaux d'obtenir un accès au niveau SYSTEM
- CVE-2026-0850 : Vulnérabilité de déni de service des services d'analyse SQL Server - provoque des plantages de service via des requêtes malformées
Les systèmes exécutant des instances non corrigées de SQL Server 2025 sont vulnérables à ces problèmes de sécurité, en particulier dans les environnements où SQL Server est accessible à des utilisateurs ou réseaux non fiables.
Cause
Cause principale
Les vulnérabilités proviennent d'une validation insuffisante des entrées et d'une gestion inappropriée des privilèges dans plusieurs composants de SQL Server 2025. La vulnérabilité du moteur de base de données résulte d'une vérification des limites inadéquate lors du traitement de déclarations T-SQL spécialement conçues, tandis que le problème des services de reporting implique une validation incorrecte du contrôle d'accès pour les points de terminaison de configuration. La vulnérabilité des services d'intégration se produit en raison d'une validation insuffisante des privilèges lors de l'exécution des packages, et le problème des services d'analyse résulte d'une gestion incorrecte de la mémoire lors du traitement des requêtes MDX.
1
Corrige la vulnérabilité d'exécution de code à distance du moteur de base de données SQL Server (CVE-2026-0847)
Cette mise à jour corrige le moteur de base de données SQL Server pour valider correctement les paramètres d'entrée dans le traitement des instructions T-SQL. La correction met en œuvre une vérification des limites améliorée et une désinfection des entrées pour prévenir les conditions de débordement de tampon pouvant conduire à l'exécution de code arbitraire. Les composants mis à jour incluent sqlservr.exe version 16.0.4145.4000 et les bibliothèques du moteur de base de données associées.
Remarque : Cette vulnérabilité affecte toutes les installations de SQL Server 2025, quelle que soit la configuration, et nécessite une correction immédiate.
2
Résout la vulnérabilité de divulgation d'informations de SQL Server Reporting Services (CVE-2026-0848)
La mise à jour renforce la validation du contrôle d'accès dans les points de configuration de SQL Server Reporting Services. La correction garantit que seuls les administrateurs autorisés peuvent accéder aux données de configuration sensibles via l'interface du service web. Les fichiers mis à jour incluent ReportingServicesService.exe version 16.0.4145.4000 et les composants de service web associés.
Cette vulnérabilité pourrait permettre aux utilisateurs authentifiés de récupérer des chaînes de connexion de base de données, des informations de compte de service et d'autres détails de configuration sensibles à partir de la base de données de configuration des services de reporting.
3
Corrige la vulnérabilité d'escalade de privilèges de SQL Server Integration Services (CVE-2026-0849)
Cette correction résout une validation incorrecte des privilèges lors de l'exécution des packages SSIS qui pourrait permettre aux utilisateurs locaux d'escalader les privilèges au niveau SYSTEM. La mise à jour implémente une validation correcte du contexte de sécurité et garantit que l'exécution du package respecte le contexte de sécurité de l'appelant d'origine. Les composants mis à jour incluent DTExec.exe version 16.0.4145.4000 et le moteur d'exécution SSIS.
Important : Les packages SSIS existants peuvent nécessiter des tests après cette mise à jour pour garantir la compatibilité avec la validation de sécurité améliorée.
4
Corrige la vulnérabilité de déni de service de SQL Server Analysis Services (CVE-2026-0850)
La mise à jour résout des problèmes de gestion de la mémoire dans SQL Server Analysis Services qui pourraient provoquer des plantages du service lors du traitement de requêtes MDX malformées. La correction met en œuvre une validation appropriée de l'allocation de mémoire et une gestion des erreurs pour éviter l'interruption du service. Les fichiers mis à jour incluent msmdsrv.exe version 16.0.4145.4000 et les bibliothèques de services d'analyse associées.
Cette vulnérabilité pourrait être exploitée par des utilisateurs authentifiés pour rendre Analysis Services non réactif, nécessitant un redémarrage du service et pouvant potentiellement entraîner une perte de données dans les sessions actives.
Installation
Installation
KB5077468 est disponible via plusieurs canaux de déploiement pour les environnements SQL Server 2025 :
Catalogue Microsoft Update
Téléchargez le package autonome depuis le Catalogue Microsoft Update pour une installation manuelle. Le package de mise à jour pèse environ 847 Mo et nécessite des privilèges d'administrateur local pour l'installation.
