Anavem
FrancaisEnglish
Anavem
Languageen
Server room with SQL Server database infrastructure and security monitoring displays
Base de connaissancesKB5083252SQL Server

KB5083252 — Mise à jour de sécurité pour SQL Server 2022 CU24

KB5083252 est une mise à jour de sécurité pour Microsoft SQL Server 2022 Cumulative Update 24 (CU24) qui corrige plusieurs vulnérabilités de sécurité et améliore la sécurité du moteur de base de données sur les systèmes basés sur x64.

16 avril 2026 12 min de lecture
KB5083252SQL ServerSecurity Update 4 correctifs 12 min Microsoft SQL Server 2022 for x64-based Systems (CU24) +4Télécharger
Aperçu rapide

KB5083252 est une mise à jour de sécurité d'avril 2026 pour Microsoft SQL Server 2022 Cumulative Update 24. Cette mise à jour corrige des vulnérabilités de sécurité critiques dans le moteur de base de données et les composants associés, améliorant la protection contre les potentielles exploitations de sécurité sur les systèmes basés sur x64.

PowerShellVérifier l'installation de KB5083252
PS C:\> Get-HotFix -Id KB5083252

# Retourne les détails du patch si KB5083252 est installé

Télécharger la mise à jour

Télécharger depuis le catalogue Microsoft

Obtenez le package de mise à jour officiel directement depuis Microsoft

KB5083252
Diagnostic

Description du problème

Description du problème

Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans SQL Server 2022 qui pourraient potentiellement permettre aux attaquants de :

  • Exécuter du code arbitraire avec des privilèges élevés via l'exploitation du moteur de base de données
  • Contourner les mécanismes d'authentification dans des configurations spécifiques
  • Accéder à des données sensibles via des vulnérabilités d'injection SQL dans les procédures stockées système
  • Provoquer des conditions de déni de service par l'exécution de requêtes malformées
  • Élever les privilèges par une validation incorrecte des permissions dans les opérations de base de données

Ces vulnérabilités affectent les installations de SQL Server 2022 exécutant la mise à jour cumulative 24 et les versions antérieures sur des systèmes basés sur x64.

Analyse

Causes

Cause Racine

Les vulnérabilités de sécurité proviennent d'une validation insuffisante des entrées dans le moteur de base de données SQL Server, d'une vérification des limites incorrecte dans les routines d'allocation de mémoire, et d'une validation inadéquate des permissions dans certaines opérations de base de données. Ces problèmes peuvent être exploités par des utilisateurs authentifiés avec des permissions spécifiques sur la base de données ou via des requêtes SQL spécialement conçues.

Aperçu

KB5083252 est une mise à jour de sécurité critique publiée le 14 avril 2026 pour Microsoft SQL Server 2022 Cumulative Update 24. Cette mise à jour corrige plusieurs vulnérabilités de sécurité de haute gravité qui pourraient potentiellement permettre aux attaquants d'exécuter du code arbitraire, d'escalader les privilèges ou de contourner les mécanismes d'authentification dans les environnements SQL Server.

Vulnérabilités de sécurité corrigées

Cette mise à jour résout quatre vulnérabilités de sécurité critiques identifiées dans SQL Server 2022 :

CVE-2026-0847 : Injection SQL dans les procédures stockées système

Une vulnérabilité critique d'injection SQL dans les procédures stockées système qui pourrait permettre aux utilisateurs authentifiés d'exécuter des commandes SQL arbitraires avec des privilèges élevés. Cette vulnérabilité affecte des procédures telles que sp_configure, sp_addumpdevice, et des fonctions de gestion système connexes.

CVE-2026-0848 : Escalade de privilèges dans les opérations de base de données

Une vulnérabilité d'escalade de privilèges où les utilisateurs avec des permissions limitées sur la base de données pourraient obtenir un accès non autorisé à des objets sensibles de la base de données via une validation incorrecte des permissions dans les opérations de schéma.

CVE-2026-0849 : Corruption de mémoire dans l'exécution de requêtes

Une vulnérabilité de corruption de mémoire dans le moteur d'exécution de requêtes qui pourrait être exploitée via des requêtes spécialement conçues pour provoquer un déni de service ou potentiellement exécuter du code arbitraire.

CVE-2026-0850 : Contournement de l'authentification dans les serveurs liés

Une vulnérabilité de contournement de l'authentification dans les connexions de serveurs liés qui pourrait permettre un accès non autorisé à des sources de données distantes via une validation incorrecte des identifiants.

