Server room with SQL Server database infrastructure and security monitoring displays

KB5077464SQL ServerSQL Server

KB5077464 — Mise à jour de sécurité pour SQL Server 2022 CU23

KB5077464 est une mise à jour de sécurité pour Microsoft SQL Server 2022 Cumulative Update 23 qui corrige des vulnérabilités critiques, y compris des problèmes d'exécution de code à distance et d'élévation de privilèges affectant les systèmes basés sur x64.

Emanuel DE ALMEIDA

11 mars 202612 min de lecture0 vues

Résumé

KB5077464 est une mise à jour de sécurité de mars 2026 pour Microsoft SQL Server 2022 Cumulative Update 23. Cette mise à jour corrige plusieurs vulnérabilités de sécurité critiques, y compris des problèmes d'exécution de code à distance et d'élévation de privilèges qui pourraient permettre aux attaquants de compromettre les instances de SQL Server.

Dans cet article

Description du problème
Cause
1Corrige la vulnérabilité d'exécution de code à distance (CVE-2026-0847)
2Résout l'élévation de privilèges dans SQL Server Agent (CVE-2026-0848)
3Corrige la vulnérabilité de divulgation d'informations (CVE-2026-0849)
4Résout la vulnérabilité de déni de service (CVE-2026-0850)
Installation
Problèmes connus
Questions fréquentes

S'applique à

Microsoft SQL Server 2022 for x64-based Systems (CU 23)Windows Server 2019Windows Server 2022Windows 10Windows 11

Description du problème

Cette mise à jour de sécurité corrige plusieurs vulnérabilités critiques dans SQL Server 2022 CU23 :

Vulnérabilité d'exécution de code à distance (CVE-2026-0847) : Un attaquant authentifié pourrait exécuter du code arbitraire avec des privilèges élevés via des requêtes T-SQL malformées
Vulnérabilité d'élévation de privilèges (CVE-2026-0848) : Des utilisateurs à faibles privilèges pourraient obtenir des privilèges sysadmin en exploitant l'exécution de tâches de l'agent SQL Server
Vulnérabilité de divulgation d'informations (CVE-2026-0849) : Accès non autorisé à des métadonnées sensibles de la base de données via des requêtes conçues
Vulnérabilité de déni de service (CVE-2026-0850) : Problèmes de corruption de mémoire provoquant des plantages du service SQL Server lors d'opérations de requêtes spécifiques

Ces vulnérabilités affectent les instances de SQL Server fonctionnant sur des systèmes basés sur x64 et pourraient être exploitées par des utilisateurs authentifiés ayant accès à la base de données pour compromettre la sécurité du serveur.

Cause

Cause principale

Les vulnérabilités proviennent d'une validation incorrecte des entrées dans les composants de traitement des requêtes du moteur de base de données SQL Server. Plus précisément, un contrôle insuffisant des limites lors de l'analyse des requêtes T-SQL permet à des requêtes malformées de déclencher des dépassements de tampon et des corruptions de mémoire. De plus, une validation inadéquate des privilèges lors de l'exécution des tâches de l'agent SQL Server permet une élévation non autorisée des permissions utilisateur.

Corrige la vulnérabilité d'exécution de code à distance (CVE-2026-0847)

Cette correction résout une vulnérabilité critique d'exécution de code à distance dans le moteur de base de données SQL Server. La mise à jour implémente une validation d'entrée améliorée pour le traitement des requêtes T-SQL, empêchant les conditions de débordement de tampon qui pourraient permettre à des attaquants authentifiés d'exécuter du code arbitraire avec des privilèges élevés.

Détails techniques :

Renforcement de la vérification des limites dans les composants de l'analyseur de requêtes
Validation améliorée de l'allocation de mémoire pour les structures de requêtes complexes
Amélioration de la gestion des erreurs pour les instructions T-SQL malformées
Mise à jour de la validation du contexte de sécurité pour l'exécution des requêtes

Cette vulnérabilité a un score CVSS de 8,8 (élevé) et nécessite un accès authentifié à la base de données pour être exploitée.

Résout l'élévation de privilèges dans SQL Server Agent (CVE-2026-0848)

Cette correction de sécurité empêche l'escalade de privilèges non autorisée via l'exécution de tâches SQL Server Agent. La mise à jour met en œuvre une validation des autorisations plus stricte et des contrôles de contexte d'exécution des tâches.

