SQL Server 2025年7月更新 - 修复 CVE-2025-49718 Microsoft SQL Server 信息泄露漏洞

本文涉及的产品
云数据库 RDS SQL Server,基础系列 2核4GB
简介: SQL Server 2025年7月更新 - 修复 CVE-2025-49718 Microsoft SQL Server 信息泄露漏洞

SQL Server 2025年7月更新 - 修复 CVE-2025-49718 Microsoft SQL Server 信息泄露漏洞

Microsoft SQL Server 下载汇总

SQL Server GDR 和 CU 更新汇总

请访问原文链接:https://sysin.org/blog/sql-server/ 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org


sql-server-logo

Microsoft SQL Server 信息泄露漏洞

CVE-2025-49718

Security Vulnerability

发行版: 2025年7月8日

最后更新:2025年7月10日

  • Assigning CNA:Microsoft

  • CVE.org link:CVE-2025-49718

  • 影响:信息泄漏

  • 最高严重性:重要

  • Weakness:CWE-908: Use of Uninitialized Resource

  • CVSS Source:Microsoft

  • 字符串向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C

  • Metrics:CVSS:3.1 7.5 / 6.5

CVE-2025-49718

请参阅通用漏洞评分系统,以获取有关这些指标定义的更多信息。

利用

下表为此漏洞提供初始发布时的可利用性评估

  • Publicly disclosed:No

  • Exploited:No

  • Exploitability assessment:更有可能被利用

常见问题

此漏洞可能会披露什么类型的信息?

成功利用此漏洞的攻击者可以在取得特权的,运行在服务器上的流程中查看堆内存。

我的系统运行的是 SQL Server。我需要采取什么操作?

更新 SQL Server 的相关版本。这些更新中包含所有适用的驱动程序修补程序。

我的系统运行的是我自己的应用程序。我需要采取什么操作?

更新应用程序以使用 Microsoft OLE DB Driver 18 或 19。将驱动程序更新至本页列出的版本,这会提供针对此漏洞的保护。

我的系统运行的是一个软件供应商的应用程序。我需要采取什么操作?

咨询应用程序供应商,了解应用程序是否与 Microsoft OLE DB Driver 18 或 19 兼容。将驱动程序更新至本页列出的版本,这会提供针对此漏洞的保护

对我的 SQL Server 版本提供了 GDR 和/或 CU(累积更新)更新。我如何知道该使用哪个更新?

  • 首先,确定 SQL Server 的版本号。有关确定 SQL Server 版本号的更多信息,请参阅 Microsoft 知识库文章 321185 - 如何确定 SQL Server 及其组件的版本、版本类别和更新级别。
  • 其次,在下表中,找出你的版本号及其所属的版本范围。相应的更新指您需要安装的更新。

注意 如果您的 SQL Server 版本号未列在下表中,则说明此 SQL Server 版本不再受支持。请升级到最新的 Service Pack 或 SQL Server 产品,以便使用本次和未来的安全更新。

更新编号 标题 版本 如果当前产品版本是…则适用 此安全更新程序还包括服务版本至…
5058721 SQL Server 2022 CU19+GDR 安全更新 16.0.4200.1 16.0.4003.1 - 16.0.4195.2 KB 5054531 - SQL2022 RTM CU19
5058712 SQL Server 2022 RTM+GDR 的安全更新 16.0.1140.6 16.0.1000.6 - 16.0.1135.2 KB 5054833 - SQL2019 RTM CU32
5058722 SQL Server 2019 CU32+GDR 的安全更新 15.0.4435.7 15.0.4003.23 - 15.0.4430.1 KB 5046365 - SQL2019 RTM CU29
5058713 SQL Server 2019 RTM+GDR 的安全更新 15.0.2135.5 15.0.2000.5 - 15.0.2130.3 KB 5046859 - 先前的 SQL2019 RTM GDR
5058714 SQL Server 2017 CU31+GDR 的安全更新 14.0.3495.9 14.0.3006.16 - 14.0.3490.10 KB 5050533 - 先前的 SQL2017 RTM CU31 GDR
5058716 SQL Server 2017 RTM+GDR 的安全更新 14.0.2075.8 14.0.1000.169 - 14.0.2070.1 KB 5046857 - 先前的 SQL2017 RTM GDR
5058717 SQL 2016 Azure Connect 功能包安全更新 13.0.7055.9 13.0.7000.253 - 13.0.7050.2 KB 5046856 - 先前的 SQL2016 Azure Connect Feature Pack GDR
5058718 SQL Server 2016 SP3 RTM+GDR 的安全更新 13.0.6460.7 13.0.6300.2 - 13.0.6455.2 KB 5046855 - 上一个 SQL2016 RTM GDR

什么是 GDR 和 CU 更新名称,两者有何差别?

