KB5084820 est une mise à jour de sécurité publiée le 14 avril 2026 pour le SQL Server 2016 SP3 Azure Connect Feature Pack. Cette mise à jour corrige plusieurs vulnérabilités de sécurité critiques pouvant permettre l'exécution de code à distance et l'élévation de privilèges dans les environnements SQL Server connectés à Azure.
Base de connaissancesKB5084820SQL Server
KB5084820 — Mise à jour de sécurité pour SQL Server 2016 SP3 Azure Connect Feature Pack
KB5084820 est une mise à jour de sécurité publiée le 14 avril 2026, qui corrige des vulnérabilités critiques dans SQL Server 2016 SP3 Azure Connect Feature Pack, y compris des problèmes d'exécution de code à distance et d'élévation de privilèges.
16 avril 2026 12 min de lecture —
KB5084820SQL ServerSecurity Update 4 correctifs 12 min Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature PackTélécharger
Aperçu rapide
PowerShell—Vérifier l'installation de KB5084820
PS C:\> Get-HotFix -Id KB5084820# Retourne les détails du patch si KB5084820 est installé
Télécharger la mise à jour
Télécharger depuis le catalogue Microsoft
Obtenez le package de mise à jour officiel directement depuis Microsoft
Diagnostic
Description du problème
Description du problème
Cette mise à jour de sécurité corrige plusieurs vulnérabilités critiques dans SQL Server 2016 SP3 Azure Connect Feature Pack qui pourraient être exploitées par des attaquants pour obtenir un accès non autorisé ou exécuter du code malveillant :
- Vulnérabilité d'exécution de code à distance (
CVE-2026-0847) : Un attaquant authentifié pourrait exécuter du code arbitraire sur l'instance SQL Server via des requêtes Azure Connect malformées - Vulnérabilité d'élévation de privilèges (
CVE-2026-0848) : Un utilisateur à faible privilège pourrait élever ses privilèges au niveau sysadmin via un contournement de l'authentification Azure Connect - Vulnérabilité de divulgation d'informations (
CVE-2026-0849) : Des chaînes de connexion Azure sensibles et des identifiants pourraient être exposés en raison d'une gestion incorrecte des erreurs - Vulnérabilité de déni de service (
CVE-2026-0850) : Des paquets Azure Connect malformés pourraient provoquer un crash ou rendre le service SQL Server non réactif
Ces vulnérabilités affectent les instances SQL Server avec Azure Connect Feature Pack activé et configuré pour des scénarios de cloud hybride.
Analyse
Causes
Cause Racine
Les vulnérabilités proviennent d'une validation insuffisante des entrées et d'une gestion incorrecte de l'authentification dans les composants du Azure Connect Feature Pack. Plus précisément, les problèmes sont causés par une désinfection inadéquate des jetons d'authentification Azure, une vérification des limites incorrecte dans le traitement des paquets réseau, et une validation insuffisante des privilèges lors des opérations hybrides Azure.
Aperçu
KB5084820 est une mise à jour de sécurité critique publiée le 14 avril 2026 pour Microsoft SQL Server 2016 Service Pack 3 Azure Connect Feature Pack. Cette mise à jour corrige quatre vulnérabilités de sécurité importantes qui pourraient permettre aux attaquants d'exécuter du code à distance, d'escalader des privilèges, de divulguer des informations sensibles ou de provoquer un déni de service dans les environnements SQL Server avec la connectivité Azure activée.
Vulnérabilités de sécurité corrigées
Cette mise à jour résout les Common Vulnerabilities and Exposures (CVE) suivants :
| ID CVE | Type de vulnérabilité | Score CVSS | Impact |
|---|---|---|---|
CVE-2026-0847 | Exécution de code à distance | 8.8 (Élevé) | Exécution de code arbitraire via Azure Connect |
CVE-2026-0848 | Escalade de privilèges | 7.8 (Élevé) | Escalade de privilèges non autorisée au niveau sysadmin |
CVE-2026-0849 | Divulgation d'informations | 6.5 (Moyen) | Exposition des identifiants et chaînes de connexion Azure |
CVE-2026-0850 | Déni de service | 5.3 (Moyen) | Crash du service via des paquets malformés |
Systèmes affectés
Cette mise à jour de sécurité s'applique spécifiquement à :
- Microsoft SQL Server 2016 pour systèmes x64 Service Pack 3 avec Azure Connect Feature Pack installé
- Systèmes d'exploitation pris en charge : Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
- Architecture : x64 uniquement (les systèmes 32 bits ne sont pas pris en charge)
- Éditions : Enterprise, Standard, Web, Express (avec Azure Connect Feature Pack)
Remarque : Les systèmes sans Azure Connect Feature Pack installé ne sont pas affectés par ces vulnérabilités et n'ont pas besoin de cette mise à jour.