Détails techniques :

Validation améliorée des privilèges pour la création et la modification de tâches SQL Server Agent
Amélioration de l'isolation du contexte de sécurité pour les processus d'exécution des tâches
Renforcement de la validation des autorisations d'exécution des étapes de tâches
Mise à jour de la journalisation des audits pour les opérations privilégiées

Cette vulnérabilité affecte les environnements où SQL Server Agent est activé et pourrait permettre à des utilisateurs peu privilégiés d'obtenir un accès sysadmin.

Corrige la vulnérabilité de divulgation d'informations (CVE-2026-0849)

Cette mise à jour corrige une vulnérabilité de divulgation d'informations qui pourrait permettre un accès non autorisé à des métadonnées sensibles de la base de données via des requêtes spécialement conçues.

Détails techniques :

Validation améliorée du contrôle d'accès pour les requêtes de métadonnées système
Amélioration de la vérification des autorisations pour les informations de schéma de base de données
Renforcement du filtrage des informations système sensibles dans les résultats des requêtes
Mise à jour des politiques de sécurité pour l'accès aux métadonnées

La vulnérabilité pourrait exposer des informations sur la structure de la base de données, les comptes utilisateurs et les détails de configuration à des utilisateurs non autorisés.

Résout la vulnérabilité de déni de service (CVE-2026-0850)

Cette correction résout des problèmes de corruption de mémoire qui pourraient provoquer des plantages du service SQL Server lors d'opérations de requêtes spécifiques, entraînant des conditions de déni de service.

Détails techniques :

Amélioration de la gestion de la mémoire pour le traitement de requêtes complexes
Amélioration de la gestion des erreurs pour les opérations gourmandes en ressources
Renforcement de la validation des paramètres d'exécution des requêtes
Mise à jour des limites d'allocation de mémoire pour le traitement des requêtes

La vulnérabilité pourrait être exploitée pour provoquer une instabilité du service et une corruption potentielle des données dans des scénarios de forte charge.

Installation

KB5077464 est disponible via plusieurs méthodes d'installation :

Catalogue Microsoft Update

Téléchargez le package autonome depuis le Catalogue Microsoft Update pour une installation manuelle. Le package de mise à jour pèse environ 847 Mo et nécessite des privilèges administratifs pour l'installation.

Gestionnaire de configuration SQL Server

La mise à jour peut être appliquée via le Gestionnaire de configuration SQL Server sur les systèmes avec SQL Server 2022 CU23 installé.

Installation en ligne de commande

SQLServer2022-KB5077464-x64.exe /quiet /IAcceptSQLServerLicenseTerms

Prérequis

Microsoft SQL Server 2022 Cumulative Update 23 doit être installé
Privilèges administratifs requis pour l'installation
Espace disque libre minimum de 2 Go pour les fichiers d'installation
Les services SQL Server seront redémarrés pendant l'installation

Commandes de vérification

Vérifiez l'installation en utilisant SQL Server Management Studio ou T-SQL :

SELECT @@VERSION;
SELECT * FROM sys.dm_os_windows_info;

La version mise à jour devrait afficher Build 16.0.4145.4 après une installation réussie.

Problèmes connus

Les problèmes suivants ont été signalés après l'installation de KB5077464 :

Échecs d'installation

Erreur 0x84B40000 : L'installation peut échouer si les services SQL Server ne sont pas correctement arrêtés avant l'installation de la mise à jour. Arrêtez manuellement tous les services SQL Server avant de réessayer l'installation.
Espace disque insuffisant : L'installation nécessite un minimum de 2 Go d'espace libre. Supprimez les fichiers temporaires et assurez-vous d'avoir suffisamment d'espace disque avant l'installation.

Problèmes post-installation

Dégradation des performances : Certains utilisateurs signalent une exécution plus lente des requêtes après l'installation. Cela est généralement résolu en mettant à jour les statistiques de la base de données : EXEC sp_updatestats;
Échecs des tâches SQL Server Agent : Les tâches avec des privilèges élevés peuvent échouer en raison d'une validation de sécurité renforcée. Vérifiez et mettez à jour les autorisations des tâches si nécessaire.
Problèmes de délai d'attente de connexion : Une validation de sécurité accrue peut entraîner des temps d'établissement de connexion plus longs. Ajustez les paramètres de délai d'attente de connexion si nécessaire.

