Bulletin de sécurité Microsoft MS14-044 - Important
Des vulnérabilités dans SQL Server pourraient permettre une élévation de privilèges (2984340)
Date de publication : 12 août 2014 | Date de mise à jour : 13 août 2014
Version : 1.1
Informations générales
Synthèse
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft SQL Server (l'une dans SQL Server Master Data Services et l'autre dans le système de gestion de base de données relationnelle de SQL Server). La plus grave de ces vulnérabilités, qui affecte SQL Server Master Data Services, pourrait permettre une élévation de privilèges si un utilisateur visitait un site Web spécialement conçu qui injecte un script côté client dans l'instance d'Internet Explorer de l'utilisateur. Dans tous les cas, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il devrait l'inciter à prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message instantané qui mène à son site ou en ouvrant une pièce jointe à un message électronique.
Cette mise à jour de sécurité est de niveau « important » pour les éditions en cours de support de Microsoft SQL Server 2008 Service Pack 3, Microsoft SQL Server 2008 R2 Service Pack 2 et Microsoft SQL Server 2012 Service Pack 1 ; elle est également de niveau « important » pour Microsoft SQL Server 2014 pour systèmes x64. Pour plus d'informations, consultez la section « Logiciels concernés et non concernés ».
Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la façon dont SQL Master Data Services (MDS) encode la sortie et dont SQL Server traite les requêtes T-SQL. Pour obtenir plus d'informations sur ces vulnérabilités, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité dans ce même Bulletin.
Recommandation. La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, consultez l'Article 294871 de la Base de connaissances Microsoft. Pour les clients chez lesquels les mises à jour automatiques ne sont pas activées, les étapes de l'article « Activer ou désactiver les mises à jour automatiques » peuvent être utilisées pour activer les mises à jour automatiques. Remarque : Dans certains scénarios, les clients qui utilisent Microsoft SQL Server Master Data Service (MDS) peuvent ne pas réussir à obtenir cette mise à jour via les mises à jour automatiques. Consultez la section « Problèmes connus » de l'Article 2969894 de la Base de connaissances Microsoft pour obtenir plus d'informations et connaître les étapes des solutions de contournement.
Pour les administrateurs et les installations d'entreprise ou pour les utilisateurs souhaitant installer cette mise à jour de sécurité manuellement (y compris les clients chez lesquels les mises à jour automatiques ne sont pas activées), Microsoft recommande à ses clients d'appliquer cette mise à jour dès que possible à l'aide d'un logiciel de gestion des mises à jour ou en recherchant les mises à jour à l'aide du service Microsoft Update. Les mises à jour sont également disponibles via les liens de téléchargement du tableau « Logiciels concernés » dans ce même Bulletin.
Consultez également la section « Outils de détection, de déploiement et Conseils » dans ce même Bulletin.
Article de la Base de connaissances
- Articles de la Base de connaissances : 2984340, 2977315
- Informations sur les fichiers : Oui
- Mots de passe hachés SHA1/SHA2 : Oui
- Problèmes connus : Oui
Logiciels concernés et non concernés
Microsoft a testé les logiciels suivants afin de déterminer quelles versions ou éditions sont concernées. Toute autre version ou édition a soit atteint la fin de son cycle de vie ou bien n'est pas affectée. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.
