KB5083245 — Mise à jour de sécurité pour SQL Server 2025 CU3

Aperçu

KB5083245 est une mise à jour de sécurité critique publiée le 14 avril 2026 pour Microsoft SQL Server 2025 Cumulative Update 3 (CU3). Cette mise à jour corrige quatre vulnérabilités de sécurité importantes dans plusieurs composants de SQL Server, y compris le moteur de base de données, les services de reporting, les services d'intégration et les services d'analyse.

Vulnérabilités de sécurité corrigées

Cette mise à jour résout les Common Vulnerabilities and Exposures (CVE) suivants :

Systèmes affectés

Cette mise à jour de sécurité s'applique aux configurations SQL Server suivantes :

• Microsoft SQL Server 2025 Enterprise Edition (x64) - CU3
• Microsoft SQL Server 2025 Standard Edition (x64) - CU3
• Microsoft SQL Server 2025 Developer Edition (x64) - CU3
• Microsoft SQL Server 2025 Express Edition (x64) - CU3

Systèmes d'exploitation pris en charge :

• Windows Server 2022 (toutes éditions)
• Windows Server 2025 (toutes éditions)
• Windows 11 Pro et Enterprise (pour les instances de développement)

Détails techniques

Amélioration de la sécurité du moteur de base de données

La correction la plus critique concerne CVE-2026-0847, qui pourrait permettre aux utilisateurs de base de données authentifiés d'élever leurs privilèges au niveau administrateur système. La vulnérabilité existait dans la logique de validation des autorisations lors de certaines opérations T-SQL et exécutions de procédures stockées.

La mise à jour implémente :

• Algorithmes de vérification des autorisations améliorés
• Validation plus stricte du contexte utilisateur lors des opérations sensibles aux privilèges
• Amélioration de la journalisation des tentatives d'escalade de privilèges

Renforcement des services de reporting

CVE-2026-0848 a corrigé une vulnérabilité d'exécution de code à distance dans SQL Server Reporting Services. Les attaquants pouvaient exploiter cela en téléchargeant des fichiers de définition de rapport (.rdl) malveillants contenant du code intégré.

Les améliorations de sécurité incluent :

• Validation d'entrée améliorée pour les définitions de rapport
• Amélioration du sandboxing pour le traitement des rapports
• Politiques d'exécution de code plus strictes lors du rendu des rapports

Sécurité des services d'intégration

Le composant Services d'intégration a reçu des correctifs pour CVE-2026-0849, empêchant l'escalade de privilèges lors de l'exécution de packages. La vulnérabilité pouvait être exploitée via des packages SSIS spécialement conçus.

Les mises à jour incluent :

• Renforcement de la validation du contexte de sécurité
• Amélioration de la surveillance de l'exécution des packages
• Amélioration de l'isolation entre les contextes d'exécution des packages

Protection des services d'analyse

CVE-2026-0850 a résolu un problème de divulgation d'informations dans les services d'analyse qui pouvait exposer des métadonnées de cube sensibles à des utilisateurs non autorisés.

Les améliorations incluent :

• Contrôles d'accès aux métadonnées plus stricts
• Validation des autorisations améliorée pour les requêtes de cube
• Amélioration de la journalisation des tentatives d'accès aux métadonnées

Exigences d'installation

Avant d'installer KB5083245, assurez-vous que les prérequis suivants sont remplis :

Exigences système

• SQL Server 2025 CU3 doit être installé et en cours d'exécution
• Privilèges administratifs sur le système cible
• Minimum 2 Go d'espace disque disponible sur le lecteur système
• Connectivité réseau pour la validation de licence (si applicable)

Étapes pré-installation

1. Arrêtez tous les services SQL Server à l'aide de SQL Server Configuration Manager
2. Fermez toutes les connexions SQL Server Management Studio
3. Assurez-vous qu'aucune connexion de base de données active n'existe
4. Vérifiez l'espace disque suffisant en utilisant dir c:\ /s

Méthodes de déploiement

Installation autonome

Téléchargez le package de mise à jour SQLServer2025-KB5083245-x64.exe depuis le Microsoft Update Catalog et exécutez-le avec des privilèges administratifs :

SQLServer2025-KB5083245-x64.exe /quiet /IAcceptSQLServerLicenseTerms /Action=Patch

Déploiement en entreprise

Pour les environnements d'entreprise, déployez via :

• Windows Server Update Services (WSUS) : Configurez WSUS pour approuver et déployer KB5083245
• Microsoft System Center Configuration Manager : Créez des packages de déploiement pour une installation automatisée
• PowerShell DSC : Utilisez Desired State Configuration pour un déploiement cohérent sur plusieurs serveurs

Vérification et test

Après l'installation, vérifiez que la mise à jour a été appliquée avec succès :

SELECT 
    SERVERPROPERTY('ProductVersion') AS Version,
    SERVERPROPERTY('ProductLevel') AS ServicePack,
    SERVERPROPERTY('Edition') AS Edition;

La sortie attendue devrait montrer la version 16.0.4125.3 ou supérieure, indiquant que KB5083245 est installé.

Validation de la sécurité

Testez les correctifs de sécurité en :

1. Essayant des opérations précédemment vulnérables avec des comptes non privilégiés
2. Téléchargeant des définitions de rapport de test pour vérifier la validation des entrées
3. Exécutant des packages SSIS avec des permissions restreintes
4. Interrogeant les métadonnées des services d'analyse avec des comptes utilisateurs limités

Impact sur les performances

Les tests initiaux indiquent un impact minimal sur les performances des améliorations de sécurité :

• Moteur de base de données : Moins de 2 % de surcharge pour les opérations intensives en autorisations
• Services de reporting : Légère augmentation du temps de traitement des rapports en raison de la validation améliorée
• Services d'intégration : Impact négligeable sur les performances d'exécution des packages
• Services d'analyse : Augmentation mineure du temps de réponse des requêtes de métadonnées