Freigeben über


Microsoft Security Bulletin MS15-058 - Wichtig

Sicherheitsrisiken in SQL Server können Remotecodeausführung zulassen (3065718)

Veröffentlicht: 14. Juli 2015 | Aktualisiert: 9. Dezember 2015

Version: 1.2

Kurzfassung

Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft SQL Server. Die schwerwiegendsten Sicherheitsrisiken könnten remotecodeausführung zulassen, wenn ein authentifizierter Angreifer eine speziell gestaltete Abfrage ausführt, die für die Ausführung einer virtuellen Funktion aus einer falschen Adresse konzipiert ist, was zu einem Funktionsaufruf zu nicht initialisiertem Speicher führt. Um diese Sicherheitsanfälligkeit auszunutzen, benötigt ein Angreifer Berechtigungen zum Erstellen oder Ändern einer Datenbank.

Dieses Sicherheitsupdate ist für unterstützte Editionen von Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2012 und Microsoft SQL Server 2014 wichtig. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie SQL Server interne Funktionsaufrufe und Zeiger casting verarbeitet. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3065718.

Betroffene Software

Die folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen oder Editionen liegen entweder über ihren Supportlebenszyklus oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Betroffene Software 

DDR-Softwareupdates QFE-Softwareupdates Maximale Sicherheitswirkung Bewertung des aggregierten Schweregrads Ersetzte Updates
SQL Server 2008 Service Pack 3
Microsoft SQL Server 2008 für 32-Bit-Systeme Service Pack 3 (3045305) Microsoft SQL Server 2008 für 32-Bit-Systeme Service Pack 3 (3045303) Remoteausführung von Code Wichtig Keine
Microsoft SQL Server 2008 für x64-basierte Systeme Service Pack 3 (3045305) Microsoft SQL Server 2008 für x64-basierte Systeme Service Pack 3 (3045303) Remoteausführung von Code Wichtig Keine
Microsoft SQL Server 2008 für Itanium-basierte Systeme Service Pack 3 (3045305) Microsoft SQL Server 2008 für Itanium-basierte Systeme Service Pack 3 (3045303) Remoteausführung von Code Wichtig Keine
SQL Server 2008 Service Pack 4
Microsoft SQL Server 2008 für 32-Bit-Systeme Service Pack 4 (3045311) Microsoft SQL Server 2008 für 32-Bit-Systeme Service Pack 4 (3045308) Remoteausführung von Code Wichtig Keine
Microsoft SQL Server 2008 für x64-basierte Systeme Service Pack 4 (3045311) Microsoft SQL Server 2008 für x64-basierte Systeme Service Pack 4 (3045308) Remoteausführung von Code Wichtig Keine
SQL Server 2008 R2 Service Pack 2
Microsoft SQL Server 2008 R2 für 32-Bit-Systeme Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 für 32-Bit-Systeme Service Pack 2 (3045312) Remoteausführung von Code Wichtig Keine
Microsoft SQL Server 2008 R2 für x64-basierte Systeme Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 für x64-basierte Systeme Service Pack 2 (3045312) Remoteausführung von Code Wichtig Keine
Microsoft SQL Server 2008 R2 für Itanium-basierte Systeme Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 für Itanium-basierte Systeme Service Pack 2 (3045312) Remoteausführung von Code Wichtig Keine
SQL Server 2008 R2 Service Pack 3
Microsoft SQL Server 2008 R2 für 32-Bit-Systeme Service Pack 3 (3045316) Microsoft SQL Server 2008 R2 für 32-Bit-Systeme Service Pack 3 (3045314) Remoteausführung von Code Wichtig Keine
Microsoft SQL Server 2008 R2 für x64-basierte Systeme Service Pack 3 (3045316) Microsoft SQL Server 2008 R2 für x64-basierte Systeme Service Pack 3 (3045314) Remoteausführung von Code Wichtig Keine
SQL Server 2012 Service Pack 1
Microsoft SQL Server 2012 für 32-Bit-Systeme Service Pack 1 (3045318) Microsoft SQL Server 2012 für 32-Bit-Systeme Service Pack 1 (3045317) Remoteausführung von Code Wichtig Keine
Microsoft SQL Server 2012 für x64-basierte Systeme Service Pack 1 (3045318) Microsoft SQL Server 2012 für x64-basierte Systeme Service Pack 1 (3045317) Remoteausführung von Code Wichtig Keine
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 für 32-Bit-Systeme Service Pack 2 (3045321) Microsoft SQL Server 2012 für 32-Bit-Systeme Service Pack 2 (3045319) Remoteausführung von Code Wichtig Keine
Microsoft SQL Server 2012 für x64-basierte Systeme Service Pack 2 (3045321) Microsoft SQL Server 2012 für x64-basierte Systeme Service Pack 2 (3045319) Remoteausführung von Code Wichtig Keine
SQL Server 2014
Microsoft SQL Server 2014 für 32-Bit-Systeme (3045324) Microsoft SQL Server 2014 für 32-Bit-Systeme (3045323) Remoteausführung von Code Wichtig Keine
Microsoft SQL Server 2014 für x64-basierte Systeme (3045324) Microsoft SQL Server 2014 für x64-basierte Systeme (3045323) Remoteausführung von Code Wichtig Keine

