Bulletin de sécurité Microsoft MS14-044 - Important

Les vulnérabilités dans SQL Server peuvent autoriser l’élévation de privilèges (2984340)

Publication : 12 août 2014 | Mise à jour : 13 août 2014

Version : 1.1

Informations générales

Résumé

Cette mise à jour de sécurité résout deux vulnérabilités signalées en privé dans Microsoft SQL Server (l’une dans SQL Server Master Data Services et l’autre dans le système de gestion de base de données relationnelle SQL Server). La plus grave de ces vulnérabilités, affectant SQL Server Master Data Services, peut autoriser l’élévation de privilèges si un utilisateur visite un site web spécialement conçu qui injecte un script côté client dans l’instance de l’utilisateur d’Internet Explorer. Dans tous les cas, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs d’agir, généralement en les faisant cliquer sur un lien dans un message électronique ou dans un message Instantané Messenger qui les amène sur le site web de l’attaquant, ou en les obtenant pour ouvrir une pièce jointe envoyée par e-mail.

Cette mise à jour de sécurité est classée Importante pour les éditions prises en charge de Microsoft SQL Server 2008 Service Pack 3, Microsoft SQL Server 2008 R2 Service Pack 2 et Microsoft SQL Server 2012 Service Pack 1 ; Il est également noté Important pour Microsoft SQL Server 2014 pour les systèmes x64. Pour plus d’informations, consultez la section Relative aux logiciels affectés et non affectés.

La mise à jour de sécurité résout les vulnérabilités en corrigeant la façon dont SQL Master Data Services (MDS) encode la sortie et comment SQL Server gère les requêtes T-SQL. Pour plus d’informations sur les vulnérabilités, consultez la sous-section Questions fréquentes (FAQ) sur la vulnérabilité spécifique plus loin dans ce bulletin.

Recommandation. La plupart des clients ont la mise à jour automatique activée et n’ont pas besoin d’effectuer d’action, car cette mise à jour de sécurité est téléchargée et installée automatiquement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871. Pour les clients qui n’ont pas activé la mise à jour automatique, les étapes de la mise à jour automatique activée ou désactivée peuvent être utilisées pour activer la mise à jour automatique. Remarque : Dans certains scénarios, les clients utilisant Microsoft SQL Server Master Data Service (MDS) peuvent ne pas être en mesure d’obtenir cette mise à jour via la mise à jour automatique. Pour plus d’informations et des étapes de contournement, consultez l’article de la Base de connaissances Microsoft 2969894 dans l’article de la Base de connaissances Microsoft.

Pour les administrateurs et les installations d’entreprise ou les utilisateurs finaux qui souhaitent installer cette mise à jour de sécurité manuellement (y compris les clients qui n’ont pas activé la mise à jour automatique), Microsoft recommande aux clients d’appliquer la mise à jour au plus tôt à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update. Les mises à jour sont également disponibles via les liens de téléchargement dans la table Logicielle affectée plus loin dans ce bulletin.

Consultez également la section Outils de détection et de déploiement et conseils, plus loin dans ce bulletin.

Article de la base de connaissances

  • Articles de la Base de connaissances : 2984340, 2977315
  • Informations sur le fichier : Oui
  • Hachages SHA1/SHA2 : Oui
  • Problèmes connus : Oui

 

Logiciels affectés et non affectés

Le logiciel suivant a été testé pour déterminer quelles versions ou éditions sont affectées. D’autres versions ou éditions dépassent leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.

