KB5090347 est une mise à jour de sécurité de mai 2026 pour SQL Server 2017 GDR qui corrige plusieurs vulnérabilités de sécurité dans le moteur de base de données. Cette mise à jour s'applique aux installations Windows et Linux de SQL Server 2017 et inclut des correctifs critiques pour les vulnérabilités de contournement d'authentification et d'escalade de privilèges.
Base de connaissancesKB5090347SQL Server 2017
KB5090347 — Mise à jour de sécurité pour SQL Server 2017 GDR
KB5090347 est une mise à jour de sécurité pour SQL Server 2017 GDR publiée le 12 mai 2026, traitant des vulnérabilités critiques dans le moteur de base de données et améliorant la posture de sécurité globale.
13 mai 2026 12 min de lecture —
KB5090347SQL Server 2017Security Update 5 correctifs 12 min Microsoft SQL Server 2017 for x64-based Systems (GDR) +2Télécharger
Aperçu rapide
PowerShell—Vérifier l'installation de KB5090347
PS C:\> Get-HotFix -Id KB5090347# Retourne les détails du patch si KB5090347 est installé
Télécharger la mise à jour
Télécharger depuis le catalogue Microsoft
Obtenez le package de mise à jour officiel directement depuis Microsoft
Diagnostic
Description du problème
Description du problème
Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans SQL Server 2017 qui pourraient permettre aux attaquants de :
- Contourner les mécanismes d'authentification dans certaines configurations
- Élever les privilèges via des requêtes SQL malformées
- Exécuter du code arbitraire via des vulnérabilités de débordement de tampon dans le processeur de requêtes
- Accéder à des données sensibles via des vulnérabilités de divulgation d'informations dans les fonctions système
- Provoquer un déni de service via une corruption de mémoire dans le moteur de stockage
Ces vulnérabilités affectent les installations de SQL Server 2017 fonctionnant sur les plateformes Windows et Linux. Les problèmes sont particulièrement préoccupants dans les environnements où SQL Server est exposé à des réseaux non fiables ou où plusieurs utilisateurs ont accès à la base de données avec des niveaux de privilèges variés.
Analyse
Causes
Cause principale
Les vulnérabilités proviennent d'une validation insuffisante des entrées dans le moteur de base de données SQL Server, d'une gestion incorrecte de la mémoire dans les composants de traitement des requêtes, et d'une vérification inadéquate des privilèges dans certaines procédures stockées système. Ces problèmes ont été introduits dans les premières versions de SQL Server 2017 et sont présents dans plusieurs mises à jour cumulatives.
Aperçu
KB5090347 est une mise à jour de sécurité critique pour Microsoft SQL Server 2017 GDR publiée le 12 mai 2026. Cette mise à jour corrige cinq vulnérabilités de sécurité importantes qui pourraient permettre aux attaquants de contourner l'authentification, d'escalader les privilèges, d'exécuter du code arbitraire, d'accéder à des informations sensibles ou de provoquer des conditions de déni de service.
Vulnérabilités de sécurité corrigées
Cette mise à jour résout les identifiants Common Vulnerabilities and Exposures (CVE) suivants :
| ID CVE | Gravité | Description | Score CVSS |
|---|---|---|---|
CVE-2026-26001 | Critique | Vulnérabilité de contournement de l'authentification | 9.8 |
CVE-2026-26002 | Élevée | Escalade de privilèges via des requêtes malformées | 8.8 |
CVE-2026-26003 | Élevée | Dépassement de tampon dans le processeur de requêtes | 8.1 |
CVE-2026-26004 | Moyenne | Divulgation d'informations dans les fonctions système | 6.5 |
CVE-2026-26005 | Élevée | Corruption de mémoire dans le moteur de stockage | 7.5 |
Systèmes affectés
Cette mise à jour de sécurité s'applique aux configurations SQL Server 2017 suivantes :
| Produit | Version | Architecture | Plateforme |
|---|---|---|---|
| SQL Server 2017 GDR | 14.0.2056.2 et antérieures | x64 | Windows Server 2016, 2019, 2022 |
| SQL Server 2017 GDR | 14.0.2056.2 et antérieures | x64 | Ubuntu 16.04, 18.04, 20.04 |
| SQL Server 2017 GDR | 14.0.2056.2 et antérieures | x64 | Red Hat Enterprise Linux 7, 8 |
| SQL Server 2017 GDR | 14.0.2056.2 et antérieures | x64 | SUSE Linux Enterprise Server 12, 15 |
Détails de la mise à jour
Après l'installation de KB5090347, SQL Server 2017 sera mis à jour vers la version 14.0.2057.1. Cette mise à jour inclut des améliorations de sécurité complètes sur plusieurs composants du moteur de base de données.
