Boletín de seguridad de Microsoft MS16-136: importante
Actualización de seguridad para SQL Server (3199641)
Publicado: 8 de noviembre de 2016
Versión: 1.0
Resumen ejecutivo
Esta actualización de seguridad resuelve vulnerabilidades en Microsoft SQL Server. Las vulnerabilidades más graves podrían permitir que un atacante obtenga privilegios elevados que se puedan usar para ver, cambiar o eliminar datos; o bien cree cuentas nuevas. La actualización de seguridad aborda estas vulnerabilidades más graves mediante la corrección del modo en que SQL Server controla la conversión de punteros.
Esta actualización de seguridad es importante para las ediciones compatibles de Microsoft SQL Server 2012 Service Packs 2 y 3, Microsoft SQL Server 2014 Service Packs 1 y 2 y Microsoft SQL Server 2016. Para obtener más información, consulte la sección Software afectado.
Para obtener más información sobre las vulnerabilidades, consulte la sección Información de vulnerabilidades.
Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3199641.
Software afectado
Se ha probado el siguiente software para determinar qué versiones o ediciones se ven afectadas. Otras versiones o ediciones han pasado su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
Software afectado
Preguntas más frecuentes sobre la actualización
Hay actualizaciones de GDR o CU (actualización acumulativa) que se ofrecen para mi versión de SQL Server. Cómo saber qué actualización se va a usar?
En primer lugar, determine el número de versión de SQL Server. Para obtener más información sobre cómo determinar el número de versión de SQL Server, consulte el artículo 321185 de Microsoft Knowledge Base.
En segundo lugar, en la tabla siguiente, busque el número de versión o el intervalo de versiones en el que se encuentra el número de versión. La actualización correspondiente es la que necesita instalar.
Nota Si el número de versión de SQL Server no está representado en la tabla siguiente, ya no se admite la versión de SQL Server. Actualice al producto Service Pack o SQL Server más reciente para aplicar estas actualizaciones de seguridad y futuras.
| Número de actualización | Título | Aplicar si la versión actual del producto es... | Esta actualización de seguridad también incluye versiones de mantenimiento hasta... |
|---|---|---|---|
| 3194719 | MS16-136: Descripción de la actualización de seguridad de SQL Server 2012 SP2 GDR: 8 de noviembre de 2016 | 11.0.5058.0 - 11.0.5387.0 | MS15-058 |
| 3194725 | MS16-136: Descripción de la actualización de seguridad para SQL Server 2012 SP2 CU: 8 de noviembre de 2016 | 11.0.5500.0 - 11.0.5675.0 | SQL Server 2012 SP2 CU15 |
| 3194721 | MS16-136: Descripción de la actualización de seguridad para SQL Server 2012 Service Pack 3 GDR: 8 de noviembre de 2016 | 11.0.6020.0 - 11.0.6247.0 | SQL Server 2012 SP3 |
| 3194724 | MS16-136: Descripción de la actualización de seguridad para SQL Server 2012 Service Pack 3 CU: 8 de noviembre de 2016 | 11.0.6300.0 - 11.0.6566.0 | SQL Server 2012 SP3 CU6 |
| 3194720 | MS16-136: Descripción de la actualización de seguridad para SQL Server 2014 Service Pack 1 GDR: 8 de noviembre de 2016 | 12.0.4100.0 - 12.0.4231.0 | Actualización importante para SQL Server 2014 SP1 (KB3070446) |
| 3194722 | MS16-136: Descripción de la actualización de seguridad para SQL Server 2014 Service Pack 1 CU: 8 de noviembre de 2016 | 12.0.4400.0 - 12.0.4486.0 | SQL Server 2014 SP1 CU9 |
| 3194714 | MS16-136: Descripción de la actualización de seguridad para SQL Server 2014 Service Pack 2 GDR: 8 de noviembre de 2016 | 12.0.5000.0 - 12.0.5202.0 | SQL Server 2014 SP2 |
| 3194718 | MS16-136: Descripción de la actualización de seguridad para SQL Server 2014 Service Pack 2 CU: 8 de noviembre de 2016 | 12.0.5400.0 - 12.0.5531.0 | SQL Server 2014 SP2 CU2 |
| 3194716 | MS16-136: Descripción de la actualización de seguridad de SQL Server 2016 GDR: 8 de noviembre de 2016 | 13.0.1605.0 - 13.0.1721.0 | Actualización crítica para SQL Server 2016 Analysis Services (KB3179258) |
| 3194717 | MS16-136: Descripción de la actualización de seguridad para SQL Server 2016 CU: 8 de noviembre de 2016 | 13.0.2100.0 - 13.0.2182.0 | SQL Server 2016 CU3 |
Para obtener instrucciones de instalación adicionales, consulte la subsección Información de actualización de seguridad de la edición de SQL Server en la sección Información de actualización.