Häufig gestellte Fragen zum Aktualisieren

Es gibt DDR- und/oder QFE-Updates für meine Version von SQL Server. Gewusst wie wissen, welches Update verwendet werden soll?
Ermitteln Sie zunächst Die SQL Server-Versionsnummer. Weitere Informationen zum Ermitteln der SQL Server-Versionsnummer finden Sie im Microsoft Knowledge Base-Artikel 321185.

Suchen Sie in der nachstehenden Tabelle ihre Versionsnummer oder den Versionsbereich, in den Ihre Versionsnummer fällt. Das entsprechende Update ist das, das Sie installieren müssen.

Hinweis : Wenn ihre SQL Server-Versionsnummer in der folgenden Tabelle nicht dargestellt wird, wird Ihre SQL Server-Version nicht mehr unterstützt. Aktualisieren Sie bitte auf das neueste Service Pack- oder SQL Server-Produkt, um diese und zukünftige Sicherheitsupdates anzuwenden.

Updatenummer Titel Übernehmen, wenn die aktuelle Produktversion lautet... Dieses Sicherheitsupdate umfasst auch Wartungsversionen bis...
3045305 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2008 Service Pack 3 DDR: 14. Juli 2015 10.00.5500.00 oder 10.00.5520.00 2008 SP3 DDR (MS14-044)
3045303 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2008 Service Pack 3 QFE: 14. Juli 2015 10.00.5750. - 10.00.5869.00 2008 SP3 CU17
3045311 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2008 Service Pack 4 DDR: 14. Juli 2015 10.0.6000.29 2008 SP4
3045308 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2008 Service Pack 4 QFE: 14. Juli 2015 10.0.6500.00 - 10.0.6526.0 2008 SP4
3045313 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2008 R2 Service Pack 2 DDR: 14. Juli 2015 10.50.4000.0 oder 10.50.4033.0 2008 R2 SP2 DDR (MS14-044)
3045312 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2008 R2 Service Pack 2 QFE: 14. Juli 2015 10.50.4251.0 - 10.50.4331.0 2008 R2 SP2 CU13
3045316 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2008 R2 Service Pack 3 DDR: 14. Juli 2015 10.50.6000.34 2008 R2 SP3
3045314 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2008 R2 Service Pack 3 QFE: 14. Juli 2015 10.50.6500.0 - 10.50.6525.0 2008 R2 SP3
3045318 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2012 SP1 DDR: 14. Juli 2015 11.0.3000.0 oder 11.0.3153.0 2012 SP1 DDR (MS14-044)
3045317 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2012 SP1 QFE: 14. Juli 2015 11.0.3300.0 - 11.0.3492.0 2012 SP1 CU16
3045321 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2012 Service Pack 2 DDR: 14. Juli 2015 11.0.5058.0 2012 SP2
3045319 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2012 Service Pack 2 QFE: 14. Juli 2015 11.0.5500.0 - 11.0.5592.0 2012 SP2 CU6
3045324 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2014 DDR: 14. Juli 2015 12.0.2000.8 oder 12.0.2254.0 2014 RTM DDR (MS14-044)
3045323 MS15-058: Beschreibung des Sicherheitsupdates für SQL Server 2014 QFE: 14. Juli 2015 12.0.2300.0 - 12.0.2546.0 2014 RTM CU8
3070446 MS15-058: Beschreibung des nicht sicherheitsrelevanten Updates für SQL Server 2014 Service Pack 1 DDR: 14. Juli 2015 12.0.4100.1 2014 SP1

Hinweis Für die DDR-Verzweigung wird nach dem Anwenden des Updates die Skriptausführung des Datenbankupgrades nicht angezeigt. Dies ist das erwartete Verhalten, da der Patch nur die Binärdateien ersetzt.