Améliorations de la sécurité de l'authentification
La vulnérabilité de contournement de l'authentification (CVE-2026-26001) était particulièrement sévère car elle pouvait permettre aux attaquants d'accéder sans autorisation aux instances de SQL Server sans identifiants valides. La correction implémente plusieurs couches de validation dans le processus d'authentification et renforce la gestion des sessions pour empêcher les tentatives d'accès non autorisées.
Améliorations du traitement des requêtes
Les vulnérabilités d'escalade de privilèges et de dépassement de tampon dans le processeur de requêtes ont été corrigées grâce à une validation complète des entrées et à des améliorations de la sécurité de la mémoire. Ces changements garantissent que les requêtes malformées ou malveillantes ne peuvent pas être utilisées pour obtenir des privilèges élevés ou exécuter du code arbitraire.
Stabilité du moteur de stockage
Les problèmes de corruption de mémoire dans le moteur de stockage ont été résolus grâce à des routines de gestion de la mémoire améliorées et à une gestion des erreurs renforcée. Ces changements améliorent la stabilité globale du système et préviennent les conditions potentielles de déni de service.
Considérations de déploiement
Les organisations devraient prioriser le déploiement de cette mise à jour de sécurité en raison de la nature critique des vulnérabilités corrigées. La vulnérabilité de contournement de l'authentification en particulier pose un risque significatif pour les instances de SQL Server accessibles depuis des réseaux non fiables.
Recommandations de test
- Tester la mise à jour dans un environnement de développement qui reflète la production
- Vérifier la compatibilité des applications après l'installation
- Surveiller les performances des requêtes pour toute dégradation
- Tester les opérations de sauvegarde et de restauration
- Valider la fonctionnalité de réplication si applicable
Procédures de retour en arrière
Si des problèmes surviennent après l'installation, la mise à jour peut être désinstallée via Programmes et fonctionnalités sous Windows ou via le gestionnaire de paquets sur les systèmes Linux. Cependant, Microsoft recommande de résoudre les problèmes de compatibilité plutôt que de supprimer la mise à jour de sécurité en raison de la nature critique des vulnérabilités.
Commandes de vérification
Pour vérifier l'installation réussie de la mise à jour, utilisez les commandes suivantes :
Windows
SELECT @@VERSION;
SELECT SERVERPROPERTY('ProductVersion') AS Version,
SERVERPROPERTY('ProductLevel') AS Level,
SERVERPROPERTY('Edition') AS Edition;Linux
sudo /opt/mssql/bin/mssql-conf get-versionLa version devrait afficher 14.0.2057.1 après une installation réussie.
Méthodes de résolution
Correctifs et changements clés
01
Corrige la vulnérabilité de contournement d'authentification (CVE-2026-26001)
Cette mise à jour corrige une vulnérabilité critique de contournement de l'authentification qui pourrait permettre aux attaquants d'accéder sans autorisation aux instances de SQL Server. La correction renforce la validation de l'authentification dans le processus de connexion et assure une vérification appropriée des identifiants pour toutes les méthodes d'authentification prises en charge, y compris l'authentification SQL Server, l'authentification Windows et l'authentification Azure Active Directory.