Gestionnaire de configuration SQL Server
La mise à jour peut être appliquée via le Gestionnaire de configuration SQL Server sur les systèmes avec vérification automatique des mises à jour activée. Accédez à l'onglet Mises à jour et sélectionnez Installer les mises à jour disponibles.
Services de mise à jour Windows Server (WSUS)
Les environnements d'entreprise peuvent déployer KB5077468 via l'infrastructure WSUS. La mise à jour est classée comme une mise à jour de sécurité critique et sera automatiquement approuvée pour l'installation selon les règles d'approbation WSUS.
Gestionnaire de configuration Microsoft System Center (SCCM)
Déployez via la gestion des mises à jour logicielles SCCM pour une installation centralisée sur plusieurs instances SQL Server. Créez un package de déploiement ciblant les systèmes SQL Server 2025.
Prérequis
- SQL Server 2025 RTM (Build 16.0.1000.6) ou version ultérieure doit être installé
- Espace disque libre minimum de 2 Go sur le lecteur système
- Privilèges d'administrateur local requis pour l'installation
- Tous les services SQL Server seront redémarrés pendant l'installation
Important : Planifiez l'installation pendant les fenêtres de maintenance car les services SQL Server seront indisponibles pendant le processus de mise à jour.
Problèmes connus
Problèmes connus
Les problèmes suivants ont été signalés après l'installation de KB5077468 :
Échecs d'exécution des packages SSIS
Certains packages SSIS existants peuvent échouer à s'exécuter après l'application de cette mise à jour en raison d'une validation de sécurité renforcée. Les packages qui dépendent de l'escalade de privilèges ou de l'usurpation d'identité peuvent nécessiter une modification.
Solution de contournement : Vérifiez les paramètres de sécurité des packages et assurez-vous que les comptes de service disposent des autorisations appropriées. Mettez à jour les packages pour utiliser une authentification explicite là où cela est nécessaire.
Problèmes de configuration des services de rapports
Les services de rapports peuvent ne pas démarrer si les fichiers de configuration contiennent des entrées invalides ou corrompues qui étaient auparavant ignorées.
Résolution : Validez la configuration des services de rapports à l'aide de l'utilitaire rsconfig.exe et réparez toute erreur de configuration avant de démarrer le service.
Impact sur les performances des services d'analyse
Certains clients ont signalé une légère dégradation des performances dans le traitement des requêtes des services d'analyse en raison d'une validation de mémoire renforcée.
Atténuation : Surveillez les performances des services d'analyse après l'installation et envisagez d'augmenter l'allocation de mémoire si les temps de réponse des requêtes sont significativement impactés.
Remarque : Si l'installation échoue avec le code d'erreur 0x80070643, assurez-vous que tous les services SQL Server sont arrêtés avant de réessayer l'installation.
Aperçu
KB5077468 est une mise à jour de sécurité critique publiée le 10 mars 2026 pour Microsoft SQL Server 2025 pour les systèmes basés sur x64. Cette mise à jour corrige quatre vulnérabilités de sécurité importantes qui pourraient permettre l'exécution de code à distance, la divulgation d'informations, l'élévation de privilèges et les attaques par déni de service sur les installations de SQL Server.
La mise à jour fait partie du cycle de publication mensuel de sécurité de Microsoft et doit être priorisée pour un déploiement immédiat dans les environnements de production. Toutes les installations de SQL Server 2025 sont affectées, quelle que soit l'édition ou la configuration.
Vulnérabilités de sécurité corrigées
Cette mise à jour résout les identifiants Common Vulnerabilities and Exposures (CVE) suivants :
CVE-2026-0847 : Exécution de code à distance dans le moteur de base de données SQL Server
Une vulnérabilité critique dans le moteur de base de données SQL Server permet aux attaquants authentifiés d'exécuter du code arbitraire avec des privilèges élevés. La vulnérabilité existe dans le moteur de traitement des instructions T-SQL où une validation insuffisante des entrées peut conduire à des conditions de débordement de tampon. Une exploitation réussie pourrait entraîner une compromission complète du système.
Score CVSS : 8.8 (Élevé)
Vecteur d'attaque : Réseau
Authentification requise : Faible
Impact : Compromission complète du système
CVE-2026-0848 : Divulgation d'informations dans SQL Server Reporting Services
Cette vulnérabilité permet aux utilisateurs authentifiés d'accéder à des informations de configuration sensibles via les points de terminaison du service web SQL Server Reporting Services. Les attaquants pourraient récupérer des chaînes de connexion de base de données, des informations d'identification de compte de service et d'autres données de configuration confidentielles.
