{"id":3697,"date":"2009-10-13T20:50:08","date_gmt":"2009-10-13T18:50:08","guid":{"rendered":"http:\/\/www.glorf.it\/blog\/?p=3697"},"modified":"2009-10-15T23:19:48","modified_gmt":"2009-10-15T21:19:48","slug":"update-des-sql-servers-wegen-bug-in-gdi","status":"publish","type":"post","link":"http:\/\/www.glorf.it\/blog\/2009\/10\/13\/sql-talk\/sql-server\/update-des-sql-servers-wegen-bug-in-gdi","title":{"rendered":"Update des SQL-Servers wegen Bug in GDI+? (Update)"},"content":{"rendered":"<p>Seit ein paar Tagen wurde ich immer wieder auf den heutigen Patchday angesprochen: erstmals seit l&#228;ngerer Zeit steht ist in der <a href=\"http:\/\/www.microsoft.com\/technet\/security\/bulletin\/ms09-oct.mspx\">Liste der heutigen Patches<\/a> wieder ein SQL-Server-Hotfix bereit. Und warum? Weil GDI+ ein Sicherheitsproblem hat und man in den Berichten der &quot;SQL Server 2005 Reporting Services&quot; derart manipulierte Dateien ansehen k&#246;nnte.<br \/>\nDie SQL-Server-Engine hat also eigentlich gar kein Sicherheitsproblem.<\/p>\n<p>Wer nun glaubt in seiner Firma den SQL-Server patchen zu m&#252;ssen, der findet im &quot;<a href=\"http:\/\/www.microsoft.com\/technet\/security\/bulletin\/ms09-062.mspx\">Microsoft Security Bulletin MS09-062 &#8211; Critical: Vulnerabilities in GDI+ Could Allow Remote Code Execution (957488)<\/a>&quot; alle relevanten Informationen.<\/p>\n<p>Der Patch wird auch &#252;ber Windows-Update bzw. WSUS verteilt, die Installation verlief bei uns reibungslos und schnell. Dabei erkennt der Windows-Update die Version des installierten SQL-Servers und wendet den richtigen Patch an.<\/p>\n<p>Der Patch wird immer durchgef&#252;hrt, auch wenn gar keine Reporting-Services installiert sind. Hintergrund ist vermutlich die spezielle Paketinstallation des SQL-Servers. Die beherrscht die Installation von mehreren SQL-Instanzen und verschiedenen optionalen Komponenten (z.B. Reporting-Services). Der Windows-Update ist damit &#252;berfordert. Er erkennt nur das Paket und dessen Version, ob aber die Reporting-Services installiert sind oder nicht, d&#252;rfte dessen Logikf&#228;higkeiten &#252;berschreiten.<\/p>\n<p>Daher handelt es sich dabei in der Regel (genauer bei einem QFE) auch um einen vollst&#228;ndigen kummulativen Update auf die Version 9.00.4262. Die Menge der ausgetauschten Dateien ist schon beeindruckend, aber immerhin ist der Download minimal <a href=\"http:\/\/www.microsoft.com\/downloads\/details.aspx?familyid=e6f307c1-8b21-406e-9c6f-b1a3a1e9a98f&#038;displaylang=en\">112 MBytes<\/a>. Und das blo&#223; wegen einem bl&#246;den GDI+-Problem&#8230; Den Kalauer mit den oberfl&#228;chlichen Dingen halte ich besser mal zur&#252;ck. \ud83d\ude09<\/p>\n<p>Wenn man sich die Doku genau durchliest, dann kommt raus, dass genau genommen nur die Reporting-Services auf Windows-2000 betroffen sind. Bei einer manuellen Installation sollte man sich den Punkt &quot;<a href=\"http:\/\/www.microsoft.com\/technet\/security\/bulletin\/ms09-062.mspx\">If I have an installation of SQL Server, how am I affected?<\/a>&quot; in der FAQ genau durchlesen. Dann kann man entscheiden, ob das wirklich n&#246;tig ist. Vermutlich wohl eher nicht.<\/p>\n<p><strong>Update 14.10.2009<\/strong>: Heute kam ich dazu die ganzen Details zu sichten und stellte fest, dass es mit dem GID+-Problem nicht um das SQL Server Management Studio (SSMS) geht, sondern um die Reporting-Services. Daher habe ich den Artikel nun angepasst.<\/p>\n<p><strong>Update 15.10.2009<\/strong>: Mein Chef wies mich auf die beiden interessanten Blogbeitr&#228;ge &quot;<a href=\"http:\/\/blogs.msdn.com\/brianhartman\/archive\/2009\/10\/13\/gdi-updated-again.aspx\">GDI+ Updated Again<\/a>&quot; und &quot;<a href=\"http:\/\/blogs.msdn.com\/psssql\/archive\/2009\/10\/15\/reporting-services-and-the-ms09-062-gdr-gdi.aspx\">Reporting Services and the MS09-062 GDR (GDI+)<\/a>&quot; hin.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seit ein paar Tagen wurde ich immer wieder auf den heutigen Patchday angesprochen: erstmals seit l&#228;ngerer Zeit steht ist in der Liste der heutigen Patches wieder ein SQL-Server-Hotfix bereit. Und warum? Weil GDI+ ein Sicherheitsproblem hat und man in den Berichten der &quot;SQL Server 2005 Reporting Services&quot; derart manipulierte Dateien ansehen k&#246;nnte. Die SQL-Server-Engine hat [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[16],"tags":[135],"_links":{"self":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/3697"}],"collection":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/comments?post=3697"}],"version-history":[{"count":6,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/3697\/revisions"}],"predecessor-version":[{"id":3699,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/3697\/revisions\/3699"}],"wp:attachment":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/media?parent=3697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/categories?post=3697"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/tags?post=3697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}