¿Cuáles son las designaciones de actualización de GDR y CU y cómo difieren?
Las designaciones de versión de distribución general (GDR) y actualización acumulativa (CU) corresponden a las dos ramas de mantenimiento de actualizaciones diferentes en su lugar para SQL Server. La diferencia principal entre los dos es que las ramas de CU incluyen acumulativamente todas las actualizaciones de una línea base determinada, mientras que las ramas de GDR solo incluyen actualizaciones críticas acumulativas para una línea base determinada. Una línea base puede ser la versión inicial de RTM o un Service Pack.
Para cualquier línea base determinada, las actualizaciones de la rama GDR o CU son opciones si se encuentra en la línea base o solo han instalado una actualización de GDR anterior para esa línea de base. La rama CU es la única opción si ha instalado una CU de SQL Server anterior para la línea base en la que está.
¿Se ofrecerán estas actualizaciones de seguridad a los clústeres de SQL Server?
Sí. Las actualizaciones también se ofrecerán a las instancias de SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 y SQL Server 2016 RTM agrupadas. Novedades para clústeres de SQL Server requerirán interacción del usuario.
Si SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 y el clúster de SQL Server 2016 RTM tiene un nodo pasivo, para reducir el tiempo de inactividad, Microsoft recomienda examinar y aplicar la actualización al nodo inactivo primero, examinarlo y aplicarlo al nodo activo. Cuando todos los componentes se hayan actualizado en todos los nodos, ya no se ofrecerá la actualización.
¿Se pueden aplicar las actualizaciones de seguridad a instancias de SQL Server en Windows Azure (IaaS)?
Sí. Las instancias de SQL Server en Windows Azure (IaaS) se pueden ofrecer las actualizaciones de seguridad a través de Microsoft Update, o los clientes pueden descargar las actualizaciones de seguridad del Centro de descarga de Microsoft y aplicarlas manualmente.
Clasificaciones de gravedad e identificadores de vulnerabilidad
Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad e impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de noviembre.
| Clasificación de gravedad de vulnerabilidad y impacto máximo en la seguridad por parte del software afectado | ||||||
|---|---|---|---|---|---|---|
| Software afectado | Vulnerabilidad de EoP del motor RDBMS de SQL: CVE-2016-7249 | Vulnerabilidad de EoP del motor RDBMS de SQL: CVE-2016-7250 | Vulnerabilidad de EoP del motor RDBMS de SQL: CVE-2016-7254 | Vulnerabilidad de LA API XSS de MDS: CVE-2016-7251 | Vulnerabilidad de divulgación de información de SQL Analysis Services: CVE-2016-7252 | Agente SQL Server vulnerabilidad de elevación de privilegios: CVE-2016-7253 |
| SQL Server 2012 Service Pack 2 | ||||||
| Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 | No aplicable | No aplicable | Elevación importante de privilegios | No aplicable | No aplicable | Elevación importante de privilegios |
| Microsoft SQL Server 2012 para sistemas basados en x64 Service Pack 2 | No aplicable | No aplicable | Elevación importante de privilegios | No aplicable | No aplicable | Elevación importante de privilegios |
| SQL Server 2012 Service Pack 3 | ||||||
| Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 3 | No aplicable | No aplicable | Elevación importante de privilegios | No aplicable | No aplicable | Elevación importante de privilegios |
| Microsoft SQL Server 2012 para sistemas basados en x64 Service Pack 3 | No aplicable | No aplicable | Elevación importante de privilegios | No aplicable | No aplicable | Elevación importante de privilegios |
| SQL Server 2014 Service Pack 1 | ||||||
| Microsoft SQL Server 2014 Service Pack 1 para sistemas de 32 bits | No aplicable | Elevación importante de privilegios | No aplicable | No disponible | No aplicable | Elevación importante de privilegios |
| Microsoft SQL Server 2014 Service Pack 1 para sistemas basados en x64 | No aplicable | Elevación importante de privilegios | No aplicable | No disponible | No aplicable | Elevación importante de privilegios |
| SQL Server 2014 Service Pack 2 | ||||||
| Microsoft SQL Server 2014 Service Pack 2 para sistemas de 32 bits | No aplicable | Elevación importante de privilegios | No aplicable | No disponible | No aplicable | Elevación importante de privilegios |
| Microsoft SQL Server 2014 Service Pack 2 para sistemas basados en x64 | No aplicable | Elevación importante de privilegios | No aplicable | No disponible | No aplicable | Elevación importante de privilegios |
| SQL Server 2016 | ||||||
| Microsoft SQL Server 2016 para sistemas basados en x64 | Elevación importante de privilegios | Elevación importante de privilegios | No aplicable | Elevación importante de privilegios | Importante \ Divulgación de información | No aplicable |
Información de vulnerabilidad
Varias vulnerabilidades de elevación de privilegios del motor RDBMS de SQL
Existen vulnerabilidades de elevación de privilegios en Microsoft SQL Server cuando controla incorrectamente la conversión de punteros. Un atacante podría aprovechar las vulnerabilidades si sus credenciales permiten el acceso a una base de datos de SQL Server afectada. Un atacante que aprovechara correctamente las vulnerabilidades podría obtener privilegios elevados que se podrían usar para ver, cambiar o eliminar datos; o bien cree cuentas nuevas.