GDR(General Distribution Release,普通分发版本)和 CU(Cumulative Update,累积更新)对应于两种不同的可用于 SQL Server 基线版本的服务选项。基线可以是 RTM 版本或 Service Pack 版本。

  • GDR 更新 – 累积仅包含适用于给定基线的安全更新。
  • CU 更新 – 累积包含适用于给定基线的所有功能修复程序和安全更新。

对于任何给定基线,GDR 或 CU 更新均为可选项(见下文)。

  • 如果 SQL Server 安装了基线版本,则可以选择 GDR 或 CU 更新。
  • 如果 SQL Server 安装有意只安装了过去的 GDR 更新,则选择安装 GDR 更新包。
  • 如果 SQL Server 安装有意只安装了以前的 CU 更新,则选择安装 CU 安全更新包。

注意:您仅有一次机会可以将 GDR 更新更改为 CU 更新。一旦 SQL Server CU 更新应用于 SQL Server 安装,将无法返回到 GDR 更新路径。

安全更新是否可以应用于 Windows Azure (IaaS) 上的 SQL Server 实例?

是的。可通过 Microsoft Update 为 Windows Azure (IaaS) 上的 SQL Server 实例提供安全更新,或者客户可从 Microsoft 下载中心下载安全更新并手动安装它们。

下载链接

Microsoft SQL Server

更多:Windows 下载汇总

目录
相关文章
|
11天前
|
SQL Web App开发 安全
SQL Server 2025 年 8 月更新 - 修复 CVE-2025-49759 SQL Server 特权提升漏洞
SQL Server 2025 年 8 月更新 - 修复 CVE-2025-49759 SQL Server 特权提升漏洞
43 2
SQL Server 2025 年 8 月更新 - 修复 CVE-2025-49759 SQL Server 特权提升漏洞
|
11天前
|
SQL 容灾 安全
云时代SQL Server的终极答案:阿里云 RDS SQL Server如何用异地容灾重构系统可靠性
在数字化转型的浪潮中,数据库的高可用性已成为系统稳定性的生命线。作为经历过多次生产事故的资深开发者,肯定深知传统自建SQL Server架构的脆弱性——直到遇见阿里云 RDS SQL Server,其革命性的异地容灾架构彻底改写了游戏规则。
|
12月前
|
关系型数据库 MySQL 网络安全
5-10Can't connect to MySQL server on 'sh-cynosl-grp-fcs50xoa.sql.tencentcdb.com' (110)")
5-10Can't connect to MySQL server on 'sh-cynosl-grp-fcs50xoa.sql.tencentcdb.com' (110)")
|
SQL 存储 监控
SQL Server的并行实施如何优化?
【7月更文挑战第23天】SQL Server的并行实施如何优化?
390 13
解锁 SQL Server 2022的时间序列数据功能
【7月更文挑战第14天】要解锁SQL Server 2022的时间序列数据功能,可使用`generate_series`函数生成整数序列,例如:`SELECT value FROM generate_series(1, 10)。此外,`date_bucket`函数能按指定间隔(如周)对日期时间值分组,这些工具结合窗口函数和其他时间日期函数,能高效处理和分析时间序列数据。更多信息请参考官方文档和技术资料。
255 9
|
SQL 存储 网络安全
关系数据库SQLserver 安装 SQL Server
【7月更文挑战第26天】
163 6
|
存储 SQL C++
对比 SQL Server中的VARCHAR(max) 与VARCHAR(n) 数据类型
【7月更文挑战7天】SQL Server 中的 VARCHAR(max) vs VARCHAR(n): - VARCHAR(n) 存储最多 n 个字符(1-8000),适合短文本。 - VARCHAR(max) 可存储约 21 亿个字符,适合大量文本。 - VARCHAR(n) 在处理小数据时性能更好,空间固定。 - VARCHAR(max) 对于大文本更合适,但可能影响性能。 - 选择取决于数据长度预期和业务需求。
972 1
|
SQL Oracle 关系型数据库
MySQL、SQL Server和Oracle数据库安装部署教程
数据库的安装部署教程因不同的数据库管理系统(DBMS)而异,以下将以MySQL、SQL Server和Oracle为例,分别概述其安装部署的基本步骤。请注意,由于软件版本和操作系统的不同,具体步骤可能会有所变化。
1020 3
|
SQL 存储 安全
数据库数据恢复—SQL Server数据库出现逻辑错误的数据恢复案例
SQL Server数据库数据恢复环境: 某品牌服务器存储中有两组raid5磁盘阵列。操作系统层面跑着SQL Server数据库,SQL Server数据库存放在D盘分区中。 SQL Server数据库故障: 存放SQL Server数据库的D盘分区容量不足,管理员在E盘中生成了一个.ndf的文件并且将数据库路径指向E盘继续使用。数据库继续运行一段时间后出现故障并报错,连接失效,SqlServer数据库无法附加查询。管理员多次尝试恢复数据库数据但是没有成功。
|
SQL 存储 测试技术