Logiciels concernés
| **Mises à jour logicielles « General Distribution Release » - GDR** | **Mises à jour logicielles « Quick Fix Engineering » - QFE** | **Impact de sécurité maximal** | **Indice de gravité cumulée** | **Mises à jour remplacées** |
| **SQL Server 2008** | ||||
| [Microsoft SQL Server 2008 pour systèmes 32 bits Service Pack 3](http://www.microsoft.com/downloads/details.aspx?familyid=a66b4bc8-e2ec-4283-a38f-060dd483f816) (2977321) | [Microsoft SQL Server 2008 pour systèmes 32 bits Service Pack 3](http://www.microsoft.com/downloads/details.aspx?familyid=fc734fdb-84a1-4856-b05e-064897546f31) (2977322) | Déni de service | Important | GDR (General Distribution Release) : 2977321 remplace 2716436 dans le Bulletin [MS12-070](http://go.microsoft.com/fwlink/?linkid=263997) QFE (Quick Fix Engineering) : 2977322 remplace 2716435 dans le Bulletin [MS12-070](http://go.microsoft.com/fwlink/?linkid=263997) |
| [Microsoft SQL Server 2008 pour systèmes x64 Service Pack 3](http://www.microsoft.com/downloads/details.aspx?familyid=a66b4bc8-e2ec-4283-a38f-060dd483f816) (2977321) | [Microsoft SQL Server 2008 pour systèmes x64 Service Pack 3](http://www.microsoft.com/downloads/details.aspx?familyid=fc734fdb-84a1-4856-b05e-064897546f31) (2977322) | Déni de service | Important | GDR (General Distribution Release) : 2977321 remplace 2716436 dans le Bulletin [MS12-070](http://go.microsoft.com/fwlink/?linkid=263997) QFE (Quick Fix Engineering) : 2977322 remplace 2716435 dans le Bulletin [MS12-070](http://go.microsoft.com/fwlink/?linkid=263997) |
| [Microsoft SQL Server 2008 pour systèmes Itanium Service Pack 3](http://www.microsoft.com/downloads/details.aspx?familyid=a66b4bc8-e2ec-4283-a38f-060dd483f816) (2977321) | [Microsoft SQL Server 2008 pour systèmes Itanium Service Pack 3](http://www.microsoft.com/downloads/details.aspx?familyid=fc734fdb-84a1-4856-b05e-064897546f31) (2977322) | Déni de service | Important | GDR (General Distribution Release) : 2977321 remplace 2716436 dans le Bulletin [MS12-070](http://go.microsoft.com/fwlink/?linkid=263997) QFE (Quick Fix Engineering) : 2977322 remplace 2716435 dans le Bulletin [MS12-070](http://go.microsoft.com/fwlink/?linkid=263997) |
| **SQL Server 2008 R2** | ||||
| [Microsoft SQL Server 2008 R2 pour systèmes 32 bits Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=a2b49e80-d124-4fc5-9862-412991094edc) (2977320) | [Microsoft SQL Server 2008 R2 pour systèmes 32 bits Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=d6896ae8-b1a8-49cf-b15f-a6bc5b952750) (2977319) | Déni de service | Important | Aucun |
| [Microsoft SQL Server 2008 R2 pour systèmes x64 Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=a2b49e80-d124-4fc5-9862-412991094edc) (2977320) | [Microsoft SQL Server 2008 R2 pour systèmes x64 Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=d6896ae8-b1a8-49cf-b15f-a6bc5b952750) (2977319) | Déni de service | Important | Aucun |
| [Microsoft SQL Server 2008 R2 pour systèmes Itanium Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=a2b49e80-d124-4fc5-9862-412991094edc) (2977320) | [Microsoft SQL Server 2008 R2 pour systèmes Itanium Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=d6896ae8-b1a8-49cf-b15f-a6bc5b952750) (2977319) | Déni de service | Important | Aucun |
| **SQL Server 2012** | ||||
| [Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 1](http://www.microsoft.com/downloads/details.aspx?familyid=6c318774-3f0f-4775-9a20-e52719aded5f) (2977326) | [Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 1](http://www.microsoft.com/downloads/details.aspx?familyid=7362e4ec-a44c-4cac-a2b6-83e89c6acf18) (2977325) | Déni de service | Important | Aucun |
| [Microsoft SQL Server 2012 pour systèmes x64 Service Pack 1](http://www.microsoft.com/downloads/details.aspx?familyid=6c318774-3f0f-4775-9a20-e52719aded5f) (2977326) | [Microsoft SQL Server 2012 pour systèmes x64 Service Pack 1](http://www.microsoft.com/downloads/details.aspx?familyid=7362e4ec-a44c-4cac-a2b6-83e89c6acf18) (2977325) | Élévation de privilèges | Important | Aucun |