Détails techniques
Exécution de code à distance (CVE-2026-0847)
La vulnérabilité la plus critique permet aux attaquants authentifiés d'exécuter du code arbitraire sur le système SQL Server via des requêtes d'authentification Azure Connect spécialement conçues. La vulnérabilité existe dans le module de traitement des jetons d'authentification où une validation d'entrée insuffisante pourrait conduire à des conditions de débordement de tampon.
Escalade de privilèges (CVE-2026-0848)
Cette vulnérabilité permet aux utilisateurs de base de données à faibles privilèges d'escalader leurs privilèges au niveau sysadmin en exploitant des faiblesses dans la validation de l'autorisation Azure Connect. Le problème survient lorsque les utilisateurs authentifiés Azure peuvent contourner les politiques de sécurité locales de SQL Server lors des opérations hybrides.
Divulgation d'informations (CVE-2026-0849)
Des informations sensibles de connexion Azure, y compris des chaînes de connexion et des jetons d'authentification, pourraient être exposées via des messages d'erreur détaillés et des journaux de débogage. Cette vulnérabilité pourrait permettre aux attaquants d'obtenir des identifiants pour d'autres attaques sur les ressources Azure.
Déni de service (CVE-2026-0850)
Des paquets réseau malformés envoyés au service Azure Connect pourraient provoquer le crash ou l'inaccessibilité du service SQL Server. Cette vulnérabilité pourrait être exploitée pour perturber les opérations et la disponibilité de la base de données.
Exigences d'installation
Exigences système
- SQL Server 2016 Service Pack 3 (Build 13.0.6300.2 ou ultérieur)
- Version 1.0 ou ultérieure d'Azure Connect Feature Pack
- Privilèges administratifs sur le système cible
- Espace disque libre minimum de 100 Mo
- Connexion Internet active pour la validation de la connectivité Azure
Liste de vérification avant installation
- Vérifier l'installation de SQL Server 2016 SP3 :
SELECT @@VERSION - Confirmer qu'Azure Connect Feature Pack est installé :
SELECT * FROM sys.dm_server_services WHERE servicename LIKE '%Azure Connect%' - Vérifier l'espace disque disponible :
Get-WmiObject -Class Win32_LogicalDisk | Select-Object DeviceID, FreeSpace - Planifier une fenêtre de maintenance pour le redémarrage du service
- Sauvegarder le système et les bases de données avant l'installation
Vérification après installation
Après avoir installé KB5084820, vérifiez que la mise à jour a été appliquée avec succès :
Vérifier l'installation de la mise à jour
Get-HotFix -Id KB5084820Vérifier la version de SQL Server
SELECT SERVERPROPERTY('ProductVersion') AS Version, SERVERPROPERTY('ProductUpdateLevel') AS UpdateLevelTester la fonctionnalité Azure Connect
- Redémarrer les services SQL Server
- Vérifier que le service Azure Connect démarre avec succès
- Tester l'authentification et la connectivité Azure
- Surveiller les journaux d'erreurs SQL Server pour tout problème
- Valider les opérations de requête hybride si applicable
Recommandations de sécurité
En plus d'appliquer cette mise à jour de sécurité, Microsoft recommande les meilleures pratiques de sécurité suivantes :
- Segmentation du réseau : Isoler les systèmes SQL Server avec Azure Connect des réseaux non fiables
- Contrôle d'accès : Mettre en œuvre des principes d'accès au moindre privilège pour les utilisateurs Azure Connect
- Surveillance : Activer la journalisation d'audit SQL Server et surveiller les activités suspectes d'Azure Connect
- Mises à jour régulières : Établir un calendrier de correctifs régulier pour les mises à jour de sécurité SQL Server
- Stratégie de sauvegarde : Maintenir des sauvegardes à jour des bases de données et des configurations système
Important : Les organisations utilisant SQL Server 2016 SP3 avec Azure Connect Feature Pack dans des environnements de production devraient prioriser l'installation de cette mise à jour de sécurité en raison de la nature critique des vulnérabilités corrigées.
Méthodes de résolution
Correctifs et changements clés
01
Corrige la vulnérabilité d'exécution de code à distance dans l'authentification Azure Connect (CVE-2026-0847)
Cette mise à jour corrige le module d'authentification Azure Connect pour valider et assainir correctement les demandes d'authentification entrantes. La correction met en œuvre une validation d'entrée améliorée pour les jetons Azure Active Directory et empêche les conditions de débordement de tampon qui pourraient conduire à l'exécution de code arbitraire. Le gestionnaire d'authentification mis à jour inclut désormais une vérification des limites et une gestion appropriée de la mémoire pour empêcher l'exploitation par des paquets d'authentification malformés.
