セキュリティ

SECURITY

公開：2024-11-20

【CVE-2024-49021】Microsoft SQL Server 2016-2022に遠隔コード実行の脆弱性、複数バージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Microsoft SQL Serverに遠隔コード実行の脆弱性
• 複数バージョンのSQL Serverが影響を受ける
• CVSSスコア7.8の高リスク脆弱性

Microsoft SQL Server 2016-2022の遠隔コード実行の脆弱性

MicrosoftはSQL Server 2016から2022までの複数バージョンに影響を与える遠隔コード実行の脆弱性【CVE-2024-49021】を2024年11月12日に公開した。この脆弱性はUse After Free（CWE-416）に分類され、CVSSスコア7.8の高リスク脆弱性として評価されている。^[1]

影響を受けるバージョンには、SQL Server 2016 Service Pack 3からSQL Server 2022までの広範なバージョンが含まれており、特にx64ベースシステム上で動作するインスタンスが対象となっている。攻撃には特権は不要だが、ユーザーの介在が必要とされており、システムへの影響は深刻だ。

MicrosoftはSQL Server 2016 Service Pack 3では13.0.6455.2、SQL Server 2017では14.0.2070.1、SQL Server 2019では15.0.2130.3、SQL Server 2022では16.0.1135.2など、各バージョンに対するパッチを提供している。システム管理者は速やかにパッチの適用を行う必要がある。

Microsoft SQL Serverの脆弱性情報まとめ

Use After Freeについて

Use After Free（UAF）とは、既に解放されたメモリ領域に対してアクセスを試みることで発生する脆弱性の一種である。主な特徴として以下のような点が挙げられる。

• 解放済みメモリへの不正アクセスによる問題
• システムのクラッシュや任意のコード実行の可能性
• メモリ管理の不備により発生する脆弱性

SQL Server上でこの脆弱性が悪用された場合、攻撃者によってシステム上で任意のコードが実行される可能性がある。CVSSスコア7.8の評価は、この脆弱性の攻撃による影響が機密性・完全性・可用性のすべてにおいて高いレベルであることを示している。

SQL Serverの脆弱性に関する考察

Microsoft SQL Serverの脆弱性が多くのバージョンに影響を与えている点は、企業のデータベースセキュリティにとって重大な課題となっている。データベース管理者は速やかにパッチを適用する必要があるが、本番環境への影響を考慮すると、適切なテスト期間の確保と計画的なアップデートの実施が求められるだろう。

今後はSQL Serverのセキュリティ強化に加えて、脆弱性の早期発見と修正のプロセスの効率化が重要となってくる。特にメモリ管理に関する問題は深刻な影響をもたらす可能性があるため、開発段階での静的解析ツールの活用や、定期的なセキュリティ監査の実施が望まれる。

また、クラウドネイティブな環境への移行が進む中、コンテナ化されたSQL Serverインスタンスのセキュリティ対策も新たな課題として浮上している。マイクロソフトには、従来型の運用とクラウドネイティブな運用の両方に対応した包括的なセキュリティソリューションの提供が期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-49021, (参照 24-11-20).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