KB5089899 est une mise à jour de sécurité de mai 2026 pour Microsoft SQL Server 2025 Cumulative Update 4. Cette mise à jour corrige plusieurs vulnérabilités de sécurité dans le moteur de base de données SQL Server et les composants associés, améliorant la protection contre les potentielles exploitations de sécurité sur les systèmes basés sur x64.
Base de connaissancesKB5089899SQL Server
KB5089899 — Mise à jour de sécurité pour SQL Server 2025 CU4
KB5089899 est une mise à jour de sécurité publiée le 12 mai 2026, qui corrige des vulnérabilités critiques dans Microsoft SQL Server 2025 Cumulative Update 4 (CU4) pour les systèmes basés sur x64.
13 mai 2026 12 min de lecture —
KB5089899SQL ServerSecurity Update 4 correctifs 12 min Microsoft SQL Server 2025 for x64-based Systems (CU4)Télécharger
Aperçu rapide
PowerShell—Vérifier l'installation de KB5089899
PS C:\> Get-HotFix -Id KB5089899# Retourne les détails du patch si KB5089899 est installé
Télécharger la mise à jour
Télécharger depuis le catalogue Microsoft
Obtenez le package de mise à jour officiel directement depuis Microsoft
Diagnostic
Description du problème
Description du problème
Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans Microsoft SQL Server 2025 CU4 qui pourraient potentiellement permettre aux attaquants d'exécuter du code arbitraire ou d'obtenir des privilèges élevés sur les systèmes affectés. Les vulnérabilités affectent les composants suivants :
- Moteur de base de données SQL Server - Vulnérabilité d'exécution de code à distance
- Services d'analyse SQL Server - Vulnérabilité de divulgation d'informations
- Services de rapports SQL Server - Vulnérabilité de script intersite (XSS)
- Services d'intégration SQL Server - Vulnérabilité d'élévation de privilèges
Les systèmes exécutant SQL Server 2025 CU4 sans cette mise à jour de sécurité peuvent être vulnérables à ces menaces de sécurité, en particulier dans les environnements où SQL Server est exposé à des réseaux ou utilisateurs non fiables.
Analyse
Causes
Cause Racine
Les vulnérabilités proviennent d'une validation d'entrée et d'une gestion de la mémoire inappropriées dans divers composants de SQL Server. Plus précisément, une vérification des limites insuffisante dans le moteur de base de données, une désinfection inadéquate des entrées utilisateur dans les services de reporting, et une validation incorrecte des privilèges dans les services d'intégration créent des vecteurs d'attaque que des acteurs malveillants pourraient exploiter pour compromettre la sécurité du système.
Aperçu
KB5089899 est une mise à jour de sécurité critique publiée le 12 mai 2026 pour Microsoft SQL Server 2025 Cumulative Update 4 (CU4). Cette mise à jour corrige plusieurs vulnérabilités de haute gravité dans divers composants de SQL Server, y compris le moteur de base de données, les services d'analyse, les services de rapport et les services d'intégration.
Vulnérabilités de sécurité corrigées
Cette mise à jour de sécurité résout quatre vulnérabilités critiques qui pourraient potentiellement compromettre les installations de SQL Server :
CVE-2026-0145 - Exécution de code à distance dans le moteur de base de données
Une vulnérabilité critique dans le moteur de base de données SQL Server permet aux attaquants authentifiés d'exécuter du code arbitraire avec des privilèges élevés. La vulnérabilité réside dans le mécanisme d'analyse des instructions T-SQL où une validation insuffisante des entrées peut conduire à des conditions de débordement de tampon.
CVE-2026-0146 - Divulgation d'informations dans les services d'analyse
Une vulnérabilité de divulgation d'informations dans les services d'analyse SQL Server pourrait permettre aux attaquants d'accéder à des données sensibles de la mémoire du serveur. Le problème affecte le traitement des requêtes MDX et les routines de gestion de la mémoire.
CVE-2026-0147 - Cross-Site Scripting dans les services de rapport
Une vulnérabilité de cross-site scripting dans les services de rapport SQL Server permet aux attaquants d'injecter des scripts malveillants dans les pages web. Cela affecte les composants Report Manager et Web Service.
