Comment le correctif fonctionne-t-il dans SQL Server?
J'ai besoin d'une clarification sur la manière dont les travaux de correctifs SQL Server Pack Server Pack.
Quelques-uns de mes serveurs sont au-dessous des correctifs pour SQL Server 2014, qui a le dernier patch de la masse fondue
12h00.5214
2014.120.5214.64057120 Mise à jour de sécurité pour SQL Server 2014 Service Pack 2 GDR: 16 janvier 2018 - Conseil de sécurité ADV180002 CVE-2017-5715 CVE-2017-5753 CVE-2017-5753
et certains avec ci-dessous
12h00.5532
2014.120.5532.03194718 MS16-136: Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 2 Cu: 8 novembre 2016
2014.120.5532.0 la version semble être supérieure à une construction supérieure à une 2014.120.5214.6 Mais ce patch semble vieux lorsqu'il est coché comme publié en octobre 2016.
Dois-je encore appliquer des correctifs fondamentaux pour ces serveurs avec la construction 2014.120.5532.0 ou sont-ils couverts pour l'effondrement.
Besoin d'une meilleure compréhension à ce sujet.
Ref:
- Description de la mise à jour de sécurité pour SQL Server 2014 SP2 GDR: 16 janvier 2018
- Description de la mise à jour de sécurité pour SQL Server 2014 SP2 CU10: 16 janvier 2018
- adv180002 | conseils pour atténuer les vulnérabilités de canal latéral de l'exécution spéculatives
Le 16 janvier 2018 ADV180002 | Guidance to mitigate speculative execution side-channel vulnerabilities a été libéré comme un patch autonome. Numéro de construction 12.00.5214 et version de fichier 2014.120.5214.6. Ce correctif était applicable aux serveurs avec Service Pack 2 et No Cu installé. Parce qu'il y a des magasins qui ne veulent pas d'installer des mises à jour cumulées mais souhaitent toujours installer le correctif de sécurité.
Vous pouvez le voir ici .
Le même jour, le même patch a été publié comme Cu10 pour ceux qui souhaitaient toute mise à jour cumulative depuis Service Pack 2. Construire le numéro 12.00.5571 et version de fichier 2014.120.5571.0.
Vous pouvez le voir ici .
Dois-je encore appliquer des correctifs de fonderie pour ces serveurs avec la construction 2014.120.5532.0 ou sont-ils couverts pour la fusion.
Oui si vous voulez atténuer mitigate speculative execution side-channel vulnerabilities Aussi connu comme Meltdown and Spectre. Dans ce cas, vous appliquerez Cu10 qui inclura toutes les mises à jour de 12.00.5532à 12.00.5571. La dernière mise à jour disponible est CU14, Construire versin 12.00.5600.
En tant que côté non, MS-136 publie également avec un non-C et version C .
Le correctif 5532 était une autre version d'un correctif antérieur pour MS16-136 . La version initiale était pour SQL 2014 SP2 et la deuxième version était pour SP2 CU2.
Le Patch Specter\Meltdown a été publié après le patch MS16-136. Il a été publié de plusieurs manières, il y a eu le correctif que vous pouvez appliquer à votre instance SP2 SQL Server 2014 (12.00.5214) ou vous pouvez appliquer SP2 CU10 ou plus à votre instance (12.00.5571). L'un de ceux-ci garantirait que vous êtes protégé.
Vos instances avec 12h00.5532 ne sont pas protégées contre Specter\Meltdowndowns à moins que 12h00.5214 n'avait déjà été appliquée car 5532 a été libérée avant 5214. La version est supérieure à Microsoft, Microsoft a tendance à avoir "la chambre de la hauteur" dans les numéros de version en cas de rétrospective. Des correctifs de sécurité tels que le Spectre\Meltdown Patch doivent être libérés pour des niveaux de trajectoire antérieurs de SQL Server afin d'éviter un choc de nombres.
Une option assez sûre - corrigez toutes vos instances 2014 à SP2 CU10 ou plus pour vous assurer que vous avez les deux correctifs. Vous pouvez également appliquer 5214 sur vos 5532 instances de toute façon pour être sûr.