Logiciel affecté 

GDR Software Mises à jour QFE Software Mises à jour Impact maximal sur la sécurité Évaluation de gravité agrégée Mises à jour remplacé
SQL Server 2008
Microsoft SQL Server 2008 pour systèmes 32 bits Service Pack 3 (2977321) Microsoft SQL Server 2008 pour systèmes 32 bits Service Pack 3 (2977322) Déni de service Important GDR : 2977321 remplace 2716436 dans MS12-070 QFE : 2977322 remplace 2716435 dans MS12-070
Microsoft SQL Server 2008 pour systèmes x64 Service Pack 3 (2977321) Microsoft SQL Server 2008 pour systèmes x64 Service Pack 3 (2977322) Déni de service Important GDR : 2977321 remplace 2716436 dans MS12-070 QFE : 2977322 remplace 2716435 dans MS12-070
Microsoft SQL Server 2008 pour les systèmes Itanium Service Pack 3 (2977321) Microsoft SQL Server 2008 pour les systèmes Itanium Service Pack 3 (2977322) Déni de service Important GDR : 2977321 remplace 2716436 dans MS12-070 QFE : 2977322 remplace 2716435 dans MS12-070
SQL Server 2008 R2
Microsoft SQL Server 2008 R2 pour systèmes 32 bits Service Pack 2 (2977320) Microsoft SQL Server 2008 R2 pour systèmes 32 bits Service Pack 2 (2977319) Déni de service Important Aucun
Microsoft SQL Server 2008 R2 pour systèmes x64 Service Pack 2 (2977320) Microsoft SQL Server 2008 R2 pour systèmes x64 Service Pack 2 (2977319) Déni de service Important Aucun
Microsoft SQL Server 2008 R2 pour les systèmes Itanium Service Pack 2 (2977320) Microsoft SQL Server 2008 R2 pour les systèmes Itanium Service Pack 2 (2977319) Déni de service Important Aucun
SQL Server 2012
Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 1 (2977326) Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 1 (2977325) Déni de service Important Aucun
Microsoft SQL Server 2012 pour systèmes x64 Service Pack 1 (2977326) Microsoft SQL Server 2012 pour systèmes x64 Service Pack 1 (2977325) Élévation de privilège Important Aucun
SQL Server 2014
Microsoft SQL Server 2014 pour systèmes x64 (2977315) Microsoft SQL Server 2014 pour systèmes x64 (2977316) Élévation de privilège Important Aucun

 

Logiciels non affectés

Système d’exploitation
Microsoft SQL Server 2005 Express Edition avec Advanced Services Service Pack 4
Microsoft SQL Server 2005 Express Edition Service Pack 4
Microsoft SQL Server 2005 pour systèmes 32 bits Service Pack 4
Microsoft SQL Server 2005 pour systèmes x64 Service Pack 4
Microsoft SQL Server 2005 pour les systèmes Itanium Service Pack 4
Microsoft SQL Server Management Studio Express (SSMSE) 2005
Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 2
Microsoft SQL Server 2012 pour systèmes x64 Service Pack 2
Microsoft SQL Server 2014 pour les systèmes 32 bits
Microsoft Data Engine (MSDE) 1.0
Microsoft Data Engine (MSDE) 1.0 Service Pack 4
Microsoft Data Engine 1.0

 

Faq sur la mise à jour

Il existe des mises à jour GDR et/ou QFE proposées pour ma version de SQL Server. Comment faire savoir quelle mise à jour utiliser ? 
Tout d’abord, déterminez votre numéro de version SQL Server. Pour plus d’informations sur la détermination de votre numéro de version SQL Server, consultez l’article 321185 de la Base de connaissances Microsoft.

Ensuite, dans le tableau ci-dessous, recherchez la plage de versions dans laquelle votre numéro de version SQL Server se trouve. La mise à jour correspondante est la mise à jour que vous devez installer.

Notez que si votre numéro de version SQL Server ne se trouve dans aucune des plages du tableau ci-dessous, votre version de SQL Server n’est plus prise en charge. Effectuez une mise à niveau vers le produit Service Pack ou SQL Server le plus récent afin d’appliquer ces mises à jour de sécurité futures.

Pour SQL Server 2008 :

Plage de versions DE SQL Server
10.00.5500-10.00.5512 10.00.5750-10.00.5867
Mise à jour de SQL Server
SQL Server 2008 Service Pack 3 GDR (2977321) SQL Server 2008 Service Pack 3 QFE (2977322)

Pour SQL Server 2008 R2 :

Plage de versions DE SQL Server
10. 50.4000-10.50.4017 10.50.4251-10.50.4319
Mise à jour de SQL Server
SQL Server 2008 R2 Service Pack 2 GDR (2977320) SQL Server 2008 R2 Service Pack 2 QFE (2977319)

Pour SQL Server 2012 :

Plage de versions DE SQL Server
11.0.3000-11.0.3129 11.0.3300-11.0.3447
Mise à jour de SQL Server
SQL Server 2012 Service Pack 1 GDR (2977326) SQL Server 2012 Service Pack 1 QFE (2977325)

Pour SQL Server 2014 :

12.0.2000 et versions ultérieures
12.0.2000.8 et versions ultérieures 12.0.2300-12.0.2370
Mise à jour de SQL Server
SQL Server 2014 GDR (2977315) SQL Server 2014 QFE (2977316)

Pour obtenir des instructions d’installation supplémentaires, consultez la sous-section Informations de mise à jour de sécurité de votre édition SQL Server dans la section Informations de mise à jour.

Ces mises à jour de sécurité seront-elles proposées aux clusters SQL Server ?
Oui. Les mises à jour seront également proposées aux instances SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 et SQL Server 2014 qui sont en cluster. Mises à jour pour les clusters SQL Server nécessite une interaction utilisateur.

