Seit ein paar Tagen wurde ich immer wieder auf den heutigen Patchday angesprochen: erstmals seit längerer Zeit steht ist in der Liste der heutigen Patches wieder ein SQL-Server-Hotfix bereit. Und warum? Weil GDI+ ein Sicherheitsproblem hat und man in den Berichten der "SQL Server 2005 Reporting Services" derart manipulierte Dateien ansehen könnte.
Die SQL-Server-Engine hat also eigentlich gar kein Sicherheitsproblem.
Wer nun glaubt in seiner Firma den SQL-Server patchen zu müssen, der findet im "Microsoft Security Bulletin MS09-062 – Critical: Vulnerabilities in GDI+ Could Allow Remote Code Execution (957488)" alle relevanten Informationen.
Der Patch wird auch über Windows-Update bzw. WSUS verteilt, die Installation verlief bei uns reibungslos und schnell. Dabei erkennt der Windows-Update die Version des installierten SQL-Servers und wendet den richtigen Patch an.
Der Patch wird immer durchgeführt, auch wenn gar keine Reporting-Services installiert sind. Hintergrund ist vermutlich die spezielle Paketinstallation des SQL-Servers. Die beherrscht die Installation von mehreren SQL-Instanzen und verschiedenen optionalen Komponenten (z.B. Reporting-Services). Der Windows-Update ist damit überfordert. Er erkennt nur das Paket und dessen Version, ob aber die Reporting-Services installiert sind oder nicht, dürfte dessen Logikfähigkeiten überschreiten.
Daher handelt es sich dabei in der Regel (genauer bei einem QFE) auch um einen vollständigen kummulativen Update auf die Version 9.00.4262. Die Menge der ausgetauschten Dateien ist schon beeindruckend, aber immerhin ist der Download minimal 112 MBytes. Und das bloß wegen einem blöden GDI+-Problem… Den Kalauer mit den oberflächlichen Dingen halte ich besser mal zurück. 😉
Wenn man sich die Doku genau durchliest, dann kommt raus, dass genau genommen nur die Reporting-Services auf Windows-2000 betroffen sind. Bei einer manuellen Installation sollte man sich den Punkt "If I have an installation of SQL Server, how am I affected?" in der FAQ genau durchlesen. Dann kann man entscheiden, ob das wirklich nötig ist. Vermutlich wohl eher nicht.
Update 14.10.2009: Heute kam ich dazu die ganzen Details zu sichten und stellte fest, dass es mit dem GID+-Problem nicht um das SQL Server Management Studio (SSMS) geht, sondern um die Reporting-Services. Daher habe ich den Artikel nun angepasst.
Update 15.10.2009: Mein Chef wies mich auf die beiden interessanten Blogbeiträge "GDI+ Updated Again" und "Reporting Services and the MS09-062 GDR (GDI+)" hin.