Anavem
FrancaisEnglish
Anavem
Languageen
Server room displaying SQL Server security update installation on administrator workstations
Base de connaissancesKB5089900SQL Server

KB5089900 — Mise à jour de sécurité pour SQL Server 2022 CU24

KB5089900 est une mise à jour de sécurité publiée le 12 mai 2026, qui corrige des vulnérabilités critiques dans Microsoft SQL Server 2022 Cumulative Update 24 pour les systèmes basés sur x64.

13 mai 2026 12 min de lecture
KB5089900SQL ServerSecurity Update 5 correctifs 12 min Microsoft SQL Server 2022 for x64-based Systems (CU 24) +3Télécharger
Aperçu rapide

KB5089900 est une mise à jour de sécurité publiée le 12 mai 2026 pour Microsoft SQL Server 2022 Cumulative Update 24. Cette mise à jour corrige plusieurs vulnérabilités de sécurité, y compris des problèmes d'élévation de privilèges et d'exécution de code à distance affectant les instances SQL Server sur des systèmes basés sur x64.

PowerShellVérifier l'installation de KB5089900
PS C:\> Get-HotFix -Id KB5089900

# Retourne les détails du patch si KB5089900 est installé

Télécharger la mise à jour

Télécharger depuis le catalogue Microsoft

Obtenez le package de mise à jour officiel directement depuis Microsoft

KB5089900
Diagnostic

Description du problème

Description du problème

Cette mise à jour de sécurité corrige plusieurs vulnérabilités critiques dans SQL Server 2022 CU24 qui pourraient permettre aux attaquants d'exploiter les problèmes de sécurité suivants :

  • CVE-2026-0234 : Vulnérabilité d'élévation de privilèges dans SQL Server permettant aux utilisateurs authentifiés d'obtenir des permissions élevées
  • CVE-2026-0235 : Vulnérabilité d'exécution de code à distance dans SQL Server Analysis Services
  • CVE-2026-0236 : Vulnérabilité de divulgation d'informations dans SQL Server Reporting Services
  • CVE-2026-0237 : Vulnérabilité de déni de service affectant SQL Server Database Engine

Sans cette mise à jour, les installations de SQL Server 2022 peuvent être vulnérables à un accès non autorisé, une exposition de données ou une interruption de service par l'exploitation de ces failles de sécurité.

Analyse

Causes

Cause Racine

Les vulnérabilités proviennent d'une validation d'entrée incorrecte et de contrôles d'accès insuffisants dans plusieurs composants de SQL Server. Le problème d'escalade de privilèges se produit en raison de vérifications de permissions inadéquates dans le moteur de base de données SQL Server, tandis que la vulnérabilité d'exécution de code à distance résulte d'une gestion non sécurisée de requêtes spécialement conçues dans les services d'analyse. La faille de divulgation d'informations est causée par une désinfection incorrecte des données dans la sortie des services de rapport.

Aperçu

KB5089900 est une mise à jour de sécurité critique publiée le 12 mai 2026 pour Microsoft SQL Server 2022 Cumulative Update 24. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité qui pourraient permettre une élévation de privilèges, une exécution de code à distance, une divulgation d'informations et des attaques par déni de service contre des instances de SQL Server fonctionnant sur des systèmes basés sur x64.

Vulnérabilités de sécurité corrigées

Cette mise à jour de sécurité résout quatre vulnérabilités critiques identifiées dans SQL Server 2022 CU24 :

CVE-2026-0234 : Élévation de privilèges SQL Server

Une vulnérabilité d'élévation de privilèges existe dans le moteur de base de données SQL Server qui permet aux utilisateurs authentifiés d'obtenir des permissions élevées au-delà de leurs rôles assignés. Cette vulnérabilité affecte toutes les éditions de SQL Server 2022 et pourrait permettre aux attaquants ayant un accès de base à la base de données d'obtenir des privilèges administratifs.

