浮雲雅築: [研究]SQL Server Management Studio(SSMS) 20.2 不升級到 SSMS 20.2.1 會有安全性問題 ?

[研究]SQL Server Management Studio(SSMS) 20.2 不升級到 SSMS 20.2.1 會有安全性問題 ?

2025-10-21

SQL Server Management Studio （SSMS） 20 的版本資訊
2025/07/03
https://learn.microsoft.com/zh-tw/ssms/release-notes-20
20.2.1 (發行日期：2025年4月8日) 修補 Visual Studio Tools for Applications 2019 的 CVE-2025-29803 弱點

CVE-2025-29803
Visual Studio Tools for Applications and SQL Server Management Studio Elevation of Privilege Vulnerability
VSTA 與 SSMS 特權提升漏洞
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-29803
https://www.cvedetails.com/cve/CVE-2025-29803/
https://nvd.nist.gov/vuln/detail/CVE-2025-29803

SSMS畫面的說明有一點特別

如果您已安裝 SSMS 20.2 或舊版，則安裝 SSMS 20.2.1 並不會更新現有的 VSTA 檔案。如果安全或漏洞追蹤應用程式指出，從較早期的 20.x 更新至 SSMS 20.2.1 後系統依然有危險，您可以安裝最新的 Microsoft Visual Studio Tools for Applications 2019 來更新 VSTA。

Microsoft Visual Studio Tools for Applications 2019
https://www.microsoft.com/zh-tw/download/details.aspx?id=58317

也就是說，必須安裝 SSMS 20.2.1 和最新版 Microsoft Visual Studio Tools for Applications 2019 才能真正解決CVE-2025-29803問題。

********************************************************************************

註：根據這篇

[研究]SSMS 20.2.1 的 VSTA 2019 需要線上安裝

https://shaurong.blogspot.com/2025/11/ssms-2021-vsta-2019.html

VSTA 2019 安裝需要連上 Intenet，進行線上安裝，無法離線安裝。

********************************************************************************

實際測試，Windows Server 2019繁體中文標準版安裝後，先把 VM 做快照

不安裝 SQL Server，直接安裝 SSMS 20.2，可以看到順便安裝了

Microsoft Visual Studio Tools for Applications 2019 v16.0.31110版。

下圖，不移除 SSMS 20.2，直接安裝 SSMS 20.2.1，它不會升級 VSTA

再安裝最新版 VSTA，從16.0.31110版變成16.0.35907版

********************************************************************************

VM快照復原，直接安裝 SSMS 20.2.1版，VSTA會安裝16.0.35907版

********************************************************************************

VM快照復原，安裝 SSMS 20.2版，僅移除 SSMS 20.2，保留 VSTA，

再安裝 SSMS 20.2.1，會保留 VSTA 沒有升級。

********************************************************************************

也就是說，

(1) SSMS如果發現電腦沒有 VSTA，會安裝 16.0.35907。

(2) SSMS如果發現電腦有 VSTA 16.0.31110，不會升級，可能怕有軟體需要舊版的 VSTA 16.0.31110。

********************************************************************************

(完)

相關

[研究]SSMS 20.2.1 的 VSTA 2019 需要線上安裝

https://shaurong.blogspot.com/2025/11/ssms-2021-vsta-2019.html

[研究]SQL Server Management Studio(SSMS) 20.2 不升級到 SSMS 20.2.1 會有安全性問題 ?

https://shaurong.blogspot.com/2025/10/sql-server-management-studiossms-202.html

[研究]SQL Server Update 會更新 SQL Server Management Studio (SSMS) ? 如果 SSMS 20.2 沒更新到 20.2.1 ，何時會通知 ?

https://shaurong.blogspot.com/2025/10/sql-server-update-sql-server-management.html

浮雲雅築

2025年10月21日星期二

[研究]SQL Server Management Studio(SSMS) 20.2 不升級到 SSMS 20.2.1 會有安全性問題 ?

沒有留言:

張貼留言

2025年10月21日 星期二

[研究]SQL Server Management Studio(SSMS) 20.2 不升級到 SSMS 20.2.1 會有 安全性問題 ?

沒有留言:

張貼留言

2025年10月21日星期二

[研究]SQL Server Management Studio(SSMS) 20.2 不升級到 SSMS 20.2.1 會有安全性問題 ?