Systèmes affectés

Cette mise à jour de sécurité s'applique aux systèmes suivants :

ProduitVersionArchitectureStatut
SQL Server 2022CU24 et antérieuresx64Affecté
SQL Server 2022 ExpressCU24 et antérieuresx64Affecté
SQL Server 2022 DeveloperCU24 et antérieuresx64Affecté
SQL Server 2022 StandardCU24 et antérieuresx64Affecté
SQL Server 2022 EnterpriseCU24 et antérieuresx64Affecté

Compatibilité du système d'exploitation

  • Windows Server 2019 (toutes éditions)
  • Windows Server 2022 (toutes éditions)
  • Windows 10 version 1809 et ultérieures
  • Windows 11 (toutes versions)

Détails techniques

Améliorations de la sécurité du moteur de base de données

La mise à jour implémente plusieurs améliorations de sécurité pour le moteur de base de données SQL Server :

  • Validation des entrées : Amélioration de la désinfection et de la validation des entrées pour les procédures stockées système
  • Protection de la mémoire : Amélioration de la vérification des limites et de la protection contre les débordements de tampon dans le traitement des requêtes
  • Renforcement de l'authentification : Amélioration de la validation des identifiants pour les connexions de serveurs liés
  • Validation des permissions : Renforcement des mécanismes de contrôle d'accès pour les objets de base de données

Impact sur les performances

Les améliorations de sécurité peuvent entraîner un impact minimal sur les performances :

  • L'exécution des requêtes peut être de 1 à 3 % plus lente en raison des vérifications de validation supplémentaires
  • Les connexions de serveurs liés peuvent prendre légèrement plus de temps à établir en raison de l'authentification renforcée
  • L'exécution des procédures stockées système inclut une surcharge de validation supplémentaire

Processus d'installation

Exigences préalables à l'installation

Avant d'installer KB5083252, assurez-vous que les exigences suivantes sont remplies :

  • SQL Server 2022 est installé et en cours d'exécution
  • Privilèges administratifs sur le système cible
  • Tous les services SQL Server peuvent être arrêtés pendant l'installation
  • Minimum 2 Go d'espace disque libre pour les fichiers d'installation
  • Des sauvegardes de base de données actuelles sont disponibles

Étapes d'installation

  1. Téléchargez le package de mise à jour depuis le catalogue Microsoft Update
  2. Arrêtez tous les services SQL Server à l'aide du Gestionnaire de configuration SQL Server
  3. Exécutez le package d'installation avec des privilèges administratifs
  4. Suivez les invites de l'assistant d'installation
  5. Redémarrez les services SQL Server après la fin de l'installation
  6. Vérifiez l'installation à l'aide de la requête SELECT @@VERSION

Commandes de vérification

Vérifiez l'installation de la mise à jour à l'aide des commandes SQL suivantes :

-- Vérifier la version de SQL Server
SELECT @@VERSION;

-- Vérifier les mises à jour installées
SELECT * FROM sys.dm_os_windows_info;

-- Vérifier l'état du service
SELECT servicename, status_desc FROM sys.dm_server_services;

Considérations post-installation

Compatibilité des applications

Les applications utilisant les fonctionnalités suivantes peuvent nécessiter des tests après l'installation :

  • Procédures stockées personnalisées avec SQL dynamique
  • Connexions de serveurs liés à des sources de données externes
  • Applications utilisant des procédures stockées système pour la configuration
  • Applications de base de données avec des mécanismes d'authentification personnalisés

Revue de la configuration de sécurité

Après l'installation, examinez les configurations de sécurité suivantes :

  • Chaînes de connexion et identifiants des serveurs liés
  • Implémentations de procédures stockées personnalisées
  • Permissions et rôles des utilisateurs de la base de données
  • Chaînes de connexion des applications et méthodes d'authentification

Déploiement en entreprise

Déploiement WSUS et SCCM

Pour les environnements d'entreprise, KB5083252 peut être déployé via :

  • WSUS : Configurer l'approbation automatique pour les mises à jour de sécurité SQL Server
  • SCCM : Créer des packages de déploiement pour un déploiement contrôlé
  • Stratégie de groupe : Configurer les politiques de mise à jour automatique pour les systèmes SQL Server

Recommandations de test

Avant le déploiement en production, testez la mise à jour dans les environnements de développement et de préproduction :

  • Vérifiez la fonctionnalité des applications avec SQL Server mis à jour
  • Testez les connexions de serveurs liés et les intégrations externes
  • Validez l'exécution des procédures stockées personnalisées
  • Effectuez des tests de charge pour évaluer l'impact sur les performances
Méthodes de résolution

Correctifs et changements clés

01

Corrige la vulnérabilité d'injection SQL dans les procédures stockées système (CVE-2026-0847)

Cette mise à jour corrige une vulnérabilité critique d'injection SQL dans les procédures stockées système qui pourrait permettre aux utilisateurs authentifiés d'exécuter des commandes SQL arbitraires avec des privilèges élevés. La correction met en œuvre une sanitation appropriée des entrées et une validation des paramètres dans les procédures stockées affectées, y compris sp_configure, sp_addumpdevice, et les procédures système connexes.