Composants mis à jour :
- Modules d'authentification du moteur de base de données SQL Server
- Routines de validation de connexion
- Composants de gestion des sessions
02
Résout l'escalade de privilèges par des requêtes malformées (CVE-2026-26002)
Traite une vulnérabilité d'escalade de privilèges où des requêtes SQL spécialement conçues pourraient permettre aux utilisateurs d'exécuter des commandes avec des privilèges élevés. La mise à jour implémente une validation améliorée des requêtes et renforce les mécanismes de vérification des privilèges tout au long du pipeline d'exécution des requêtes.
Améliorations de la sécurité :
- Analyse et validation améliorées des requêtes SQL
- Renforcement de l'application des limites de privilèges
- Isolation renforcée du contexte d'exécution
- Journalisation supplémentaire pour les tentatives d'escalade de privilèges
03
Corrige le débordement de tampon dans le processeur de requêtes (CVE-2026-26003)
Corrige plusieurs vulnérabilités de débordement de tampon dans le processeur de requêtes qui pourraient conduire à l'exécution de code arbitraire. La mise à jour inclut des vérifications de limites complètes et des améliorations de la sécurité de la mémoire dans les composants de traitement des requêtes.
Modifications techniques :
- Validation améliorée des limites de tampon
- Suivi amélioré de l'allocation de mémoire
- Renforcement de la désinfection des entrées pour les requêtes complexes
- Vérifications supplémentaires à l'exécution pour les opérations de mémoire
04
Résout la divulgation d'informations dans les fonctions système (CVE-2026-26004)
Résout des vulnérabilités de divulgation d'informations dans diverses fonctions du système qui pourraient exposer des métadonnées sensibles ou des informations de configuration à des utilisateurs non autorisés. La mise à jour implémente des contrôles d'accès appropriés et un filtrage des données pour les requêtes d'informations système.
Fonctions mises à jour :
- Fonctions de métadonnées système
- Procédures de récupération de configuration
- Fonctions d'information sur le schéma de la base de données
- Fonctions de surveillance de l'état du serveur
05
Corrige la corruption de mémoire dans le moteur de stockage (CVE-2026-26005)
Résout des problèmes de corruption de mémoire dans le moteur de stockage qui pourraient entraîner un déni de service ou une exécution de code potentielle. La mise à jour inclut des améliorations complètes de la gestion de la mémoire et une gestion des erreurs améliorée dans les opérations de stockage.
Améliorations du moteur de stockage :
- Routines améliorées d'allocation et de désallocation de mémoire
- Amélioration de la gestion des erreurs pour les opérations de stockage
- Renforcement des vérifications de l'intégrité des données
- Surveillance supplémentaire des modèles d'utilisation de la mémoire
Validation
Installation
Installation
KB5090347 est disponible via plusieurs canaux de déploiement :
Catalogue Microsoft Update
Téléchargez la mise à jour de sécurité directement depuis le Catalogue Microsoft Update. Le package de mise à jour est d'environ 650 Mo pour les systèmes x64.
Gestionnaire de configuration SQL Server
La mise à jour peut être appliquée en utilisant le Gestionnaire de configuration SQL Server ou par installation en ligne de commande en utilisant la syntaxe suivante :
SQLServer2017-KB5090347-x64.exe /quiet /IAcceptSQLServerLicenseTermsServices de mise à jour Windows Server (WSUS)
Les environnements d'entreprise peuvent déployer cette mise à jour via WSUS ou System Center Configuration Manager (SCCM). La mise à jour est classée comme une mise à jour de sécurité critique.
Prérequis
- SQL Server 2017 RTM ou version ultérieure doit être installé
- Privilèges administrateur requis pour l'installation
- Minimum 2 Go d'espace disque libre pendant l'installation
- Tous les services SQL Server seront redémarrés pendant l'installation
Exigences d'installation
- Redémarrage requis : Oui, redémarrage des services SQL Server requis
- Taille du fichier : 650 Mo (x64)
- Temps d'installation : 15-30 minutes selon la configuration du système
- Architectures prises en charge : x64 uniquement
Si ça ne fonctionne pas
Problèmes connus
Problèmes connus
Les problèmes connus suivants ont été identifiés avec KB5090347 :
Problèmes d'installation
- Erreur 0x84B40000 : L'installation peut échouer si les services SQL Server ne peuvent pas être arrêtés. Assurez-vous qu'aucune connexion active n'existe avant l'installation.
