A Microsoft lançou o SQL Server 2017 CU10 KB4342123 (14.0.3037.1) ontem. Tentei examinar a lista de hotfixes incluídos , mas não vi nenhuma referência à atualização de segurança lançada recentemente para o hotfix de vulnerabilidade de execução remota de código KB4293805 CVE-2018-8273 (14.0.3035.2).
Como podemos determinar se o SQL Server 2017 CU10 inclui o hotfix de segurança KB4293805 CVE-2018-8273 ou não?
O número de versão superior do CU10 é suficiente para determinar isso?
NOTA: Já instalei a correção CVE-2018-8273 no CU9.
Sim, a correção de segurança está na CU. Comentário direto, mas privado, de uma fonte confiável dentro da Microsoft:
E de outro colega da Microsoft:
Com pouquíssimas exceções históricas, as atualizações cumulativas sempre incluem as correções em compilações inferiores da mesma ramificação , segurança ou outra. Antes do SQL Server 2017, isso poderia ser diferente devido à forma como os service packs eram versionados (por exemplo, o service pack 2 RTM tem um número de compilação mais alto que o sp1 cu28, embora o último seja 6 meses mais recente). Mas isso é apenas uma coisa cosmética - ainda vale para o branch , mas nem sempre vale se você estiver ignorando o nível do service pack e apenas comparando
@@VERSIONnúmeros.Pedi várias vezes mais transparência sobre quais correções estão incluídas (ou não incluídas) em uma CU específica, especialmente quando algo assim acontece - um hotfix de segurança com seu próprio conjunto de problemas foi lançado entre CUs. Eles receberam o feedback e espero ver alguma documentação oficial pelo menos nas postagens do blog da equipe de serviços de lançamento anunciando cada novo lançamento.
Tudo o que posso dizer é que não é uma máquina de movimento rápido por lá, e tanto os processos automatizados quanto os advogados às vezes podem atrapalhar o que pode ser divulgado em conteúdo gerado automaticamente, como artigos da CU KB. Por enquanto você vai ter que aceitar a minha (e a deles) palavra.