Solutions de contournement

Si vous rencontrez des problèmes après l'installation :

Redémarrez complètement les services SQL Server
Mettez à jour les statistiques de la base de données pour toutes les bases de données
Examinez les configurations des tâches SQL Server Agent pour les exigences d'autorisation
Surveillez les journaux d'erreurs SQL Server pour les avertissements liés à la sécurité

Aperçu

KB5077464 est une mise à jour de sécurité critique publiée le 10 mars 2026 pour Microsoft SQL Server 2022 Cumulative Update 23. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité qui pourraient permettre à des attaquants authentifiés d'exécuter du code arbitraire, d'escalader des privilèges, d'accéder à des informations sensibles ou de provoquer des conditions de déni de service sur les instances SQL Server affectées.

Vulnérabilités de sécurité corrigées

Cette mise à jour de sécurité résout quatre vulnérabilités critiques dans SQL Server 2022 CU23 :

CVE-2026-0847 : Vulnérabilité d'exécution de code à distance

Une vulnérabilité critique dans le moteur de base de données SQL Server permet à des attaquants authentifiés d'exécuter du code arbitraire avec des privilèges élevés via des requêtes T-SQL malformées. Cette vulnérabilité a un score CVSS de 8,8 et affecte les composants de traitement des requêtes de base de SQL Server.

CVE-2026-0848 : Vulnérabilité d'escalade de privilèges

Cette vulnérabilité dans SQL Server Agent permet aux utilisateurs de base de données à faibles privilèges d'obtenir des privilèges sysadmin via l'exploitation des mécanismes d'exécution de tâches. Le problème affecte les environnements où SQL Server Agent est activé et configuré.

CVE-2026-0849 : Vulnérabilité de divulgation d'informations

Une vulnérabilité de divulgation d'informations permet un accès non autorisé à des métadonnées sensibles de la base de données via des requêtes spécialement conçues. Cela pourrait exposer des informations sur la structure de la base de données, les comptes d'utilisateurs et les détails de configuration.

CVE-2026-0850 : Vulnérabilité de déni de service

Des problèmes de corruption de mémoire dans les composants de traitement des requêtes pourraient provoquer des plantages du service SQL Server lors d'opérations spécifiques, entraînant une instabilité du service et une potentielle corruption des données.

Systèmes affectés

Cette mise à jour de sécurité s'applique aux systèmes suivants :

Produit	Version	Architecture	Statut
SQL Server 2022	CU23 (Build 16.0.4125.3)	x64	Affecté
Windows Server 2019	Toutes versions	x64	Pris en charge
Windows Server 2022	Toutes versions	x64	Pris en charge
Windows 10	Version 1909 et ultérieures	x64	Pris en charge
Windows 11	Toutes versions	x64	Pris en charge

Exigences d'installation

Avant d'installer KB5077464, assurez-vous que les prérequis suivants sont remplis :

Microsoft SQL Server 2022 Cumulative Update 23 est installé
Privilèges administratifs sur le système cible
Minimum 2 Go d'espace disque libre pour les fichiers d'installation
Tous les services SQL Server peuvent être redémarrés pendant l'installation
Aucune transaction ou connexion de base de données active pendant l'installation

Évaluation de l'impact sur la sécurité

Les organisations devraient prioriser l'installation de cette mise à jour de sécurité en raison de la nature critique des vulnérabilités corrigées :

Haute priorité : La vulnérabilité d'exécution de code à distance pose un risque immédiat pour la sécurité du serveur
Impact sur l'entreprise : L'escalade de privilèges pourrait compromettre l'ensemble des environnements SQL Server
Protection des données : La vulnérabilité de divulgation d'informations menace la confidentialité des données sensibles
Disponibilité du service : La vulnérabilité de déni de service affecte la continuité des activités

Validation post-installation

Après une installation réussie, effectuez les étapes de validation suivantes :

Vérifiez la version de SQL Server en utilisant SELECT @@VERSION
Vérifiez les journaux d'erreurs de SQL Server pour les messages liés à l'installation
Testez les applications critiques de base de données pour leur fonctionnalité
Validez l'exécution des tâches SQL Server Agent si applicable
Surveillez les performances du système pour toute dégradation

La version mise à jour de SQL Server devrait afficher Build 16.0.4145.4 après l'installation réussie de KB5077464.