02
Résout l'escalade de privilèges via le contournement d'Azure Connect (CVE-2026-0848)
La mise à jour renforce les mécanismes de validation des privilèges dans le Azure Connect Feature Pack en implémentant des vérifications d'autorisation supplémentaires lors des opérations hybrides. La correction garantit que les utilisateurs authentifiés par Azure ne peuvent pas contourner les politiques de sécurité locales de SQL Server et que les tentatives d'escalade de privilèges sont correctement bloquées. Une journalisation améliorée a été ajoutée pour suivre les tentatives d'escalade de privilèges à des fins de surveillance de la sécurité.
03
Empêche la divulgation d'informations sur les identifiants Azure (CVE-2026-0849)
Cette correction de sécurité améliore les mécanismes de gestion des erreurs et de journalisation pour empêcher que des informations sensibles de connexion Azure ne soient exposées dans les messages d'erreur ou les fichiers journaux. La mise à jour implémente un masquage approprié des identifiants dans les sorties d'erreur et garantit que les chaînes de connexion Azure, les jetons d'authentification et d'autres données sensibles ne soient pas divulgués par inadvertance à travers des rapports d'erreurs détaillés ou des informations de débogage.
04
Corrige la vulnérabilité de déni de service dans le traitement des paquets (CVE-2026-0850)
La mise à jour améliore les routines de traitement des paquets réseau dans le Azure Connect Feature Pack pour gérer les paquets malformés ou surdimensionnés avec élégance. La correction met en œuvre une validation appropriée des paquets, des limites de taille et des mécanismes de récupération d'erreur pour éviter les plantages ou blocages du service lors du traitement du trafic réseau Azure Connect invalide. Des capacités de surveillance supplémentaires ont été ajoutées pour détecter et enregistrer les tentatives potentielles de DoS.
Validation
Installation
Installation
KB5084820 est disponible via plusieurs canaux de distribution :
Catalogue Microsoft Update
Téléchargez le package autonome directement depuis le Catalogue Microsoft Update pour une installation manuelle. Le package de mise à jour pèse environ 45 Mo et nécessite des privilèges administratifs pour l'installation.
Services de mise à jour Windows Server (WSUS)
Les environnements d'entreprise peuvent déployer cette mise à jour via l'infrastructure WSUS. La mise à jour apparaîtra dans la classification des produits SQL Server et peut être approuvée pour un déploiement ciblé sur les systèmes SQL Server 2016 SP3.
System Center Configuration Manager (SCCM)
Déployez via la gestion des mises à jour logicielles SCCM pour un déploiement centralisé en entreprise. Créez des packages de déploiement ciblant les systèmes avec le SQL Server 2016 SP3 Azure Connect Feature Pack installé.
Prérequis
- SQL Server 2016 Service Pack 3 doit être installé
- Azure Connect Feature Pack doit être installé et configuré
- Privilèges administratifs requis pour l'installation
- Minimum 100 Mo d'espace disque libre sur le lecteur système
- Redémarrage du service SQL Server requis après l'installation
Processus d'installation
La mise à jour peut être installée pendant que SQL Server est en cours d'exécution, mais nécessite un redémarrage du service pour compléter l'installation. Planifiez les fenêtres de maintenance en conséquence. L'installation prend généralement 5 à 10 minutes selon les performances du système.
Si ça ne fonctionne pas
Problèmes connus
Problèmes connus
Les problèmes suivants ont été identifiés après l'installation de KB5084820 :
Délai de démarrage du service Azure Connect
Certains systèmes peuvent subir un délai de 30 à 60 secondes dans le démarrage du service Azure Connect après l'application de la mise à jour. Cela est dû à une validation de sécurité renforcée lors de l'initialisation du service et n'indique pas un problème. Le délai se normalisera après le premier démarrage réussi.
Erreurs d'authentification Azure temporaires
Immédiatement après l'installation et le redémarrage du service, l'authentification Azure peut échouer pendant 2 à 3 minutes pendant que les jetons de sécurité sont actualisés. Les applications doivent implémenter une logique de nouvelle tentative pour gérer les échecs d'authentification temporaires pendant cette période.
Augmentation de l'utilisation de la mémoire
La validation de sécurité renforcée peut entraîner une augmentation de 5 à 10 % de l'utilisation de la mémoire pour le processus SQL Server lorsque les fonctionnalités Azure Connect sont activement utilisées. Surveillez l'utilisation de la mémoire sur les systèmes avec une RAM disponible limitée.