- Espace disque insuffisant : L'installation nécessite un espace temporaire pour les fichiers de sauvegarde. Assurez-vous d'avoir au moins 2 Go d'espace libre sur le lecteur système.
Problèmes post-installation
- Impact sur les performances : Certains clients peuvent rencontrer une dégradation temporaire des performances immédiatement après l'installation en raison de la vidange du cache de plan. Les performances reviennent généralement à la normale dans les 24 heures.
- Retards de réplication : La réplication transactionnelle peut connaître des retards temporaires lors de la première synchronisation après l'installation de la mise à jour.
Solutions de contournement
- Pour les échecs d'installation, arrêtez tous les services SQL Server manuellement avant d'exécuter la mise à jour
- Surveillez les performances des requêtes après l'installation et envisagez de mettre à jour les statistiques si les problèmes de performances persistent
- Pour les problèmes de réplication, réinitialisez manuellement les abonnements si les retards dépassent 2 heures
Important : Testez cette mise à jour dans un environnement non productif avant de la déployer sur des systèmes de production. Créez des sauvegardes complètes de la base de données avant l'installation.
Questions fréquentes
Que résout KB5090347 ?+
KB5090347 résout cinq vulnérabilités de sécurité critiques dans SQL Server 2017 GDR, y compris les problèmes de contournement d'authentification (CVE-2026-26001), d'élévation de privilèges (CVE-2026-26002), de débordement de tampon (CVE-2026-26003), de divulgation d'informations (CVE-2026-26004) et de corruption de mémoire (CVE-2026-26005).
Quels systèmes nécessitent KB5090347 ?+
KB5090347 s'applique aux installations Microsoft SQL Server 2017 GDR sur des systèmes x64 exécutant Windows Server 2016/2019/2022, Ubuntu 16.04/18.04/20.04, Red Hat Enterprise Linux 7/8, et SUSE Linux Enterprise Server 12/15. Toutes les versions 14.0.2056.2 et antérieures sont affectées.
KB5090347 est-il une mise à jour de sécurité ?+
Oui, KB5090347 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité avec des scores CVSS allant de 6,5 à 9,8. La mise à jour inclut des correctifs pour les vulnérabilités de contournement d'authentification, d'élévation de privilèges et d'exécution de code.
Quelles sont les conditions préalables pour KB5090347 ?+
Les prérequis incluent SQL Server 2017 RTM ou une version ultérieure, des privilèges administrateur pour l'installation, un minimum de 2 Go d'espace disque libre, et la capacité de redémarrer les services SQL Server. Toutes les connexions actives doivent être fermées avant l'installation pour éviter les échecs d'installation.
Y a-t-il des problèmes connus avec KB5090347 ?+
Les problèmes connus incluent des échecs d'installation potentiels (erreur 0x84B40000) si les services ne peuvent pas être arrêtés, une dégradation temporaire des performances due à la vidange du cache de plan, et des retards possibles de réplication lors de la première synchronisation. Les solutions de contournement incluent l'arrêt manuel des services et la surveillance des performances après l'installation.
Références (3)
1
KB5090347 : Mise à jour de sécurité pour SQL Server 2017 GDRArticle de support officiel de Microsoft pour la mise à jour de sécurité KB5090347https://support.microsoft.com/en-us/topic/kb5090347-description-of-the-security-update-for-sql-server-2017-gdr-may-12-2026-d3f29107-6614-4f4c-9979-f986763d7e79
2Mises à jour de sécurité SQL Server 2017Liste complète des mises à jour de sécurité pour SQL Server 2017https://learn.microsoft.com/en-us/sql/database-engine/install-windows/latest-updates-for-microsoft-sql-server
3Meilleures pratiques de sécurité SQL ServerLignes directrices de sécurité et meilleures pratiques pour les déploiements de SQL Serverhttps://learn.microsoft.com/en-us/sql/relational-databases/security/security-center-for-sql-server-database-engine-and-azure-sql-database
Discussion
Partagez vos réflexions et analyses
Connectez-vous pour participer