Composants mis à jour :

  • Moteur de base de données SQL Server
  • Bibliothèque de procédures stockées système
  • Routines de validation du processeur de requêtes
02

Résout la vulnérabilité d'escalade de privilèges dans les opérations de base de données (CVE-2026-0848)

Traite une vulnérabilité d'escalade de privilèges où des utilisateurs avec des permissions limitées sur la base de données pourraient obtenir un accès non autorisé à des objets sensibles de la base de données. La mise à jour renforce la logique de validation des permissions et implémente des contrôles de sécurité supplémentaires pour l'accès aux objets de la base de données.

Améliorations de la sécurité :

  • Validation des permissions améliorée pour les opérations sur le schéma de la base de données
  • Contrôle d'accès amélioré pour les tables et vues système
  • Vérifications d'authentification renforcées pour les fonctions administratives
03

Corrige la vulnérabilité de corruption de mémoire dans l'exécution des requêtes (CVE-2026-0849)

Corrige une vulnérabilité de corruption de mémoire dans le moteur d'exécution de requêtes qui pourrait être exploitée par des requêtes spécialement conçues pour provoquer un déni de service ou potentiellement exécuter du code arbitraire. La mise à jour implémente une vérification des limites et une gestion de la mémoire améliorées dans les routines de traitement des requêtes.

Améliorations techniques :

  • Validation améliorée de l'allocation de mémoire
  • Protection améliorée contre les débordements de tampon dans l'analyseur de requêtes
  • Renforcement de la gestion des erreurs dans la génération du plan d'exécution
04

Mises à jour de la vulnérabilité de contournement d'authentification dans les connexions de serveur lié (CVE-2026-0850)

Résout une vulnérabilité de contournement d'authentification dans les connexions de serveurs liés qui pourrait permettre un accès non autorisé aux sources de données distantes. La correction met en œuvre une validation appropriée des identifiants et une vérification de la sécurité des connexions pour les opérations de serveurs liés.

Mises à jour de la sécurité des connexions :

  • Validation améliorée des identifiants pour les serveurs liés
  • Amélioration de l'analyse et de la validation des chaînes de connexion
  • Renforcement de la gestion des protocoles d'authentification
Validation

Installation

Installation

KB5083252 est disponible via plusieurs méthodes d'installation :

Catalogue Microsoft Update

Téléchargez le package autonome depuis le Catalogue Microsoft Update pour une installation manuelle. Le package de mise à jour pèse environ 1,2 Go et nécessite des privilèges administratifs pour l'installation.

Gestionnaire de configuration SQL Server

Utilisez le Gestionnaire de configuration SQL Server pour appliquer la mise à jour via le mécanisme de mise à jour intégré. Cette méthode gère automatiquement les dépendances de service et les exigences de redémarrage.

Installation en ligne de commande

SQLServer2022-KB5083252-x64.exe /quiet /IAcceptSQLServerLicenseTerms

Prérequis

  • SQL Server 2022 Cumulative Update 24 ou antérieur doit être installé
  • Privilèges administratifs requis pour l'installation
  • Espace disque libre minimum de 2 Go pour les fichiers d'installation temporaires
  • Tous les services SQL Server doivent être arrêtés pendant l'installation

Exigences d'installation

  • Taille du fichier : 1,2 Go
  • Redémarrage requis : Oui (redémarrage des services SQL Server requis)
  • Temps d'installation : 15-30 minutes selon la configuration du système
  • Architectures prises en charge : x64 uniquement
Remarque : L'installation peut prendre plus de temps sur les systèmes avec de grandes bases de données ou plusieurs instances SQL Server.
Si ça ne fonctionne pas

Problèmes connus

Problèmes connus

Les problèmes suivants ont été signalés après l'installation de KB5083252 :

Échecs d'installation

  • Erreur 0x84B40000 : L'installation échoue si les services SQL Server ne sont pas correctement arrêtés. Assurez-vous que tous les services SQL Server sont arrêtés avant l'installation.
  • Erreur 0x84B10001 : Espace disque insuffisant pendant l'installation. Vérifiez qu'au moins 2 Go d'espace libre sont disponibles sur le lecteur système.

Problèmes post-installation

  • Erreurs de connexion de serveur lié : Certaines connexions de serveur lié peuvent nécessiter une reconfiguration après la mise à jour en raison d'une validation d'authentification améliorée. Vérifiez les identifiants de serveur lié et les chaînes de connexion.
  • Échecs de procédures stockées personnalisées : Les procédures stockées personnalisées utilisant du SQL dynamique peuvent échouer en raison d'une validation d'entrée améliorée. Passez en revue et mettez à jour les procédures pour utiliser des requêtes paramétrées.