Weitere Installationsanweisungen finden Sie im Unterabschnitt "Sicherheitsupdateinformationen" für Ihre SQL Server-Edition im Abschnitt "Updateinformation ".

Was sind die DDR- und QFE-Aktualisierungsbezeichnungen und wie unterscheiden sie sich?
Die Bezeichnungen General Distribution Release (DDR) und Quick Fix Engineering (QFE) entsprechen den beiden verschiedenen Update-Servicing Branches für SQL Server. Der Hauptunterschied zwischen den beiden Besteht darin, dass QFE-Zweige alle Updates kumulativ enthalten, während DDR-Verzweigungen nur Sicherheitsupdates für einen bestimmten Basisplan enthalten. Ein Basisplan kann die ursprüngliche RTM-Version oder ein Service Pack sein.

Für einen bestimmten Basisplan sind entweder die DDR- oder QFE-Branch-Updates Optionen, wenn Sie sich am Basisplan befinden oder ein vorheriges DDR-Update für diesen Basisplan installiert haben. Die QFE-Verzweigung ist die einzige Option, wenn Sie einen vorherigen QFE für den Basisplan installiert haben, auf dem Sie sich befinden.

Werden diese Sicherheitsupdates SQL Server-Clustern angeboten? 
Ja. Die Updates werden auch für SQL Server 2008-, SQL Server 2008 R2-, SQL Server 2012- und SQL Server 2014-Instanzen angeboten, die gruppiert sind. Updates für SQL Server-Cluster erfordern eine Benutzerinteraktion.

Wenn der SQL Server 2008-, SQL Server 2008 R2-, SQL Server 2012- oder SQL Server 2014-Cluster einen passiven Knoten aufweist, um Ausfallzeiten zu reduzieren, empfiehlt Microsoft, zuerst das Update auf den inaktiven Knoten zu überprüfen und auf den aktiven Knoten anzuwenden. Wenn alle Komponenten auf allen Knoten aktualisiert wurden, wird das Update nicht mehr angeboten.

Können die Sicherheitsupdates auf SQL Server-Instanzen unter Windows Azure (IaaS) angewendet werden?
Ja. SQL Server-Instanzen unter Windows Azure (IaaS) können die Sicherheitsupdates über Microsoft Update angeboten werden, oder Kunden können die Sicherheitsupdates aus dem Microsoft Download Center herunterladen und manuell anwenden.

Enthält dieses Sicherheitsupdate keine sicherheitsrelevanten Änderungen an Funktionen?
Ja. Zusätzlich zu den sicherheitsrelevanten Änderungen, die im Abschnitt "Sicherheitsrisikendetails" dieses Bulletins erläutert werden, enthält das Sicherheitsupdate auch einige wichtige nicht sicherheitsrelevante Fixes. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3065718.

Ich verwende Microsoft SQL Server 2014 Service Pack 1, das nicht als betroffene Software aufgeführt ist. Warum wird mir ein Update angeboten?
Microsoft SQL Server 2014 Service Pack 1 ist nicht von den in diesem Bulletin erläuterten Sicherheitsrisiken betroffen, unterliegt jedoch einem wichtigen, nicht sicherheitsrelevanten Fix, der mit diesem Sicherheitsupdate veröffentlicht wird. Daher werden Kunden, die den DDR-Zweig von Microsoft SQL Server 2014 Service Pack 1 ausführen, nicht sicherheitsrelevante Updates 3070446 angeboten. Eine allgemeine Beschreibung des nicht sicherheitsrelevanten Updates finden Sie im Microsoft Knowledge Base-Artikel 3070446. Weitere Informationen zum nicht sicherheitsrelevanten Fix finden Sie im Microsoft Knowledge Base-Artikel 3067257.