| **SQL Server 2014** | ||||
| [Microsoft SQL Server 2014 pour systèmes x64](http://www.microsoft.com/downloads/details.aspx?familyid=54e8b816-4396-41a8-8c55-cba2322adc11) (2977315) | [Microsoft SQL Server 2014 pour systèmes x64](http://www.microsoft.com/downloads/details.aspx?familyid=85b1fe7a-c589-45cf-a786-a429061778c8) (2977316) | Élévation de privilèges | Important | Aucun |
Logiciels non concernés
| Système d'exploitation |
| Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 4 |
| Microsoft SQL Server 2005 Express Edition Service Pack 4 |
| Microsoft SQL Server 2005 pour systèmes 32 bits Service Pack 4 |
| Microsoft SQL Server 2005 pour systèmes x64 Service Pack 4 |
| Microsoft SQL Server 2005 pour systèmes Itanium Service Pack 4 |
| Microsoft SQL Server Management Studio Express (SSMSE) 2005 |
| Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 2 |
| Microsoft SQL Server 2012 pour systèmes x64 Service Pack 2 |
| Microsoft SQL Server 2014 pour systèmes 32 bits |
| Microsoft Data Engine (MSDE) 1.0 |
| Microsoft Data Engine (MSDE) 1.0 Service Pack 4 |
| Microsoft Data Engine 1.0 |
| **Versions de SQL Server** | |
| **10.00.5500-10.00.5512** | **10.00.5750-10.00.5867** |
| **Mise à jour de SQL Server** | |
| SQL Server 2008 Service Pack 3 GDR (2977321) | SQL Server 2008 Service Pack 3 QFE (2977322) |
| **Versions de SQL Server** | |
| **10. 50.4000-10.50.4017** | **10.50.4251-10.50.4319** |
| **Mise à jour de SQL Server** | |
| SQL Server 2008 R2 Service Pack 2 GDR (2977320) | SQL Server 2008 R2 Service Pack 2 QFE (2977319) |
| **Versions de SQL Server** | |
| **11.0.3000-11.0.3129** | **11.0.3300-11.0.3447** |
| **Mise à jour de SQL Server** | |
| SQL Server 2012 Service Pack 1 GDR (2977326) | SQL Server 2012 Service Pack 1 QFE (2977325) |
| **12.0.2000 et versions ultérieures** | |
| **12.0.2000.8 et versions ultérieures** | **12.0.2300-12.0.2370** |
| **Mise à jour de SQL Server** | |
| SQL Server 2014 GDR (2977315) | SQL Server 2014 QFE (2977316) |
Ces mises à jour de sécurité seront-elles proposées aux clusters SQL Server ?
Oui. Ces mises à jour seront également proposées aux instances de SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 et SQL Server 2014 en clusters. Les mises à jour pour les clusters SQL Server nécessiteront une action de l'utilisateur.
Si le cluster SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 ou SQL Server 2014 possède un nœud passif, afin de réduire les temps morts, Microsoft recommande que vous analysiez et appliquiez d'abord la mise à jour sur le nœud passif, puis l'analysiez et l'appliquiez sur le nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée.
Les mises à jour de sécurité peuvent-elles être appliquées aux instances de SQL Server sur Windows Azure (IaaS) ?
Oui. Les instances de SQL Server sur Windows Azure (IaaS) peuvent obtenir les mises à jour de sécurité via Microsoft Update ou les clients peuvent télécharger les mises à jour de sécurité depuis le Centre de téléchargement Microsoft et les appliquer manuellement.
J'utilise une version antérieure du logiciel décrit dans ce Bulletin de sécurité. Que dois-je faire ?
Microsoft a testé les logiciels répertoriés dans ce bulletin afin de déterminer quelles versions sont concernées. Les autres versions ont atteint la fin de leurs cycles de vie. Pour plus d'informations sur le cycle de vie des produits, visitez le site Web Politique de Support Microsoft.
Les clients qui utilisent une version antérieure de ces logiciels doivent prioritairement passer à une version en cours de support, afin de prévenir leur exposition potentielle aux vulnérabilités. Consultez le site Web Politique de Support Microsoft afin de connaître les modalités de support de la version de votre logiciel. Pour plus d'informations à propos des Service Packs pour ces versions logicielles, consultez la page Politique de support relative aux Service Packs.