Solutions de contournement

  • Pour les problèmes de serveur lié, recréez la connexion de serveur lié avec des identifiants mis à jour
  • Pour les échecs de procédures stockées, modifiez les procédures pour utiliser sp_executesql avec une liaison de paramètres appropriée
  • Si l'installation échoue, exécutez sfc /scannow pour vérifier l'intégrité des fichiers système avant de réessayer
Important : Testez la mise à jour dans un environnement non productif avant de la déployer sur des systèmes de production.

Questions fréquentes

Que résout KB5083252 ?+
KB5083252 résout quatre vulnérabilités de sécurité critiques dans SQL Server 2022 CU24, y compris l'injection SQL dans les procédures stockées système (CVE-2026-0847), l'élévation de privilèges dans les opérations de base de données (CVE-2026-0848), la corruption de mémoire lors de l'exécution de requêtes (CVE-2026-0849), et le contournement de l'authentification dans les connexions de serveur lié (CVE-2026-0850).
Quels systèmes nécessitent KB5083252 ?+
KB5083252 est requis pour toutes les installations de Microsoft SQL Server 2022 exécutant la mise à jour cumulative 24 ou antérieure sur des systèmes basés sur x64. Cela inclut les éditions Express, Developer, Standard et Enterprise fonctionnant sur Windows Server 2019, Windows Server 2022, Windows 10 ou Windows 11.
KB5083252 est-il une mise à jour de sécurité ?+
Oui, KB5083252 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité dans SQL Server 2022. La mise à jour inclut des correctifs pour des vulnérabilités d'injection SQL, d'élévation de privilèges, de corruption de mémoire et de contournement d'authentification qui pourraient être exploitées par des attaquants.
Quelles sont les conditions préalables pour KB5083252 ?+
Les prérequis incluent SQL Server 2022 CU24 ou une version antérieure installée, des privilèges administratifs, la capacité d'arrêter les services SQL Server pendant l'installation, un minimum de 2 Go d'espace disque libre, et des sauvegardes de base de données actuelles. La mise à jour nécessite un redémarrage des services SQL Server après l'installation.
Y a-t-il des problèmes connus avec KB5083252 ?+
Les problèmes connus incluent des échecs d'installation potentiels si les services SQL Server ne sont pas correctement arrêtés (Erreur 0x84B40000), des erreurs de connexion de serveur lié nécessitant une reconfiguration en raison d'une authentification améliorée, et des échecs possibles de procédures stockées personnalisées utilisant du SQL dynamique qui peuvent nécessiter une mise à jour pour utiliser des requêtes paramétrées.

Références (3)

1
Mises à jour de sécurité SQL Server 2022Documentation officielle de Microsoft pour les mises à jour de sécurité et les correctifs de SQL Server 2022https://support.microsoft.com/help/4518398
2
Centre de mise à jour SQL ServerDernières mises à jour et packs de service pour Microsoft SQL Serverhttps://learn.microsoft.com/sql/database-engine/install-windows/latest-updates-for-microsoft-sql-server
3
Centre de réponse de sécurité MicrosoftGuide de mise à jour de sécurité et informations sur les vulnérabilités de Microsofthttps://msrc.microsoft.com/update-guide
Tags
#kb5083252#sql-server-2022#security-update

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecterCréer un compte
Plus d'articles

Articles KB associés

Modern server room with SQL Server database systems and rack-mounted servers
Security Update
SQL Server

KB5083245 — Mise à jour de sécurité pour SQL Server 2025 CU3

KB5083245 est une mise à jour de sécurité pour Microsoft SQL Server 2025 Cumulative Update 3 (CU3) qui corrige des vulnérabilités critiques dans le moteur de base de données et les composants associés.

16 avril12 min
Data center server infrastructure displaying SQL Server security monitoring systems
Security Update
SQL Server

KB5084819 — Mise à jour de sécurité pour SQL Server 2017 GDR

KB5084819 est une mise à jour de sécurité pour Microsoft SQL Server 2017 GDR qui corrige des vulnérabilités critiques dans le moteur de base de données et améliore la sécurité globale du système pour les systèmes basés sur x64.

16 avril12 min
Server room with database servers displaying security update installation progress
Security Update
SQL Server

KB5084817 — Mise à jour de sécurité pour SQL Server 2019 GDR

KB5084817 est une mise à jour de sécurité publiée le 14 avril 2026 pour Microsoft SQL Server 2019 General Distribution Release (GDR) qui corrige des vulnérabilités de sécurité critiques dans le moteur de base de données et les composants associés.

16 avril12 min