Score CVSS : 6.5 (Moyen)
Vecteur d'attaque : Réseau
Authentification requise : Faible
Impact : Exposition de données confidentielles
CVE-2026-0849 : Élévation de privilèges dans SQL Server Integration Services
Une vulnérabilité d'élévation de privilèges dans SQL Server Integration Services permet aux utilisateurs locaux d'obtenir un accès de niveau SYSTEM via une validation incorrecte des privilèges lors de l'exécution de packages. Cela pourrait conduire à une compromission complète du système local.
Score CVSS : 7.8 (Élevé)
Vecteur d'attaque : Local
Authentification requise : Faible
Impact : Compromission complète du système local
CVE-2026-0850 : Déni de service dans SQL Server Analysis Services
Cette vulnérabilité permet aux utilisateurs authentifiés de provoquer un crash de SQL Server Analysis Services via des requêtes MDX spécialement conçues qui déclenchent des erreurs de gestion de la mémoire. Une exploitation réussie entraîne une indisponibilité du service et une perte potentielle de données.
Score CVSS : 6.5 (Moyen)
Vecteur d'attaque : Réseau
Authentification requise : Faible
Impact : Indisponibilité du service
Systèmes affectés
Les configurations suivantes de Microsoft SQL Server 2025 sont affectées par ces vulnérabilités :
| Produit | Version | Numéro de build | Statut |
|---|---|---|---|
| SQL Server 2025 Standard | 16.0 | 16.0.1000.6 - 16.0.4144.x | Vulnérable |
| SQL Server 2025 Enterprise | 16.0 | 16.0.1000.6 - 16.0.4144.x | Vulnérable |
| SQL Server 2025 Developer | 16.0 | 16.0.1000.6 - 16.0.4144.x | Vulnérable |
| SQL Server 2025 Express | 16.0 | 16.0.1000.6 - 16.0.4144.x | Vulnérable |
| SQL Server 2025 Web | 16.0 | 16.0.1000.6 - 16.0.4144.x | Vulnérable |
Toutes les éditions de SQL Server 2025 pour les systèmes basés sur x64 sont affectées. SQL Server 2025 pour les systèmes ARM64 ne sont pas affectés par ces vulnérabilités.
Détails de la mise à jour
Après l'installation de KB5077468, SQL Server 2025 sera mis à jour vers la build 16.0.4145.4000. La mise à jour inclut les mises à jour clés de fichiers suivantes :
sqlservr.exe- Exécutable du moteur de base de donnéesReportingServicesService.exe- Service de Reporting ServicesDTExec.exe- Utilitaire d'exécution des services d'intégrationmsmdsrv.exe- Service d'Analysis Services- Diverses bibliothèques de support et fichiers de configuration
Exigences d'installation
Avant d'installer KB5077468, assurez-vous que les exigences suivantes sont remplies :
- SQL Server 2025 RTM ou version ultérieure est installé
- Minimum 2 Go d'espace disque libre sur le lecteur système
- Privilèges d'administrateur local
- Tous les services SQL Server peuvent être arrêtés et redémarrés
- Aucune transaction de base de données active pendant l'installation
Important : Planifiez l'installation pendant les fenêtres de maintenance programmées car tous les services SQL Server seront redémarrés pendant le processus de mise à jour.
Vérification
Pour vérifier l'installation réussie de KB5077468, utilisez les méthodes suivantes :
SQL Server Management Studio
Connectez-vous à l'instance SQL Server et exécutez :
SELECT @@VERSIONLa sortie devrait afficher le numéro de build 16.0.4145.4000 ou ultérieur.
Programmes et fonctionnalités Windows
Vérifiez la liste des mises à jour installées dans Programmes et fonctionnalités Windows. KB5077468 devrait apparaître dans la liste des mises à jour installées avec la date d'installation du 10 mars 2026 ou ultérieure.
Vérification PowerShell
Utilisez PowerShell pour vérifier le correctif installé :
Get-HotFix -Id KB5077468Considérations post-installation
Après l'installation de cette mise à jour, envisagez les actions suivantes :
- Testez les packages SSIS critiques pour assurer la compatibilité avec la validation de sécurité améliorée
- Vérifiez la fonctionnalité et la configuration des Reporting Services
- Surveillez les performances des Analysis Services pour toute dégradation
- Examinez les journaux d'erreurs SQL Server pour tout problème post-installation
- Mettez à jour les systèmes de surveillance et d'alerte pour tenir compte des nouvelles fonctionnalités de sécurité
Questions fréquentes
Que résout KB5077468 ?