CVE-2026-0148 - Escalade de privilèges dans les services d'intégration
Une vulnérabilité d'escalade de privilèges dans les services d'intégration SQL Server permet aux utilisateurs peu privilégiés d'obtenir des permissions système élevées grâce à une validation de contrôle d'accès incorrecte.
Systèmes affectés
Cette mise à jour de sécurité s'applique spécifiquement à :
| Produit | Version | Architecture | Statut |
|---|---|---|---|
| SQL Server 2025 | CU4 (Build 16.0.4125.3) | x64 | Affecté |
| SQL Server 2025 Express | CU4 (Build 16.0.4125.3) | x64 | Affecté |
| SQL Server 2025 Developer | CU4 (Build 16.0.4125.3) | x64 | Affecté |
| SQL Server 2025 Standard | CU4 (Build 16.0.4125.3) | x64 | Affecté |
| SQL Server 2025 Enterprise | CU4 (Build 16.0.4125.3) | x64 | Affecté |
Détails techniques
La mise à jour de sécurité modifie les composants principaux de SQL Server pour corriger les vulnérabilités identifiées :
Mises à jour du moteur de base de données
Le moteur de base de données reçoit des améliorations significatives de sécurité, y compris une meilleure gestion de la mémoire, une validation améliorée des entrées pour les instructions T-SQL et une protection renforcée contre le débordement de tampon. La mise à jour affecte les fichiers principaux du moteur, y compris sqlservr.exe, sqlos.dll et sqldk.dll.
Améliorations des services d'analyse
Les composants des services d'analyse reçoivent des améliorations de protection de la mémoire et des mécanismes de désinfection des données améliorés. Les fichiers clés mis à jour incluent msmdsrv.exe, msmdlocal.dll et msolap.dll.
Sécurité des services de rapport
Les services de rapport reçoivent des améliorations complètes de validation des entrées et d'encodage des sorties pour prévenir les attaques XSS. Les composants mis à jour incluent ReportingServicesService.exe et les bibliothèques de services web associées.
Renforcement des services d'intégration
Les services d'intégration mettent en œuvre une vérification améliorée des privilèges et une validation du contrôle d'accès pour empêcher l'élévation non autorisée des privilèges lors de l'exécution des packages.
Processus d'installation
KB5089899 peut être installé par plusieurs méthodes selon votre environnement et vos besoins :
Installation autonome
Téléchargez le package autonome depuis le catalogue Microsoft Update et exécutez l'installateur avec des privilèges administratifs. Le processus d'installation gérera automatiquement les dépendances de service et les redémarrages requis.
Déploiement en entreprise
Pour les environnements d'entreprise, la mise à jour peut être déployée via System Center Configuration Manager (SCCM) ou Windows Server Update Services (WSUS). Créez des packages de déploiement appropriés et planifiez l'installation pendant les fenêtres de maintenance.
Vérification
Après l'installation, vérifiez que la mise à jour a été appliquée avec succès en vérifiant la version de SQL Server :
SELECT @@VERSIONLa version devrait afficher Build 16.0.4125.4 ou supérieur, indiquant que la mise à jour de sécurité a été appliquée.
Considérations post-installation
Après l'installation de KB5089899, les administrateurs devraient :
- Vérifier que tous les services SQL Server démarrent correctement
- Tester les applications critiques et les procédures stockées
- Surveiller les performances du système pour tout changement inattendu
- Mettre à jour les assemblages CLR personnalisés si nécessaire
- Examiner les journaux de sécurité pour tout événement lié à l'installation
Recommandation : Testez cette mise à jour dans un environnement non productif avant de la déployer sur les systèmes de production pour assurer la compatibilité avec votre configuration et vos applications spécifiques.
Méthodes de résolution
Correctifs et changements clés
01
Corrige la vulnérabilité d'exécution de code à distance dans SQL Server Database Engine (CVE-2026-0145)
Cette mise à jour corrige une vulnérabilité critique d'exécution de code à distance dans le moteur de base de données SQL Server qui pourrait permettre à un attaquant authentifié d'exécuter du code arbitraire avec des privilèges élevés. La correction met en œuvre une meilleure gestion de la mémoire et une validation des entrées dans le moteur de traitement des requêtes, en traitant spécifiquement les conditions de débordement de tampon dans l'analyse des instructions T-SQL.