Les clients nécessitant un support supplémentaire pour des logiciels plus anciens doivent prendre contact avec leur responsable de compte Microsoft, leur responsable technique de compte ou le partenaire Microsoft approprié pour connaître les options de support personnalisé. Les clients ne bénéficiant pas d'un Contrat Alliance, Premier ou Authorized peuvent appeler leur agence commerciale locale Microsoft. Pour obtenir des informations de contact, visitez le site Web Microsoft Worldwide Information, sélectionnez le pays dans la liste Informations de contact, puis cliquez sur Go pour afficher une liste de numéros de téléphone. Lorsque vous appelez, demandez à parler au directeur commercial local de Support Premier. Pour plus d'informations, consultez le Forum aux questions sur la politique de support Microsoft.
Indices de gravité et identificateurs de vulnérabilité
Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité d'août. Pour plus d'informations, consultez l'Indice d'exploitabilité Microsoft.
| **Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné** | |||
| **Logiciels concernés** | **Vulnérabilité de script inter-sites (XSS ou cross-site scripting) dans SQL Master Data Services - CVE-2014-1820** | **Vulnérabilité de saturation de pile dans Microsoft SQL Server - CVE-2014-4061** | **Indice de gravité cumulée** |
| **SQL Server 2008** | |||
| Microsoft SQL Server 2008 pour systèmes 32 bits Service Pack 3 | Non concerné | **Important** Déni de service | **Important** |
| Microsoft SQL Server 2008 pour systèmes x64 Service Pack 3 | Non concerné | **Important** Déni de service | **Important** |
| Microsoft SQL Server 2008 pour systèmes Itanium Service Pack 3 | Non concerné | **Important** Déni de service | **Important** |
| **SQL Server 2008 R2** | |||
| Microsoft SQL Server 2008 R2 pour systèmes 32 bits Service Pack 2 | Non concerné | **Important** Déni de service | **Important** |
| Microsoft SQL Server 2008 R2 pour systèmes x64 Service Pack 2 | Non concerné | **Important** Déni de service | **Important** |
| Microsoft SQL Server 2008 R2 pour systèmes Itanium Service Pack 2 | Non concerné | **Important** Déni de service | **Important** |
| **SQL Server 2012** | |||
| Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 1 | Non concerné | **Important** Déni de service | **Important** |
| Microsoft SQL Server 2012 pour systèmes x64 Service Pack 1 | **Important** Élévation de privilèges | **Important** Déni de service | **Important** |
| **SQL Server 2014** | |||
| Microsoft SQL Server 2014 pour systèmes x64 | **Important** Élévation de privilèges | Non concerné | **Important** |
Vulnérabilité de script inter-sites (XSS ou cross-site scripting) dans SQL Master Data Services - CVE-2014-1820
Il existe une vulnérabilité de script inter-sites (XSS ou cross-site scripting) dans SQL Master Data Services (MDS) qui pourrait permettre à un attaquant d'injecter un script côté client dans l'instance d'Internet Explorer de l'utilisateur. Le script pourrait usurper du contenu, divulguer des informations ou entreprendre toute action autorisée pour cet utilisateur sur le site affecté au nom de l'utilisateur ciblé.
Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2014-1820.
Facteurs atténuants
Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :
- Dans le cas d'une attaque Web, un attaquant pourrait héberger un site Web spécialement conçu pour exploiter ces vulnérabilités via Internet Explorer, puis inciter un utilisateur à consulter ce site Web. L'attaquant pourrait également exploiter des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs. Ces sites Web pourraient contenir du code spécialement conçu permettant d'exploiter ces vulnérabilités. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à afficher le contenu contrôlé par l'attaquant. Il devrait l'inciter à prendre des mesures, généralement en cliquant sur un lien dans un message électronique ou dans un message instantané qui mène à son site ou en ouvrant une pièce jointe à un message électronique.