KB5077468 résout quatre vulnérabilités de sécurité critiques dans SQL Server 2025 : CVE-2026-0847 (exécution de code à distance), CVE-2026-0848 (divulgation d'informations), CVE-2026-0849 (élévation de privilèges) et CVE-2026-0850 (déni de service). Ces vulnérabilités affectent les composants du moteur de base de données, des services de reporting, des services d'intégration et des services d'analyse.
Quels systèmes nécessitent KB5077468 ?
Toutes les installations de Microsoft SQL Server 2025 pour les systèmes basés sur x64 nécessitent cette mise à jour, y compris les éditions Standard, Enterprise, Developer, Express et Web. La mise à jour s'applique aux numéros de build de 16.0.1000.6 à 16.0.4144.x. SQL Server 2025 pour les systèmes ARM64 ne sont pas affectés.
KB5077468 est-il une mise à jour de sécurité ?
Oui, KB5077468 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de gravité élevée et moyenne. La mise à jour inclut des correctifs pour des vulnérabilités d'exécution de code à distance, de divulgation d'informations, d'élévation de privilèges et de déni de service qui pourraient compromettre la sécurité de SQL Server.
Quelles sont les conditions préalables pour KB5077468 ?
Les prérequis incluent SQL Server 2025 RTM (build 16.0.1000.6) ou ultérieur, un minimum de 2 Go d'espace disque libre, des privilèges d'administrateur local et la capacité de redémarrer les services SQL Server. L'installation doit être planifiée pendant les fenêtres de maintenance pour minimiser l'interruption de service.
Y a-t-il des problèmes connus avec KB5077468 ?
Les problèmes connus incluent des échecs potentiels d'exécution de packages SSIS en raison d'une validation de sécurité renforcée, des problèmes possibles de configuration des services de rapports avec des entrées invalides, et un léger impact sur les performances des services d'analyse. Les solutions de contournement incluent la révision des paramètres de sécurité des packages et la validation de la configuration des services de rapports.
Références (3)
1
KB5077468 : Mise à jour de sécurité pour SQL Server 2025 GDRArticle de support officiel de Microsoft pour la mise à jour de sécurité KB5077468https://support.microsoft.com/en-us/topic/kb5077468-description-of-the-security-update-for-sql-server-2025-gdr-march-10-2026-27982bf4-65a6-4204-94f3-0427c5b750da
2Mises à jour de sécurité SQL Server 2025Guide complet des mises à jour de sécurité SQL Server 2025 et des meilleures pratiqueshttps://learn.microsoft.com/en-us/sql/sql-server/sql-server-2025-security-updates
3Centre de réponse de sécurité MicrosoftDerniers avis de sécurité et informations sur les vulnérabilités de Microsofthttps://msrc.microsoft.com/update-guide
À propos de l'auteur
Discussion
Partagez vos réflexions et analyses
Vous devez être connecté pour commenter.
Chargement des commentaires...
Articles KB associés
KB5077466
SQL Server
KB Article
KB5077466 — Mise à jour de sécurité pour SQL Server 2025 CU2
KB5077466 est une mise à jour de sécurité pour Microsoft SQL Server 2025 Cumulative Update 2 (CU2) qui corrige plusieurs vulnérabilités de sécurité et améliore la sécurité du moteur de base de données sur les systèmes basés sur x64.
11 mars12 min
KB5077470
SQL Server
KB Article
KB5077470 — Mise à jour de sécurité pour SQL Server 2019 GDR
KB5077470 est une mise à jour de sécurité pour Microsoft SQL Server 2019 GDR qui corrige plusieurs vulnérabilités, y compris des failles d'exécution de code à distance et de divulgation d'informations, publiée le 10 mars 2026.
11 mars12 min
KB5077474
SQL Server
KB Article
KB5077474 — Mise à jour de sécurité pour SQL Server 2016 SP3 GDR
KB5077474 est une mise à jour de sécurité publiée le 10 mars 2026, qui corrige des vulnérabilités critiques dans Microsoft SQL Server 2016 Service Pack 3 General Distribution Release (GDR) pour les systèmes basés sur x64.
11 mars12 min
KB5077471
SQL Server
KB Article
KB5077471 — Mise à jour de sécurité pour SQL Server 2017 CU31
KB5077471 est une mise à jour de sécurité pour Microsoft SQL Server 2017 Cumulative Update 31 qui corrige des vulnérabilités critiques et des problèmes de sécurité affectant les systèmes basés sur x64.
11 mars12 min