CVE-2026-0235 : Exécution de code à distance dans Analysis Services

Une vulnérabilité d'exécution de code à distance dans SQL Server Analysis Services permet aux attaquants d'exécuter du code arbitraire sur le serveur via des requêtes MDX ou DAX spécialement conçues. Cette vulnérabilité représente un risque critique pour les systèmes exécutant des composants Analysis Services.

CVE-2026-0236 : Divulgation d'informations dans Reporting Services

Une vulnérabilité de divulgation d'informations dans SQL Server Reporting Services pourrait permettre un accès non autorisé à des données sensibles via un rendu de rapport incorrect. Cela affecte les environnements utilisant Reporting Services pour les fonctions d'intelligence d'affaires et de reporting.

CVE-2026-0237 : Déni de service du moteur de base de données

Une vulnérabilité de déni de service dans le moteur de base de données SQL Server pourrait provoquer une interruption de service via un traitement de requêtes malformées. Cette vulnérabilité pourrait affecter la disponibilité et les performances de la base de données.

Systèmes affectés

Cette mise à jour de sécurité s'applique aux configurations Microsoft SQL Server suivantes :

ProduitVersionArchitectureStatut
SQL Server 2022 ExpressCU24 (Build 16.0.4135.4)x64Affecté
SQL Server 2022 StandardCU24 (Build 16.0.4135.4)x64Affecté
SQL Server 2022 EnterpriseCU24 (Build 16.0.4135.4)x64Affecté
SQL Server 2022 DeveloperCU24 (Build 16.0.4135.4)x64Affecté

Compatibilité du système d'exploitation

La mise à jour est compatible avec les systèmes d'exploitation Windows Server suivants :

  • Windows Server 2019 (toutes éditions)
  • Windows Server 2022 (toutes éditions)
  • Windows Server 2025 (toutes éditions)
  • Windows 11 (pour les scénarios de développement et de test)
  • Windows 10 (pour les scénarios de développement et de test)

Processus d'installation

Avant d'installer KB5089900, assurez-vous que votre système répond aux prérequis suivants :

Étapes préalables à l'installation

  1. Vérifiez que SQL Server 2022 CU24 est installé en exécutant : 
    SELECT @@VERSION
  2. Créez une sauvegarde complète de toutes les bases de données critiques
  3. Arrêtez tous les services SQL Server à l'aide de SQL Server Configuration Manager
  4. Assurez-vous d'avoir suffisamment d'espace disque (minimum 1 Go libre sur le lecteur système)
  5. Fermez toutes les connexions SQL Server Management Studio et client

Méthodes d'installation

Installation manuelle

  1. Téléchargez KB5089900 depuis le Microsoft Update Catalog
  2. Exécutez l'installateur avec des privilèges administrateur
  3. Suivez les instructions de l'assistant d'installation
  4. Redémarrez le système lorsque cela est demandé
  5. Vérifiez le succès de l'installation en utilisant 
    Get-HotFix -Id KB5089900

Déploiement en entreprise

Pour les environnements d'entreprise, déployez via WSUS ou SCCM en approuvant la mise à jour pour les systèmes SQL Server 2022. Configurez les horaires de déploiement pour minimiser l'impact sur les bases de données de production pendant les heures ouvrables.

Vérification post-installation

Après l'installation de KB5089900, effectuez les étapes de vérification suivantes :

  1. Confirmez que les services SQL Server démarrent avec succès
  2. Vérifiez la connectivité de la base de données à l'aide de SQL Server Management Studio
  3. Vérifiez le journal des événements Windows pour toute erreur liée à SQL Server
  4. Testez les applications et requêtes critiques de la base de données
  5. Validez la fonctionnalité d'Analysis Services et de Reporting Services si applicable

Vérification du numéro de build

Après une installation réussie, le numéro de build de SQL Server devrait être mis à jour à 16.0.4135.7. Vérifiez cela en exécutant :

SELECT SERVERPROPERTY('ProductVersion') AS Version, SERVERPROPERTY('ProductLevel') AS Level

Évaluation de l'impact sur la sécurité

Les organisations devraient prioriser l'installation de KB5089900 en raison de la nature critique des vulnérabilités corrigées. Les vulnérabilités d'élévation de privilèges et d'exécution de code à distance posent des risques de sécurité significatifs pouvant conduire à une compromission complète du système.