Schweregradbewertungen und Sicherheitslücken-IDs

Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, finden Sie im Bulletinzusammenfassung vom Juli den Exploitability Index.

Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software
Betroffene Software Sicherheitsanfälligkeit in SQL Server bezüglich Rechteerweiterungen – CVE-2015-1761 Sicherheitsanfälligkeit in SQL Server bezüglich Remotecodeausführung – CVE-2015-1762 Sicherheitsanfälligkeit in SQL Server bezüglich Remotecodeausführung – CVE-2015-1763 Bewertung des aggregierten Schweregrads
SQL Server 2008 Service Pack 3
Microsoft SQL Server 2008 für 32-Bit-Systeme Service Pack 3 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
Microsoft SQL Server 2008 für x64-basierte Systeme Service Pack 3 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
Microsoft SQL Server 2008 für Itanium-basierte Systeme Service Pack 3 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
SQL Server 2008 Service Pack 4
Microsoft SQL Server 2008 für 32-Bit-Systeme Service Pack 4 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
Microsoft SQL Server 2008 für x64-basierte Systeme Service Pack 4 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
SQL Server 2008 R2 Service Pack 2
Microsoft SQL Server 2008 R2 für 32-Bit-Systeme Service Pack 2 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
Microsoft SQL Server 2008 R2 für x64-basierte Systeme Service Pack 2 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
Microsoft SQL Server 2008 R2 für Itanium-basierte Systeme Service Pack 2 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
SQL Server 2008 R2 Service Pack 3
Microsoft SQL Server 2008 R2 für 32-Bit-Systeme Service Pack 3 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
Microsoft SQL Server 2008 R2 für x64-basierte Systeme Service Pack 3 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
SQL Server 2012 Service Pack 1
Microsoft SQL Server 2012 für 32-Bit-Systeme Service Pack 1 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
Microsoft SQL Server 2012 für x64-basierte Systeme Service Pack 1 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 für 32-Bit-Systeme Service Pack 2 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
Microsoft SQL Server 2012 für x64-basierte Systeme Service Pack 2 Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
SQL Server 2014
Microsoft SQL Server 2014 für 32-Bit-Systeme Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig
Microsoft SQL Server 2014 für x64-basierte Systeme Wichtige Rechteerweiterung Wichtige Remotecodeausführung Wichtige Remotecodeausführung Wichtig

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in SQL Server bezüglich Rechteerweiterungen – CVE-2015-1761

Eine Sicherheitslücke zur Erhöhung von Berechtigungen ist in Microsoft SQL Server vorhanden, wenn sie Zeiger nicht ordnungsgemäß in eine falsche Klasse wandelt. Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, wenn ihre Anmeldeinformationen den Zugriff auf eine betroffene SQL Server-Datenbank ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte erhöhte Berechtigungen erhalten, die zum Anzeigen, Ändern oder Löschen von Daten verwendet werden können; oder erstellen Sie neue Konten.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie SQL Server zeiger casting verarbeitet.

Microsoft hat Informationen über die Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Mildernde Faktoren

Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:

  • Erfordert Berechtigungen zum Erstellen oder Ändern von Datenbankschemas oder -daten
    Um diese Sicherheitsanfälligkeit auszunutzen, benötigt ein Angreifer Berechtigungen zum Erstellen oder Ändern einer Datenbank.

Problemumgehungen

Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:

  • Einschränken von Berechtigungen für den Server für die Datenbank- und Schemaerstellung
    Da die Sicherheitsanfälligkeit nur im Kontext sehr spezifischer Datenbankschemas, Daten und Abfragen ausnutzbar ist, kann die Ausbeutung verhindert werden, indem streng kontrolliert wird, wer über Berechtigungen zum Erstellen von Datenbanken und Schemas auf dem Server verfügt. Beachten Sie, dass die Sicherheitsanfälligkeit in sehr spezifischen Edgefällen offengelegt wird; Es ist äußerst schwierig, das Schema und die Abfrage zu definieren, die die Sicherheitsanfälligkeit offenlegen würde.