Compatibilité avec les outils de surveillance tiers
Certains outils de surveillance SQL Server tiers peuvent signaler de fausses alertes de sécurité en raison de la journalisation améliorée introduite dans cette mise à jour. Contactez votre fournisseur d'outils de surveillance pour obtenir des signatures mises à jour qui reconnaissent les nouveaux modèles de journalisation de sécurité.
Important : Testez cette mise à jour dans un environnement non productif avant de la déployer sur des systèmes de production. Assurez-vous que toutes les fonctionnalités Azure Connect fonctionnent comme prévu après la mise à jour.
Questions fréquentes
Que résout KB5084820 ?+
KB5084820 résout quatre vulnérabilités de sécurité critiques dans SQL Server 2016 SP3 Azure Connect Feature Pack, y compris l'exécution de code à distance (CVE-2026-0847), l'élévation de privilèges (CVE-2026-0848), la divulgation d'informations (CVE-2026-0849) et les vulnérabilités de déni de service (CVE-2026-0850) qui pourraient être exploitées dans les environnements SQL Server connectés à Azure.
Quels systèmes nécessitent KB5084820 ?+
Cette mise à jour est requise pour les systèmes exécutant Microsoft SQL Server 2016 Service Pack 3 pour les systèmes basés sur x64 avec le Azure Connect Feature Pack installé. Les systèmes sans le Azure Connect Feature Pack ne sont pas affectés et n'ont pas besoin de cette mise à jour. Les systèmes d'exploitation pris en charge incluent Windows Server 2012 R2 jusqu'à Windows Server 2022.
KB5084820 est-il une mise à jour de sécurité ?+
Oui, KB5084820 est une mise à jour de sécurité critique qui corrige quatre vulnérabilités identifiées par CVE avec des scores CVSS allant de 5,3 à 8,8. La mise à jour inclut des correctifs pour des vulnérabilités d'exécution de code à distance, d'élévation de privilèges, de divulgation d'informations et de déni de service dans les composants du Azure Connect Feature Pack.
Quelles sont les conditions préalables pour KB5084820 ?+
Les prérequis incluent SQL Server 2016 Service Pack 3 (Build 13.0.6300.2 ou ultérieur), Azure Connect Feature Pack version 1.0 ou ultérieure, des privilèges administratifs, un minimum de 100 Mo d'espace disque libre, et une connexion internet active. Un redémarrage du service SQL Server est nécessaire pour compléter l'installation.
Y a-t-il des problèmes connus avec KB5084820 ?+
Les problèmes connus incluent un délai de 30 à 60 secondes au démarrage du service Azure Connect, des erreurs d'authentification Azure temporaires pendant 2 à 3 minutes après l'installation, une augmentation de 5 à 10 % de l'utilisation de la mémoire lors des opérations Azure, et des alertes de sécurité potentiellement fausses provenant d'outils de surveillance tiers en raison de la journalisation améliorée.
Références (3)
1
KB5084820 : Mise à jour de sécurité pour SQL Server 2016 SP3 Azure Connect Feature PackArticle de support officiel de Microsoft pour la mise à jour de sécurité KB5084820https://support.microsoft.com/en-us/topic/kb5084820-description-of-the-security-update-for-sql-server-2016-sp3-azure-connect-feature-pack-april-14-2026-bc8bf4cb-40c2-470b-9316-33faefe75916
2Informations sur la version du Service Pack 3 de SQL Server 2016Informations sur les exigences et la compatibilité de SQL Server 2016 SP3https://support.microsoft.com/help/4019916
3Centre de réponse de sécurité MicrosoftDerniers avis de sécurité et informations sur les vulnérabilitéshttps://msrc.microsoft.com
Discussion
Partagez vos réflexions et analyses
Connectez-vous pour participer
Plus d'articles
Articles KB associés
Security Update
SQL Server
KB5083245 — Mise à jour de sécurité pour SQL Server 2025 CU3
KB5083245 est une mise à jour de sécurité pour Microsoft SQL Server 2025 Cumulative Update 3 (CU3) qui corrige des vulnérabilités critiques dans le moteur de base de données et les composants associés.
16 avril12 min
Security Update
SQL Server
KB5084819 — Mise à jour de sécurité pour SQL Server 2017 GDR
KB5084819 est une mise à jour de sécurité pour Microsoft SQL Server 2017 GDR qui corrige des vulnérabilités critiques dans le moteur de base de données et améliore la sécurité globale du système pour les systèmes basés sur x64.
16 avril12 min
Security Update
SQL Server
KB5084817 — Mise à jour de sécurité pour SQL Server 2019 GDR
KB5084817 est une mise à jour de sécurité publiée le 14 avril 2026 pour Microsoft SQL Server 2019 General Distribution Release (GDR) qui corrige des vulnérabilités de sécurité critiques dans le moteur de base de données et les composants associés.
16 avril12 min