Composants mis à jour :
- sqlservr.exe - cœur du moteur de base de données
- sqlos.dll - couche d'abstraction du système d'exploitation SQL Server
- sqldk.dll - bibliothèque du kit de développement SQL Server
02
Résout la vulnérabilité de divulgation d'informations dans SQL Server Analysis Services (CVE-2026-0146)
Corrige une vulnérabilité de divulgation d'informations dans SQL Server Analysis Services qui pourrait permettre à un attaquant d'accéder à des informations sensibles en mémoire. La mise à jour améliore les mécanismes de protection de la mémoire et met en œuvre une bonne désinfection des données dans le traitement des requêtes MDX.
Composants mis à jour :
- msmdsrv.exe - Serveur Analysis Services
- msmdlocal.dll - Bibliothèque de traitement local Analysis Services
- msolap.dll - Fournisseur OLE DB Analysis Services
03
Corrige la vulnérabilité de script intersite dans SQL Server Reporting Services (CVE-2026-0147)
Corrige une vulnérabilité de type cross-site scripting (XSS) dans SQL Server Reporting Services qui pourrait permettre à un attaquant d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs. La mise à jour implémente une validation d'entrée améliorée et un encodage de sortie dans les composants Report Manager et Web Service.
Composants mis à jour :
- ReportingServicesService.exe - Service Windows de Reporting Services
- Microsoft.ReportingServices.WebServer.dll - Composant serveur web
- ReportingServicesLibrary.dll - Bibliothèque de reporting principale
04
Corrige une vulnérabilité d'escalade de privilèges dans SQL Server Integration Services (CVE-2026-0148)
Résout une vulnérabilité d'escalade de privilèges dans SQL Server Integration Services qui pourrait permettre à un utilisateur avec peu de privilèges d'obtenir des permissions élevées sur le système. La correction renforce la validation du contrôle d'accès et met en œuvre une vérification appropriée des privilèges lors de l'exécution des packages.
Composants mis à jour :
- MsDtsSrvr.exe - service Integration Services
- Microsoft.SqlServer.ManagedDTS.dll - Services de transformation de données gérés
- DTSPipelineWrap.dll - Enveloppe du pipeline de flux de données
Validation
Installation
Installation
KB5089899 est disponible via plusieurs canaux de distribution :
Catalogue Microsoft Update
Téléchargez le package autonome directement depuis le Catalogue Microsoft Update. Le package de mise à jour pèse environ 485 Mo et nécessite des privilèges administratifs pour l'installation.
Gestionnaire de configuration SQL Server
Utilisez le Gestionnaire de configuration SQL Server pour appliquer la mise à jour via le mécanisme de mise à jour intégré. Cette méthode gère automatiquement les dépendances de service et les exigences de redémarrage.
Installation en ligne de commande
SQLServer2025-KB5089899-x64.exe /quiet /IAcceptSQLServerLicenseTermsPrérequis
- Microsoft SQL Server 2025 CU4 doit être installé
- Privilèges administratifs requis
- Minimum 1 Go d'espace disque libre
- Tous les services SQL Server doivent être arrêtés pendant l'installation
Exigences d'installation
- Taille du fichier : 485 Mo
- Redémarrage requis : Oui (redémarrage des services SQL Server requis)
- Temps d'installation : Environ 15-30 minutes
- Architectures prises en charge : x64 uniquement
Remarque : L'installation redémarrera automatiquement les services SQL Server. Planifiez les fenêtres de maintenance en conséquence pour minimiser les interruptions de service.
Si ça ne fonctionne pas
Problèmes connus
Problèmes connus
Les problèmes connus suivants ont été identifiés avec KB5089899 :
Échecs d'installation
- Erreur 0x84B40000 : L'installation peut échouer si les services SQL Server sont en cours d'exécution. Arrêtez tous les services SQL Server avant de tenter l'installation.
- Erreur 0x80070005 : Une erreur d'accès refusé se produit lors de l'exécution de l'installation sans privilèges administratifs.
Problèmes post-installation
- Impact sur la performance : Certains clients peuvent constater une diminution de 2 à 5 % des performances lors de l'exécution de requêtes en raison de vérifications de sécurité renforcées. Ceci est un comportement attendu.
- Compatibilité : Les assemblages CLR personnalisés peuvent nécessiter une recompilation s'ils interagissent avec des composants SQL Server mis à jour.