Questions fréquentes

Que résout KB5077464 ?

KB5077464 résout quatre vulnérabilités de sécurité critiques dans SQL Server 2022 CU23 : exécution de code à distance (CVE-2026-0847), élévation de privilèges (CVE-2026-0848), divulgation d'informations (CVE-2026-0849) et déni de service (CVE-2026-0850). Ces vulnérabilités pourraient permettre à des attaquants authentifiés de compromettre la sécurité de SQL Server.

Quels systèmes nécessitent KB5077464 ?

KB5077464 est requis pour tous les systèmes exécutant Microsoft SQL Server 2022 Cumulative Update 23 sur des architectures basées sur x64. Cela inclut les installations sur Windows Server 2019, Windows Server 2022, Windows 10 (version 1909 et ultérieure), et Windows 11.

KB5077464 est-il une mise à jour de sécurité ?

Oui, KB5077464 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité dans SQL Server 2022 CU23. La mise à jour inclut des correctifs pour des vulnérabilités d'exécution de code à distance, d'élévation de privilèges, de divulgation d'informations et de déni de service.

Quelles sont les conditions préalables pour KB5077464 ?

Les prérequis incluent l'installation de SQL Server 2022 CU23, des privilèges administratifs, un espace disque libre minimum de 2 Go, et la capacité de redémarrer les services SQL Server pendant l'installation. Toutes les connexions de base de données actives doivent être fermées avant l'installation.

Y a-t-il des problèmes connus avec KB5077464 ?

Les problèmes connus incluent des échecs d'installation potentiels avec l'erreur 0x84B40000 si les services ne sont pas correctement arrêtés, une possible dégradation des performances nécessitant des mises à jour des statistiques, des échecs de tâches SQL Server Agent en raison d'une validation de sécurité renforcée, et des problèmes de délai d'attente de connexion dus à des contrôles de sécurité accrus.

Références (3)

KB5077464 : Mise à jour de sécurité pour SQL Server 2022 CU23Article de support officiel de Microsoft pour la mise à jour de sécurité KB5077464https://support.microsoft.com/en-us/topic/kb5077464-description-of-the-security-update-for-sql-server-2022-cu23-march-10-2026-b57d8bd7-e9f5-48a8-8a6f-2a52d3ad29f0

Mises à jour cumulatives de SQL Server 2022Liste complète des mises à jour cumulatives et des correctifs de sécurité pour SQL Server 2022https://learn.microsoft.com/en-us/sql/database-engine/install-windows/latest-updates-for-microsoft-sql-server

Meilleures pratiques de sécurité SQL ServerDirectives de sécurité et meilleures pratiques pour les déploiements de SQL Serverhttps://learn.microsoft.com/en-us/sql/relational-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database

#kb5077464 #sql-server-2022 #security-update

À propos de l'auteur

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...

Articles KB associés

KB5077468

SQL Server

KB Article

KB5077468 — Mise à jour de sécurité pour SQL Server 2025 GDR

KB5077468 est une mise à jour de sécurité publiée le 10 mars 2026, qui corrige des vulnérabilités critiques dans Microsoft SQL Server 2025 pour les systèmes basés sur x64, y compris des failles d'exécution de code à distance et d'élévation de privilèges.

KB5077466 — Mise à jour de sécurité pour SQL Server 2025 CU2

KB5077466 est une mise à jour de sécurité pour Microsoft SQL Server 2025 Cumulative Update 2 (CU2) qui corrige plusieurs vulnérabilités de sécurité et améliore la sécurité du moteur de base de données sur les systèmes basés sur x64.

KB5077470 — Mise à jour de sécurité pour SQL Server 2019 GDR

KB5077470 est une mise à jour de sécurité pour Microsoft SQL Server 2019 GDR qui corrige plusieurs vulnérabilités, y compris des failles d'exécution de code à distance et de divulgation d'informations, publiée le 10 mars 2026.

KB5077474 — Mise à jour de sécurité pour SQL Server 2016 SP3 GDR

KB5077474 est une mise à jour de sécurité publiée le 10 mars 2026, qui corrige des vulnérabilités critiques dans Microsoft SQL Server 2016 Service Pack 3 General Distribution Release (GDR) pour les systèmes basés sur x64.

11 mars12 min