- Le filtre XSS dans Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 et Internet Explorer 11 empêche cette attaque lorsque les utilisateurs accèdent à des sites Web dans la zone Internet. Remarque : Le filtre XSS dans Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 et Internet Explorer 11 est activé par défaut dans la zone Internet, mais n'est pas activé par défaut dans la zone Intranet.
Solutions de contournement
Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :
Activer le filtre XSS pour la zone Intranet d'Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 et Internet Explorer 11
Vous pouvez vous protéger contre cette vulnérabilité en modifiant vos paramètres pour activer le filtre XSS dans la zone de sécurité Intranet local. (Le filtre XSS est activé par défaut dans la zone de sécurité Internet.) Pour ce faire, procédez ainsi :
- Dans Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 ou Internet Explorer 11, dans le menu Outils, cliquez sur Options Internet.
- Cliquez sur l'onglet Sécurité.
- Cliquez sur Intranet local, puis sur Personnaliser le niveau.
- Sous Paramètres, dans la section Script, sous Activer le filtre XSS, cliquez sur Activer, puis cliquez sur OK.
- Cliquez deux fois sur OK pour retourner dans Internet Explorer.
Impact de cette solution de contournement. Les sites internes non signalés précédemment comme présentant des risques XSS pourront désormais être signalés.
Comment annuler cette solution de contournement.
Pour annuler cette solution de contournement, procédez comme suit :
- Dans Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 ou Internet Explorer 11, dans le menu Outils, cliquez sur Options Internet.
- Cliquez sur l'onglet Sécurité.
- Cliquez sur Intranet local, puis sur Personnaliser le niveau.
- Sous Paramètres, dans la section Script, sous Activer le filtre XSS, cliquez sur Désactiver, puis cliquez sur OK.
- Cliquez deux fois sur OK pour retourner dans Internet Explorer.
Forum aux questions
Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité d'élévation de privilèges.
Quelle est la cause de cette vulnérabilité?
Cette vulnérabilité survient lorsque SQL Master Data Services (MDS) n'encode pas correctement la sortie.
Qu'est-ce qu'une attaque par script inter-sites (cross-site scripting) ?
Une attaque par script inter-sites (XSS ou cross-site scripting) consiste à injecter un script dans la réponse à la requête d'une page Web. Ce script est ensuite exécuté par l'application concernée, souvent un navigateur Web. Le script pourrait alors usurper du contenu, divulguer des informations ou entreprendre toute action autorisée pour cet utilisateur sur le site Web affecté au nom de l'utilisateur ciblé.
Qu'est-ce que SQL Master Data Services (MDS) ?
Master Data Services (MDS) est la solution SQL Server pour la gestion des données de référence. La gestion des données de référence (Master Data Management - MDM) décrit les efforts entrepris par une organisation pour découvrir et définir des listes non transactionnelles de données, dans le but de compiler des listes de référence faciles à gérer.
Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait injecter un script côté client qui serait exécuté par l'instance d'Internet Explorer de l'utilisateur. Le script pourrait usurper du contenu, divulguer des informations ou entreprendre toute action autorisée pour cet utilisateur sur le site affecté au nom de l'utilisateur ciblé.
Comment un attaquant pourrait-il exploiter cette vulnérabilité ?
Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un lien spécialement conçu à un utilisateur et en persuadant celui-ci de cliquer dessus. L'attaquant devrait héberger un site Web contenant une page Web conçue pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu ou des annonces provenant d'utilisateurs pourraient contenir du contenu malveillant susceptible d'exploiter cette vulnérabilité.
Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Les serveurs qui exécutent des éditions concernées de Microsoft SQL Server sont les plus exposés. Les serveurs SQL sur lesquels SQL Master Data Services n'est pas installé ne sont pas exposés à cette vulnérabilité ; cette mise à jour ne leur sera pas proposée.
Que fait cette mise à jour ?
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont SQL Master Data Services (MDS) encode la sortie.
Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.
Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.
Vulnérabilité de saturation de pile dans Microsoft SQL Server - CVE-2014-4061
Il existe une vulnérabilité de déni de service dans SQL Server. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait empêcher le serveur de répondre jusqu'à ce qu'il soit redémarré manuellement.
Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2014-4061.
Facteurs atténuants
Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.
Solutions de contournement
Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.
Forum aux questions
Quelle est la portée de cette vulnérabilité ?
Il s'agit d'une vulnérabilité de déni de service.
Quelle est la cause de cette vulnérabilité ?
Cette vulnérabilité survient lorsque SQL Server traite une requête T-SQL formatée de façon incorrecte.
Qu'est-ce que T-SQL ?
Transact-SQL (T-SQL) est un langage utilisé pour interroger le moteur de base de données SQL Server. Pour plus d'informations, consultez l'article consacré à la présentation de Transact-SQL.
Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait empêcher le système cible de répondre. Un redémarrage manuel est requis pour restaurer un fonctionnement normal.
Comment un attaquant pourrait-il exploiter cette vulnérabilité ?
Un attaquant local pourrait exploiter cette vulnérabilité en créant une instruction T-SQL spécialement conçue qui empêcherait Microsoft SQL Server de répondre.
Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Les postes de travail et serveurs qui exécutent Microsoft SQL Server sont potentiellement exposés.
Que fait cette mise à jour ?
Cette mise à jour corrige la vulnérabilité en modifiant la façon dont Microsoft SQL Server traite les requêtes T-SQL.
Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement ?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.
Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité ?
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.
Outils de détection, de déploiement et Conseils
Plusieurs ressources sont disponibles pour aider les administrateurs à déployer des mises à jour de sécurité.
- Microsoft Baseline Security Analyzer (MBSA) permet aux administrateurs de rechercher les mises à jour manquantes et les erreurs de configuration de sécurité courantes sur les systèmes locaux et distants.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) et System Center Configuration Manager aident les administrateurs à distribuer les mises à jour de sécurité.
- Les composants d'évaluation de la compatibilité des mises à jour (Update Compatibility Evaluator) inclus avec les outils d'analyse de compatibilité des applications (Application Compatibility Toolkit) contribuent à rationaliser le test et la validation des mises à jour Windows en fonction des applications installées.
Pour obtenir des informations sur ces ressources et d'autres outils disponibles, consultez la page « Outils de sécurité ».
Déploiement de la mise à jour de sécurité
SQL Server 2008
Tableau de référence
Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel.
| Noms de fichiers des mises à jour de sécurité | Pour la mise à jour GDR (General Distribution Release) de SQL Server 2008 pour systèmes 32 bits Service Pack 3 : SQLServer2008-KB2977321-x86.exe |
| Pour la mise à jour GDR (General Distribution Release) de SQL Server 2008 pour systèmes x64 Service Pack 3 : SQLServer2008-KB2977321-x64.exe |
|
| Pour la mise à jour GDR (General Distribution Release) de SQL Server 2008 pour systèmes Itanium Service Pack 3 : SQLServer2008-KB2977321-IA64.exe |
|
| Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2008 pour systèmes 32 bits Service Pack 3 : SQLServer2008-KB2977322-x86.exe |
|
| Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2008 pour systèmes x64 Service Pack 3 : SQLServer2008-KB2977322-x64.exe |
|
| Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2008 pour systèmes Itanium Service Pack 3 : SQLServer2008-KB2977322-IA64.exe |
|
| Options d'installation | Consultez l'Article 934307 de la Base de connaissances Microsoft. |
| Fichier journal | %programfiles%\Microsoft SQL Server\100\Setup Bootstrap\LOG\<Horodatage>\MSSQLServer\Summary_<NomMachine>_<Horodatage>.txt |
| Instructions spécifiques | Cette mise à jour sera également proposée aux instances de SQL Server 2008 en clusters. Si votre cluster SQL Server 2008 possède un nœud passif, afin de réduire les temps morts, Microsoft recommande que vous analysiez et appliquiez d'abord la mise à jour sur le nœud passif, puis l'analysiez et l'appliquiez sur le nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée. |
| Nécessité de redémarrer | Un redémarrage de l'instance de SQL Server est nécessaire. Si un redémarrage du système est nécessaire, le programme d'installation y invitera l'utilisateur ou retournera le code de sortie 3010. |
| Informations de désinstallation | Pour toutes les éditions en cours de support de SQL Server 2008 : Utilisez l'outil Ajout/Suppression de programmes dans le Panneau de configuration. |
| Informations sur les fichiers | Pour la mise à jour GDR (General Distribution Release) de SQL Server 2008 Service Pack 3 : Consultez l'Article 2977321 de la Base de connaissances Microsoft. Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2008 Service Pack 3 : Consultez l'Article 2977322 de la Base de connaissances Microsoft. |
SQL Server 2008 R2
Tableau de référence
Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel.