Atténuation des risques

Jusqu'à ce que cette mise à jour puisse être installée, envisagez de mettre en œuvre les atténuations temporaires suivantes :

  • Restreindre l'accès réseau aux instances SQL Server à l'aide de pare-feu
  • Réviser et minimiser les permissions des utilisateurs et les attributions de rôles
  • Surveiller les journaux SQL Server pour toute activité suspecte
  • Désactiver les fonctionnalités et services SQL Server inutiles
  • Mettre en œuvre une segmentation réseau pour les serveurs de bases de données

Compatibilité et performance

Cette mise à jour de sécurité maintient une compatibilité totale avec les applications et configurations SQL Server 2022 existantes. Aucun changement de rupture n'est introduit qui affecterait la fonctionnalité des applications ou le schéma de la base de données.

Les tests de performance indiquent un impact minimal sur les opérations de la base de données, avec une validation de sécurité améliorée ajoutant moins de 2 % de surcharge aux temps de traitement des requêtes. Les améliorations de sécurité offrent des avantages de protection substantiels qui compensent l'impact minimal sur les performances.

Méthodes de résolution

Correctifs et changements clés

01

Corrige la vulnérabilité d'escalade de privilèges dans SQL Server Database Engine (CVE-2026-0234)

Cette mise à jour renforce les mécanismes de validation des autorisations dans le moteur de base de données SQL Server pour empêcher les utilisateurs authentifiés d'escalader leurs privilèges. La correction implémente des vérifications de sécurité supplémentaires lors de l'évaluation des autorisations et comble les failles qui pourraient être exploitées pour obtenir un accès administratif non autorisé aux instances de base de données.

Remarque : Cette correction s'applique à toutes les éditions de SQL Server 2022, y compris Express, Standard et Enterprise.
02

Résout la vulnérabilité d'exécution de code à distance dans SQL Server Analysis Services (CVE-2026-0235)

La mise à jour corrige une vulnérabilité critique d'exécution de code à distance dans SQL Server Analysis Services en mettant en œuvre une validation appropriée des entrées pour les requêtes MDX et DAX. Cela empêche les attaquants d'exécuter du code arbitraire via des requêtes Analysis Services spécialement conçues. La correction inclut une analyse améliorée des requêtes et des mesures de protection lors de l'exécution.

Important : Les instances d'Analysis Services nécessitent un redémarrage après l'application de cette mise à jour pour garantir que les correctifs de sécurité sont pleinement actifs.
03

Corrige une vulnérabilité de divulgation d'informations dans SQL Server Reporting Services (CVE-2026-0236)

Cette correction de sécurité empêche la divulgation non autorisée d'informations dans SQL Server Reporting Services en mettant en œuvre une désinfection appropriée des données dans la sortie des rapports. La mise à jour garantit que les informations sensibles ne peuvent pas être exposées par des vulnérabilités de rendu de rapport et renforce les contrôles d'accès pour les sources de données des rapports.

04

Atténue la vulnérabilité de déni de service dans SQL Server Database Engine (CVE-2026-0237)

La mise à jour résout une vulnérabilité de déni de service qui pourrait rendre le moteur de base de données SQL Server non réactif lors du traitement de requêtes malformées. La correction met en œuvre une validation améliorée des requêtes et une gestion des ressources pour prévenir les interruptions de service par des instructions SQL spécialement conçues.

