本日は Windows のセキュリティ更新プログラムの提供日となっていましたが、本日はリモートコードの脆弱性対応として SQL Server に対しての更新プログラムの提供も行われています。(脆弱性の例としては CVE-2023-21528 等があります)
SQL Server 2014
- KB5021037 – Description of the security update for SQL Server 2014 SP3 GDR: February 14, 2023 : 12.0.6174.8
- KB5021045 – Description of the security update for SQL Server 2014 SP3 CU4: February 14, 2023 : 12.0.6444.4
SQL Server 2016
- KB5021129 – Description of the security update for SQL Server 2016 SP3 GDR: February 14, 2023 : 13.0.6430.49
SQL Server 2017
- KB5021127 – Description of the security update for SQL Server 2017 GDR: February 14, 2023 : 14.0.2047.8
- KB5021126 – Description of the security update for SQL Server 2017 CU31: February 14, 2023 : 14.0.3460.9
SQL Server 2019
- KB5021125 – Description of the security update for SQL Server 2019 GDR: February 14, 2023 : 15.0.2101.7
- KB5021124 – Description of the security update for SQL Server 2019 CU18: February 14, 2023 : 15.0.4280.7
SQL Server 2022
- KB5021522 – Description of the security update for SQL Server 2022 GDR: February 14, 2023 : 16.0.1050.5
今回の問題は広範囲のバージョンの SQL Server に影響しており、拡張セキュリティ更新プログラム (ESU) で更新プログラムの提供がお壊れている SQL Server 2008 / 2008 R2 / 2012 にも関係するものとなっていたようです。
これにより、ESU によりこれらのバージョンでも ESU による更新プログラムの提供が開始されました。(今まではセキュリティ更新プログラムのリリースはなく、サポートでのメリット教授となっていたのですが、今回更新プログラムの提供を受けることができるようになりました)
ESU による更新プログラムの提供は GDR (General distribution release) の更新プログラムとして提供が行われるようです。
SQL Server 2008 ~ 2012 の KB の番号は次のようになるようですが、投稿時点ではまだ情報は公開されていないようです。
- SQL Server 2008 SP4 向け GDR : KB5020863
- SQL Server 2008 R2 SP3 向け GDR : KB5021112
- SQL Server 2012 SP4 向け GDR : KB5021123
特典で ESU によるセキュリティ更新プログラムを無償で受け取るためには条件がありますので、今回は Azure Stack HCI 上に構築した仮想マシンで検証をしています。
ESU で提供される更新プログラムをサポートする SQL Server のバージョン
現時点では、ESU は 2008 ~ 2012 までが対象となっていますが、更新プログラムの提供を受けることができるのは「最新のサービスパックが適用されているバージョン」となります。
- SQL Server 2008 SP4
- SQL Server 2008 R2 SP3
- SQL Server 2012 SP4
が対象となり、SQL Server 2008 ~ 2012 までを使用していても、これらのサービスパックの適用が行われていない環境では、ESU により入手できる更新プログラムは適用できません。
更新プログラムの入手方法
SQL Server の ESU については、「Azure Arc 対応 SQL Server」経由で入手することになります。
Azure Arc 対応 SQL Server への登録方法については、次のドキュメントで確認することができます。
登録の方法としては、次の 2 種類の方法があります。
- 切断された環境の登録
- 接続された環境の登録
切断された環境の登録
Azure Arc 対応 SQL Server の機能を利用するためには、Azure Arc の拡張機能として、SQL Server 対応のモジュールをインストールし、Azure と通信を行う必要があります。
しかし閉じられたネットワーク内で Azure と通信ができない環境や、Azure Arc をインストールできない環境 (Connected Machine エージェントの前提条件 / Azure Arc 対応 SQL Server の前提条件) については、Arc に接続をすることができません。
このような環境は、環境にモジュールをインストールしない「切断された環境」として Azure Arc 対応 SQL Server に登録を行うことができます。(Azure Arc の機能は使用せず、SQL Server 向けの登録のみを行う利用形態)
Azure Arc Enabled SQL Server のモジュールのインストールは SQL Server 2012 以降となるため、SQL Server 2008 / R2 で ESU によるセキュリティ更新プログラムを導入するためには切断された環境として登録を行う必要があります。
登録方法については ESU 用に切断された SQL Server インスタンスを登録する から確認することができます。
ESU についてのチェックボックスを有効にすることで、ESU の対象として登録が行われます。
切断された環境は、Arc の機能は利用せず、ESU だけ提供を受けるか形式となりますので、次の画像のように ESU 以外の機能はグレーアウトした状態となります。(現状、日本語表示のポータルでは Updates / SQL Server Version が表示されないため、表示を正常に行うためには英語表示にする必要があります)
Downloads からモジュールをダウンロードすることができますので、ダウンロードしたモジュールを適用することで ESU の修正プログラムの適用が完了します。
実際に SQL Server 2008 R2 に適用した環境が以下になるのですが、SP3 GDR として KB5021112 が適用されていることが確認できますね。
接続された環境の登録
接続された環境の登録は、Azure Arc 対応サーバー並びに Azure Arc 対応 SQL Server をインストールすることで Azure に接続を行うことで登録が行われます。
Azure Arc 対応 SQL Server の接続された環境の登録については、次の情報から確認することができます。
この利用方法の場合、接続を行っただけでは ESU は有効にならず、ESU を有効にして登録する方法は現状提供されていません。
ESU を有効にする鵜場合は、次の手順で登録を行います。
- Azure Arc 対応 SQL Server として Azure Arc に登録
- ESU 請求書を登録済みサーバーにリンクする の作業を実施し、請求書情報をリンクする
- ESU を特典で利用する場合、請求書番号には InvoiceNotNeeded を指定します
- これにより、ESU を使用するために必要なタグが Arc のリソースに設定されます
これにより、ESU が利用可能な接続された環境として登録を行うことができます。
先ほどの画面は英語表記だったのですべての情報が表示されていますが、投稿時点だと、日本語表示だと次のように更新 / SQL Server のバージョンの情報が表示されません。
以降の作業は切断された環境と同一となります。モジュールをダウンロードして適用対象にインストールを行います。
SQL Server 2012 にインストールした環境が以下になるのですが、SP4 GDR として KB5021123となっていることが確認できます。
まとめ
今まで ESU によるセキュリティ更新プログラムは、Windows OS のみ提供されており、SQL Server については情報としては適用方法が公開されていたのですが、実際に検証することはできませんでした。
今回各バージョン向けの GDR が提供されたことで、どのように SQL Server に適用するのかを確認することができるようになり、運用方法を実際に検証することが可能となりました。