SQL Server 2017 CU10 是否包含 CVE-2018-8273 修補程序?
微軟昨天發布了SQL Server 2017 CU10 KB4342123 (14.0.3037.1)。我嘗試查看包含的修補程序列表,但沒有看到對最近發布的遠端程式碼執行漏洞修補程序KB4293805 CVE-2018-8273 (14.0.3035.2) 的安全更新的任何引用。
我們如何確定 SQL Server 2017 CU10 是否包含安全修補程序 KB4293805 CVE-2018-8273?
CU10的更高版本號是否足以確定?
注意:我已經在 CU9 上安裝了 CVE-2018-8273 修復程序。
是的,安全修復程序在 CU 中。來自 Microsoft 內部可靠來源的直接但私密的評論:
安全修復程序始終匯總到任何後續 CU。多年來一直如此。
來自微軟的另一位同事:
給定基準的所有 CU 服務版本是迄今為止為該基準(RTM 或 SP)發布的所有先前安全更新、CU 和按需修補程序的 100% 累積。這是機械要求的,因為我們使用相同的物理 CU 源儲存庫,我們沒有任何特定於修復的發布儲存庫,並且一旦發布我們就不會刪除修復。
除了極少數歷史例外,累積更新總是包含來自同一分支、安全或其他方面的較低版本中的修復。在 SQL Server 2017 之前,這可能會有所不同,因為服務包的版本化方式(例如,服務包 2 RTM 的內部版本號高於 sp1 cu28,即使後者比 sp1 cu28 更新 6 個月)。但這只是表面上的東西——它仍然適用於分支
@@VERSION,但如果您忽略服務包級別而只比較數字,它並不總是適用。Microsoft 是否明確記錄了安全修復程序包含在 CU10 中的任何地方?我希望能夠向管理層證明修復程序就在那裡。
我多次要求提高特定 CU 中包含(或不包含)哪些修復程序的透明度,尤其是在發生此類情況時——在 CU 之間發布了具有自己的一組問題的安全修復程序。他們已經接受了回饋,我確實希望至少在發布服務團隊的部落格文章中看到一些官方文件,宣布每個新版本。
我只能說那不是一台快速移動的機器,自動化流程和律師有時會妨礙自動生成的內容(如 CU KB 文章)中可以披露的內容。現在你將不得不相信我(和他們)的話。