05

Met à jour les bibliothèques de sécurité SQL Server et les composants d'authentification

Cette mise à jour inclut des améliorations des bibliothèques de sécurité principales de SQL Server, améliorant les mécanismes d'authentification globaux et les protocoles de chiffrement. Les modifications renforcent la sécurité des connexions, la validation des certificats et la communication sécurisée entre les composants SQL Server et les applications clientes.

Validation

Installation

Installation

KB5089900 est disponible via plusieurs méthodes de déploiement pour les environnements SQL Server 2022 :

Catalogue Microsoft Update

Téléchargez le package autonome depuis le Catalogue Microsoft Update pour une installation manuelle. Le package de mise à jour pèse environ 485 Mo et nécessite des privilèges d'administrateur local pour l'installation.

Services de mise à jour Windows Server (WSUS)

Les environnements d'entreprise peuvent déployer cette mise à jour via l'infrastructure WSUS. La mise à jour apparaîtra dans la catégorie de produit SQL Server et peut être approuvée pour un déploiement ciblé sur les systèmes SQL Server 2022.

Microsoft System Center Configuration Manager (SCCM)

Déployez via la gestion des mises à jour logicielles SCCM pour une installation centralisée sur plusieurs instances SQL Server. Créez des packages de déploiement ciblant les systèmes avec SQL Server 2022 CU24 installé.

Prérequis

  • La mise à jour cumulative 24 de Microsoft SQL Server 2022 doit être installée
  • Privilèges d'administrateur local requis pour l'installation
  • Minimum 1 Go d'espace disque libre sur le lecteur système
  • Tous les services SQL Server doivent être arrêtés avant l'installation

Exigences d'installation

  • Taille du fichier : 485 Mo
  • Redémarrage requis : Oui, redémarrage du système requis après l'installation
  • Temps d'installation : Environ 15-30 minutes selon la configuration du système
  • Architectures prises en charge : x64 uniquement
Si ça ne fonctionne pas

Problèmes connus

Problèmes connus

Les problèmes connus suivants ont été identifiés avec l'installation de KB5089900 :

Échecs d'installation

  • Erreur 0x80070643 : L'installation peut échouer si les services SQL Server sont en cours d'exécution pendant l'installation de la mise à jour. Arrêtez tous les services SQL Server avant d'appliquer la mise à jour.
  • Erreur 0x80070005 : Une erreur d'accès refusé se produit lors de l'installation sans privilèges administratifs. Exécutez l'installateur en tant qu'administrateur.

Problèmes post-installation

  • Redémarrage des services d'analyse requis : Les instances de SQL Server Analysis Services doivent être redémarrées manuellement après l'installation de la mise à jour pour activer les correctifs de sécurité. Le redémarrage automatique peut ne pas se produire dans les environnements en cluster.
  • Configuration des services de rapport : Certaines configurations des services de rapport peuvent nécessiter une reconfiguration après la mise à jour. Vérifiez la fonctionnalité du serveur de rapports après l'installation.
  • Impact sur les performances : Les requêtes initiales de la base de données peuvent subir un léger impact sur les performances immédiatement après l'installation de la mise à jour en raison de la validation de sécurité améliorée. Les performances se normalisent généralement dans les 24 heures.

Solutions de contournement

  • Pour les échecs d'installation, assurez-vous que tous les services SQL Server sont arrêtés et exécutez l'installation avec des privilèges élevés
  • Si les services d'analyse ne démarrent pas après la mise à jour, vérifiez le journal des événements Windows pour des détails d'erreur spécifiques et redémarrez le service manuellement
  • Pour les problèmes des services de rapport, exécutez le Gestionnaire de configuration des services de rapport pour vérifier et réparer la configuration du service

