MS SQL Server - дело тонкое...
314 subscribers
3 photos
14 files
821 links
Статьи и переводы для SQL Server DBA. Любое цитирование, копирование, публикация от своего имени, кража, плагиат, перепродажа, нажива и подобное по отношению ко всем данным и текстам этого блога авторами не возбраняется и в грех вменяемо не будет.
Download Telegram
Новая уязвимость в системе безопасности: Microsoft SQL Server Elevation of Privilege Vulnerability CVE-2025-49759 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49759
Что известно об уязвимости CVE-2025-49759
Тип уязвимости: Повышение привилегий (Elevation of Privilege) в Microsoft SQL Server

Дата патча: Обновления были выпущены 12 августа 2025 года в рамках регулярного «Patch Tuesday» от Microsoft

Контекст обновления:

В августовском патче было закрыто от 107 до 111 уязвимостей (зависит от источника), из них 44–40 — это уязвимости повышения привилегий

Информация уточняет, что таких уязвимостей очень много, и CVE-2025-49759 входит в их число

Приоритет и наличие активной угрозы: Судя по доступным источникам, для CVE-2025-49759 не сообщалось о подтверждённых эксплойтах или публичном раскрытии до релиза патча. Тем не менее, учитывая её категорию — EoP — она требует внимания и своевременного обновления
Сеансы событий с привязкой к времени https://learn.microsoft.com/ru-ru/sql/relational-databases/extended-events/sql-server-extended-events-sessions?view=sql-server-ver17#time-bound-event-sessions
Начиная с предварительной версии SQL Server 2025 (17.x), можно создать сеанс событий, который останавливается автоматически после истечения указанного времени. Это помогает избежать ситуаций, когда сеансы могут выполняться неограниченное время по ошибке, потребляя ресурсы и потенциально создавая большой объем данных.

Если данные событий, созданные сеансом, объемны, сеансы событий с привязкой к времени помогают записывать небольшие целевые диагностические данные в течение определенного периода времени. Сеанс событий, привязанный к времени, можно запустить вручную или использовать запланированное задание во время выбора и гарантировать, что сеанс не будет выполняться на неопределенный срок.

Чтобы сделать интервал времени сеанса событий, укажите MAX_DURATION аргумент при создании или изменении сеанса. Дополнительные сведения см. в разделе CREATE EVENT SESSION и ALTER EVENT SESSION.

Как и любой сеанс событий, можно остановить сеанс с привязкой к времени до истечения максимального срока действия с помощью инструкции ALTER EVENT SESSION ... STATE = STOP . Если сеанс запускается снова, весь период времени, указанный в MAX_DURATION запросе, должен снова пройти, прежде чем сеанс будет остановлен автоматически.

Вы также можете изменить существующий сеанс событий с помощью и ALTER EVENT SESSION указать другое максимальное время длительности или удалить его, указав MAX_DURATION = UNLIMITEDего. Чтобы изменить MAX_DURATION параметр, сеанс должен быть остановлен.

Если сеанс событий привязан к времени, max_duration столбец в представлении каталога sys.server_event_sessions показывает максимальную длительность сеанса в секундах. Сеанс событий имеет неограниченное время, если значение равно нулю.
Улучшения Columnstore-индексов в SQL Server 2025 https://mssqlforever.blogspot.com/2025/08/columnstore-sql-server-2025.html