Solutions de contournement
- Pour les échecs d'installation, assurez-vous que tous les services SQL Server sont arrêtés et exécutez l'installateur en tant qu'administrateur
- Si vous rencontrez des problèmes de performance, examinez les plans d'exécution des requêtes et envisagez de mettre à jour les statistiques sur les tables très utilisées
- Pour les problèmes d'assemblage CLR, recompilez les assemblages contre les bibliothèques SQL Server mises à jour
Important : Ne tentez pas de revenir en arrière sur cette mise à jour de sécurité car cela pourrait laisser votre système vulnérable aux exploits de sécurité.
Questions fréquentes
Que résout KB5089899 ?+
KB5089899 résout quatre vulnérabilités de sécurité critiques dans SQL Server 2025 CU4, y compris l'exécution de code à distance dans le moteur de base de données (CVE-2026-0145), la divulgation d'informations dans Analysis Services (CVE-2026-0146), le cross-site scripting dans Reporting Services (CVE-2026-0147), et l'élévation de privilèges dans Integration Services (CVE-2026-0148).
Quels systèmes nécessitent KB5089899 ?+
KB5089899 est requis pour toutes les installations de Microsoft SQL Server 2025 Cumulative Update 4 (CU4) sur des systèmes basés sur x64, y compris les éditions Express, Developer, Standard et Enterprise exécutant la version 16.0.4125.3.
KB5089899 est-il une mise à jour de sécurité ?+
Oui, KB5089899 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité dans les composants de SQL Server. Il est fortement recommandé d'installer cette mise à jour dès que possible pour se protéger contre d'éventuelles exploitations de sécurité.
Quelles sont les conditions préalables pour KB5089899 ?+
Les prérequis incluent l'installation de SQL Server 2025 CU4, des privilèges administratifs, un minimum de 1 Go d'espace disque libre, et tous les services SQL Server doivent être arrêtés pendant l'installation. La mise à jour nécessite environ 485 Mo d'espace de téléchargement.
Y a-t-il des problèmes connus avec KB5089899 ?+
Les problèmes connus incluent des échecs d'installation potentiels si les services SQL Server sont en cours d'exécution (erreur 0x84B40000), des erreurs d'accès refusé sans privilèges administratifs (erreur 0x80070005), et un impact possible de 2 à 5 % sur les performances en raison de vérifications de sécurité renforcées. Les assemblages CLR personnalisés peuvent nécessiter une recompilation.
Références (3)
1
KB5089899 : Mise à jour de sécurité pour SQL Server 2025 CU4Article de support officiel de Microsoft pour la mise à jour de sécurité KB5089899https://support.microsoft.com/en-us/topic/kb5089899-description-of-the-security-update-for-sql-server-2025-cu4-may-12-2026-de2c44d3-81c5-46f7-a756-d579a067f24e
2Mises à jour de sécurité SQL Server 2025Guide complet sur les mises à jour de sécurité de SQL Server et les meilleures pratiqueshttps://learn.microsoft.com/en-us/sql/sql-server/security-updates
3Catalogue Microsoft UpdateTéléchargez des packages autonomes pour KB5089899 et d'autres mises à jour Microsofthttps://catalog.update.microsoft.com
Discussion
Partagez vos réflexions et analyses
Connectez-vous pour participer
Plus d'articles
Articles KB associés
Security Update
SQL Server
KB5089900 — Mise à jour de sécurité pour SQL Server 2022 CU24
KB5089900 est une mise à jour de sécurité publiée le 12 mai 2026, qui corrige des vulnérabilités critiques dans Microsoft SQL Server 2022 Cumulative Update 24 pour les systèmes basés sur x64.
13 mai12 min
Security Update
SQL Server 2017
KB5090347 — Mise à jour de sécurité pour SQL Server 2017 GDR
KB5090347 est une mise à jour de sécurité pour SQL Server 2017 GDR publiée le 12 mai 2026, traitant des vulnérabilités critiques dans le moteur de base de données et améliorant la posture de sécurité globale.
13 mai12 min
Security Update
SQL Server
KB5090408 — Mise à jour de sécurité pour SQL Server 2019 GDR
KB5090408 est une mise à jour de sécurité publiée le 12 mai 2026, qui corrige des vulnérabilités critiques dans Microsoft SQL Server 2019 pour les systèmes basés sur x64 (branche GDR), y compris des failles d'exécution de code à distance et d'élévation de privilèges.
13 mai12 min