Questions fréquentes

Que résout KB5089900 ?+
KB5089900 résout quatre vulnérabilités de sécurité critiques dans SQL Server 2022 CU24, y compris l'élévation de privilèges (CVE-2026-0234), l'exécution de code à distance dans Analysis Services (CVE-2026-0235), la divulgation d'informations dans Reporting Services (CVE-2026-0236), et le déni de service dans Database Engine (CVE-2026-0237).
Quels systèmes nécessitent KB5089900 ?+
Tous les systèmes exécutant Microsoft SQL Server 2022 Cumulative Update 24 sur une architecture x64 nécessitent cette mise à jour. Cela inclut les éditions Express, Standard, Enterprise et Developer fonctionnant sur Windows Server 2019, 2022, 2025, ou les systèmes d'exploitation clients Windows pris en charge.
KB5089900 est-il une mise à jour de sécurité ?+
Oui, KB5089900 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité dans SQL Server 2022. Elle doit être installée dès que possible pour se protéger contre l'élévation de privilèges, l'exécution de code à distance, la divulgation d'informations et les attaques par déni de service.
Quelles sont les conditions préalables pour KB5089900 ?+
Les prérequis incluent l'installation de SQL Server 2022 CU24, des privilèges d'administrateur local, un espace disque libre minimum de 1 Go, et l'arrêt de tous les services SQL Server avant l'installation. Un redémarrage du système est requis après l'installation pour compléter le processus de mise à jour.
Y a-t-il des problèmes connus avec KB5089900 ?+
Les problèmes connus incluent des échecs d'installation potentiels si les services SQL Server sont en cours d'exécution (erreur 0x80070643), les services d'analyse nécessitant un redémarrage manuel dans les environnements en cluster, et des problèmes possibles de configuration des services de rapport. Des solutions de contournement sont disponibles pour tous les problèmes identifiés.

Références (3)

1
KB5089900 : Mise à jour de sécurité pour SQL Server 2022 CU24Article de support officiel de Microsoft pour la mise à jour de sécurité KB5089900https://support.microsoft.com/en-us/topic/kb5089900-description-of-the-security-update-for-sql-server-2022-cu24-may-12-2026-695c0545-c0d1-4341-bb92-2f1037fe09b2
2
Mises à jour cumulatives de SQL Server 2022Liste complète des mises à jour cumulatives et des correctifs de sécurité pour SQL Server 2022https://learn.microsoft.com/en-us/sql/database-engine/install-windows/latest-updates-for-microsoft-sql-server
3
Meilleures pratiques de sécurité SQL ServerDirectives de sécurité et meilleures pratiques pour les déploiements de SQL Serverhttps://learn.microsoft.com/en-us/sql/relational-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database
Tags
#kb5089900#sql-server-2022#security-update

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecterCréer un compte
Plus d'articles

Articles KB associés

Server room with SQL Server database systems displaying security update installation screens
Security Update
SQL Server

KB5089899 — Mise à jour de sécurité pour SQL Server 2025 CU4

KB5089899 est une mise à jour de sécurité publiée le 12 mai 2026, qui corrige des vulnérabilités critiques dans Microsoft SQL Server 2025 Cumulative Update 4 (CU4) pour les systèmes basés sur x64.

13 mai12 min
Server room displaying SQL Server security update installation on monitoring screens
Security Update
SQL Server 2017

KB5090347 — Mise à jour de sécurité pour SQL Server 2017 GDR

KB5090347 est une mise à jour de sécurité pour SQL Server 2017 GDR publiée le 12 mai 2026, traitant des vulnérabilités critiques dans le moteur de base de données et améliorant la posture de sécurité globale.

13 mai12 min
Data center server rack displaying SQL Server database systems with status indicators
Security Update
SQL Server

KB5090408 — Mise à jour de sécurité pour SQL Server 2019 GDR

KB5090408 est une mise à jour de sécurité publiée le 12 mai 2026, qui corrige des vulnérabilités critiques dans Microsoft SQL Server 2019 pour les systèmes basés sur x64 (branche GDR), y compris des failles d'exécution de code à distance et d'élévation de privilèges.

13 mai12 min