La actualización de seguridad aborda las vulnerabilidades mediante la corrección del modo en que SQL Server controla la conversión de punteros.
La tabla siguiente contiene vínculos a la entrada estándar para cada vulnerabilidad de la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de elevación de privilegios del motor RDBMS de SQL | CVE-2016-7249 | No | No |
| Vulnerabilidad de elevación de privilegios del motor RDBMS de SQL | CVE-2016-7250 | No | No |
| Vulnerabilidad de elevación de privilegios del motor RDBMS de SQL | CVE-2016-7254 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para estas vulnerabilidades.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para estas vulnerabilidades.
Vulnerabilidad de XSS de LA API de MDS: CVE-2016-7251
Existe una vulnerabilidad de elevación de privilegios XSS en SQL Server MDS que podría permitir que un atacante inserte un script del lado cliente en la instancia del usuario de Internet Explorer. La vulnerabilidad se produce cuando SQL Server MDS no valida correctamente un parámetro de solicitud en el sitio de SQL Server. El script podría suplantar contenido, revelar información o realizar cualquier acción que el usuario pudiera realizar en el sitio en nombre del usuario de destino.
La actualización de seguridad aborda la vulnerabilidad mediante la corrección de cómo SQL Server MDS valida el parámetro de solicitud.
La tabla siguiente contiene un vínculo a la entrada estándar de la vulnerabilidad en la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de LA API XSS de MDS | CVE-2016-7251 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Vulnerabilidad de divulgación de información de SQL Analysis Services: CVE-2016-7252
Existe una vulnerabilidad de divulgación de información en Microsoft SQL Analysis Services cuando comprueba incorrectamente la ruta de acceso de FILESTREAM. Un atacante podría aprovechar la vulnerabilidad si sus credenciales permiten el acceso a una base de datos de SQL Server afectada. Un atacante que aprovechara correctamente la vulnerabilidad podría obtener información adicional sobre la base de datos y el archivo.
La actualización de seguridad aborda la vulnerabilidad mediante la corrección del modo en que SQL Server controla la ruta de acceso de FILESTREAM.
La tabla siguiente contiene un vínculo a la entrada estándar de la vulnerabilidad en la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Vulnerabilidad de divulgación de información de SQL Analysis Services | CVE-2016-7252 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Agente SQL Server vulnerabilidad de elevación de privilegios: CVE-2016-7253
Existe una vulnerabilidad de elevación de privilegios en el motor de Microsoft SQL Server cuando el Agente SQL Server comprueba incorrectamente las ACL en atxcore.dll. Un atacante podría aprovechar la vulnerabilidad si sus credenciales permiten el acceso a una base de datos de SQL Server afectada. Un atacante que aprovechara correctamente la vulnerabilidad podría obtener privilegios elevados que se podrían usar para ver, cambiar o eliminar datos; o bien cree cuentas nuevas.
La actualización de seguridad aborda la vulnerabilidad mediante la corrección del modo en que el motor de SQL Server controla las ACL.
La tabla siguiente contiene un vínculo a la entrada estándar de la vulnerabilidad en la lista Vulnerabilidades comunes y exposiciones:
| Título de vulnerabilidad | Número cve | Divulgado públicamente | Explotados |
|---|---|---|---|
| Agente SQL Server vulnerabilidad de elevación de privilegios | CVE-2016-7253 | No | No |
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (8 de noviembre de 2016): Boletín publicado.
Página generada 2016-11-09 08:02-08:00.