    Zusätzliche Anleitung: Im unwahrscheinlichen Fall, dass SQL Server während einer bestimmten Abfrageausführung einen Zugriffsfehler /Datenausführungsverhinderungsfehler verursacht, schreiben Sie die Abfrage neu, indem Sie sie in Teile aufteilen und/oder Abfragehinweise hinzufügen.

Sicherheitsanfälligkeit in SQL Server bezüglich Remotecodeausführung – CVE-2015-1762

Eine Sicherheitslücke zur Remotecodeausführung ist in Microsoft SQL Server vorhanden, wenn sie interne Funktionsaufrufe für nicht initialisierte Arbeitsspeicher falsch verarbeitet. Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, wenn ein privilegierter Benutzer eine speziell gestaltete Abfrage auf einem betroffenen SQL-Server ausführt, der spezielle Berechtigungseinstellungen (z. B. VIEW SERVER STATE) aktiviert hat. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie SQL Server interne Funktionsaufrufe an nicht initialisierte Arbeitsspeicher verarbeitet.

Microsoft hat Informationen über die Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Mildernde Faktoren

Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:

  • Erfordert eine bestimmte Konfiguration
    Um diese Sicherheitsrisikotransplikation auszunutzen, muss die Transaktionsreplikation aktiviert sein, und der Angreifer muss spezielle Berechtigungseinstellungen (z. B. VIEW SERVER STATE) aktiviert haben.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Sicherheitsanfälligkeit in SQL Server bezüglich Remotecodeausführung – CVE-2015-1763

Eine authentifizierte Sicherheitsanfälligkeit in Microsoft SQL Server zur Remotecodeausführung ist vorhanden, wenn sie interne Funktionsaufrufe an nicht initialisiertem Arbeitsspeicher falsch verarbeitet. Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, wenn ein privilegierter Benutzer eine speziell gestaltete Abfrage ausführt, die darauf ausgelegt ist, eine virtuelle Funktion aus einer falschen Adresse auszuführen, was zu einem Funktionsaufruf zu nicht initialisiertem Arbeitsspeicher führt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie SQL Server interne Funktionsaufrufe an nicht initialisierte Arbeitsspeicher verarbeitet.

Microsoft hat Informationen über die Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:

  • Einschränken von Berechtigungen für den Server für die Datenbank- und Schemaerstellung
    Da die Sicherheitsanfälligkeit nur im Kontext sehr spezifischer Datenbankschemas, Daten und Abfragen ausnutzbar ist, kann die Ausbeutung verhindert werden, indem streng kontrolliert wird, wer über Berechtigungen zum Erstellen von Datenbanken und Schemas auf dem Server verfügt. Beachten Sie, dass die Sicherheitsanfälligkeit in sehr spezifischen Edgefällen offengelegt wird; Es ist äußerst schwierig, das Schema und die Abfrage zu definieren, die die Sicherheitsanfälligkeit offenlegen würde.

    Zusätzliche Anleitung: Im unwahrscheinlichen Fall, dass SQL Server während einer bestimmten Abfrageausführung einen Zugriffsfehler /Datenausführungsverhinderungsfehler verursacht, schreiben Sie die Abfrage neu, indem Sie sie in Teile aufteilen und/oder Abfragehinweise hinzufügen.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (14. Juli 2015): Bulletin veröffentlicht.
  • V1.1 (22. Juli 2015): Bulletin überarbeitet, um den Abschnitt "Häufig gestellte Fragen zum Aktualisieren" zu verbessern, damit Kunden das richtige Update leichter identifizieren können, das auf einer aktuell installierten Version von SQL Server angewendet werden soll. Dies ist nur eine Informationsänderung. Kunden, die das Update bereits erfolgreich installiert haben, müssen keine Maßnahmen ergreifen.
  • V1.2 (9. Dezember 2015): Bulletin überarbeitet, um die Produktversionsleitfaden im Abschnitt "Häufig gestellte Fragen zu Aktualisieren" zu verdeutlichen, indem sie ihn an den Anleitungen in früheren Versionen ausrichten. Dies ist nur eine Informationsänderung. Kunden, die das Update bereits erfolgreich installiert haben, müssen keine Maßnahmen ergreifen.

Seite generiert 2015-12-09 11:11Z-08:00.