| Noms de fichiers des mises à jour de sécurité | Pour la mise à jour GDR (General Distribution Release) de SQL Server 2008 R2 pour systèmes 32 bits Service Pack 2 : SQLServer2008R2-KB2977320-x86.exe |
| Pour la mise à jour GDR (General Distribution Release) de SQL Server 2008 R2 pour systèmes x64 Service Pack 2 : SQLServer2008R2-KB2977320-x64.exe |
|
| Pour la mise à jour GDR (General Distribution Release) de SQL Server 2008 R2 pour systèmes Itanium Service Pack 2 : SQLServer2008R2-KB2977320-IA64.exe |
|
| Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2008 R2 pour systèmes 32 bits Service Pack 2 : SQLServer2008R2-KB2977319-x86.exe |
|
| Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2008 R2 pour systèmes x64 Service Pack 2 : SQLServer2008R2-KB2977319-x64.exe |
|
| Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2008 R2 pour systèmes Itanium Service Pack 2 : SQLServer2008R2-KB2977319-IA64.exe |
|
| Options d'installation | Consultez l'Article 934307 de la Base de connaissances Microsoft. |
| Fichier journal | %programfiles%\Microsoft SQL Server\100\Setup Bootstrap\LOG\<Horodatage>\MSSQLServer\Summary_<NomMachine>_<Horodatage>.txt |
| Instructions spécifiques | Cette mise à jour sera également proposée aux instances de SQL Server 2008 R2 en clusters. Si votre cluster SQL Server 2008 R2 possède un nœud passif, afin de réduire les temps morts, Microsoft recommande que vous analysiez et appliquiez d'abord la mise à jour sur le nœud passif, puis l'analysiez et l'appliquiez sur le nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée. |
| Nécessité de redémarrer | Un redémarrage de l'instance de SQL Server est nécessaire. Si un redémarrage du système est nécessaire, le programme d'installation y invitera l'utilisateur ou retournera le code de sortie 3010. |
| Informations de désinstallation | Pour toutes les éditions de Windows Server 2008 R2 en cours de support : Utilisez l'outil Ajout/Suppression de programmes dans le Panneau de configuration. |
| Informations sur les fichiers | Pour la mise à jour GDR (General Distribution Release) de SQL Server 2008 R2 Service Pack 2 : Consultez l'Article 2977320 de la Base de connaissances Microsoft. Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2008 R2 Service Pack 2 : Consultez l'Article 2977319 de la Base de connaissances Microsoft. |
SQL Server 2012
Tableau de référence
Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel.
