微软昨天发布了SQL Server 2017 CU10 KB4342123 (14.0.3037.1)。我尝试查看包含的修补程序列表,但没有看到任何对最近发布的远程代码执行漏洞修补程序KB4293805 CVE-2018-8273 (14.0.3035.2) 的安全更新的引用。
我们如何确定 SQL Server 2017 CU10 是否包含安全修补程序 KB4293805 CVE-2018-8273?
CU10 的更高版本号是否足以确定这一点?
注意:我已经在 CU9 上安装了 CVE-2018-8273 修复程序。
是的,安全修复在 CU 中。来自 Microsoft 内部可靠来源的直接但私人的评论:
来自微软的另一位同事:
除了极少数历史例外,累积更新始终包括来自同一分支、安全性或其他方面的较低版本中的修复。在 SQL Server 2017 之前,这可能会有所不同,因为服务包的版本控制方式(例如,服务包 2 RTM 的内部版本号高于 sp1 cu28,尽管后者比 sp1 cu28 更新 6 个月)。但这只是一个装饰性的东西 - 它仍然适用于 branch
@@VERSION,但如果您忽略服务包级别并且只比较数字,它并不总是适用。我已经多次要求更透明地了解特定 CU 中包含(或不包含)哪些修复程序,尤其是在发生此类情况时——在 CU 之间发布了具有自身问题集的安全修补程序。他们已经接受了反馈,我希望至少在发布服务团队的博客文章中看到一些官方文档,以宣布每个新版本。
我只能说那不是一台快速移动的机器,自动化流程和律师有时会妨碍在自动生成的内容(如 CU KB 文章)中可以披露的内容。现在你将不得不相信我(和他们)的话。