| Noms de fichiers des mises à jour de sécurité | Pour la mise à jour GDR (General Distribution Release) de SQL Server 2012 pour systèmes 32 bits Service Pack 1 : SQLServer2012-KB2977326-x86.exe |
| Pour la mise à jour GDR (General Distribution Release) de SQL Server 2012 pour systèmes x64 Service Pack 1 : SQLServer2012-KB2977326-x64.exe |
|
| Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2012 pour systèmes 32 bits Service Pack 1 : SQLServer2012-KB2977325-x86.exe |
|
| Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2012 pour systèmes x64 Service Pack 1 : SQLServer2012-KB2977325-x64.exe |
|
| Options d'installation | Consultez l'Article 934307 de la Base de connaissances Microsoft. |
| Fichier journal | %programfiles%\Microsoft SQL Server\110\Setup Bootstrap\LOG\<Horodatage>\MSSQLServer\Summary_<NomMachine>_<Horodatage>.txt |
| Instructions spécifiques | Cette mise à jour sera également proposée aux instances de SQL Server 2012 en clusters. Si votre cluster SQL Server 2012 possède un nœud passif, afin de réduire les temps morts, Microsoft recommande que vous analysiez et appliquiez d'abord la mise à jour sur le nœud passif, puis l'analysiez et l'appliquiez sur le nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée. |
| Nécessité de redémarrer | Un redémarrage de l'instance de SQL Server est nécessaire. Si un redémarrage du système est nécessaire, le programme d'installation y invitera l'utilisateur ou retournera le code de sortie 3010. |
| Informations de désinstallation | Pour toutes les éditions en cours de support de SQL Server 2012 : La procédure de désinstallation de la mise à jour est différente selon le scénario choisi : Scénario 1 : Si le moteur SQL Server et SQL Server Master Data Services (MDS) ne sont pas installés sur le même ordinateur, vous pouvez supprimer la mise à jour en utilisant l'outil Ajout/Suppression de programmes dans le Panneau de configuration. Vous n'avez pas à supprimer le moteur SQL Server. Scénario 2 : Si le moteur SQL Server et MDS sont installés sur le même ordinateur, procédez comme suit :
|
| Informations sur les fichiers | Pour la mise à jour GDR (General Distribution Release) de SQL Server 2012 Service Pack 1 : Consultez l'Article 2977326 de la Base de connaissances Microsoft. Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2012 Service Pack 1 : Consultez l'Article 2977325 de la Base de connaissances Microsoft. |
SQL Server 2014
Tableau de référence
Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel.
| Noms de fichiers des mises à jour de sécurité | Pour la mise à jour GDR (General Distribution Release) de SQL Server 2014 pour systèmes x64 : SQLServer2014-KB2977315-x64-ENU.exe |
| Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2014 pour systèmes x64 : SQLServer2014-KB2977316-x64.exe |
|
| Options d'installation | Consultez l'Article 934307 de la Base de connaissances Microsoft. |
| Fichier journal | %programfiles%\Microsoft SQL Server\12\Setup Bootstrap\LOG\<Horodatage>\MSSQLServer\Summary_<NomMachine>_<Horodatage>.txt |
| Instructions spécifiques | Cette mise à jour sera également proposée aux instances de SQL Server 2014 en clusters. Si votre cluster SQL Server 2014 possède un nœud passif, afin de réduire les temps morts, Microsoft recommande que vous analysiez et appliquiez d'abord la mise à jour sur le nœud passif, puis l'analysiez et l'appliquiez sur le nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée. |
| Nécessité de redémarrer | Si un redémarrage du système est nécessaire, le programme d'installation y invitera l'utilisateur ou retournera le code de sortie 3010. |
| Informations de désinstallation | Pour toutes les éditions en cours de support de SQL Server 2014, procédez comme suit :
|
| Informations sur les fichiers | Pour la mise à jour GDR (General Distribution Release) de SQL Server 2014 : Consultez l'Article 2977315 de la Base de connaissances Microsoft. Pour la mise à jour QFE (Quick Fix Engineering) de SQL Server 2014 : Consultez l'Article 2977316 de la Base de connaissances Microsoft. |
Autres informations
Microsoft Active Protections Program (MAPP)
Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners (en anglais).
Support technique
Comment obtenir de l'aide concernant cette mise à jour de sécurité
- Aide à l'installation des mises à jour : Support pour Microsoft Update
- Solutions de sécurité pour professionnels de l'informatique : Support technique et résolution des problèmes de sécurité TechNet
- Protégez votre ordinateur Windows des virus et des logiciels malveillants : Aide et Support pour les problèmes de virus et de sécurité
- Support local selon votre pays : Support international
Dédit de responsabilité
Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.
Révisions
- V1.0 (12 août 2014) : Bulletin publié.
- V1.1 (13 août 2014) : Bulletin mis à jour afin de corriger le Forum aux questions de la mise à jour répondant à la question « Ces mises à jour de sécurité seront-elles proposées aux clusters SQL Server ? ».
Page generated 2014-08-20 15:12Z-07:00.