Si le cluster SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 ou SQL Server 2014 a un nœud passif, pour réduire les temps d’arrêt, Microsoft vous recommande d’analyser et d’appliquer la mise à jour au nœud inactif en premier, puis de l’appliquer au nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée.

Les mises à jour de sécurité peuvent-elles être appliquées aux instances SQL Server sur Windows Azure (IaaS) ?
Oui. Les instances SQL Server sur Windows Azure (IaaS) peuvent être proposées aux mises à jour de sécurité via Microsoft Update, ou les clients peuvent télécharger les mises à jour de sécurité à partir du Centre de téléchargement Microsoft et les appliquer manuellement.

J’utilise une version plus ancienne du logiciel abordé dans ce bulletin de sécurité. Que dois-je faire ?
Le logiciel concerné répertorié dans ce bulletin a été testé pour déterminer quelles versions sont affectées. D’autres versions sont passées au-delà de leur cycle de vie de support. Pour plus d’informations sur le cycle de vie des produits, consultez le site web Support Microsoft cycle de vie.

Il doit s’agir d’une priorité pour les clients qui ont des versions antérieures du logiciel à migrer vers des versions prises en charge afin d’éviter toute exposition potentielle aux vulnérabilités. Pour déterminer le cycle de vie de prise en charge de votre version logicielle, consultez Sélectionner un produit pour les informations de cycle de vie. Pour plus d’informations sur les Service Packs pour ces versions logicielles, consultez La politique de support du cycle de vie service Pack.

Les clients qui ont besoin d’un support personnalisé pour les logiciels plus anciens doivent contacter leur représentant de l’équipe de compte Microsoft, leur responsable de compte technique ou le représentant partenaire Microsoft approprié pour les options de support personnalisé. Les clients sans contrat Alliance, Premier ou Autorisé peuvent contacter leur bureau de vente Microsoft local. Pour obtenir des informations de contact, consultez le site web Microsoft Worldwide Information , sélectionnez le pays dans la liste des informations de contact, puis cliquez sur Atteindre pour afficher la liste des numéros de téléphone. Lorsque vous appelez, demandez à parler avec le directeur commercial premier support local. Pour plus d’informations, consultez le FAQ Support Microsoft politique de cycle de vie.

Évaluations de gravité et identificateurs de vulnérabilité

Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin d’août. Pour plus d’informations, consultez Microsoft Exploitability Index.

Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés
Logiciel affecté Vulnérabilité XSS SQL Master Data Services - CVE-2014-1820 Vulnérabilité de dépassement de pile Microsoft SQL Server - CVE-2014-4061 Évaluation de gravité agrégée
SQL Server 2008
Microsoft SQL Server 2008 pour systèmes 32 bits Service Pack 3 Non applicable Déni de service important Important
Microsoft SQL Server 2008 pour systèmes x64 Service Pack 3 Non applicable Déni de service important Important
Microsoft SQL Server 2008 pour les systèmes Itanium Service Pack 3 Non applicable Déni de service important Important
SQL Server 2008 R2
Microsoft SQL Server 2008 R2 pour systèmes 32 bits Service Pack 2 Non applicable Déni de service important Important
Microsoft SQL Server 2008 R2 pour systèmes x64 Service Pack 2 Non applicable Déni de service important Important
Microsoft SQL Server 2008 R2 pour les systèmes Itanium Service Pack 2 Non applicable Déni de service important Important
SQL Server 2012
Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 1 Non applicable Déni de service important Important
Microsoft SQL Server 2012 pour systèmes x64 Service Pack 1 Élévation de privilège importante Déni de service important Important
SQL Server 2014
Microsoft SQL Server 2014 pour les systèmes x64 Élévation de privilège importante Non applicable Important

 

Vulnérabilité XSS SQL Master Data Services - CVE-2014-1820

Une vulnérabilité XSS existe dans SQL Master Data Services (MDS) qui pourrait permettre à un attaquant d’injecter un script côté client dans l’instance d’Internet Explorer de l’utilisateur. Le script peut usurper du contenu, divulguer des informations ou entreprendre toute action que l’utilisateur peut entreprendre sur le site pour le compte de l’utilisateur ciblé.

Pour afficher cette vulnérabilité comme entrée standard dans la liste Des vulnérabilités et des expositions courantes, consultez CVE-2014-1820.

Facteurs d’atténuation

L’atténuation fait référence à un paramètre, à une configuration courante ou à une meilleure pratique générale, existant dans un état par défaut, qui peut réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :

  • Dans un scénario d’attaque basé sur le web, un attaquant peut héberger un site web spécialement conçu pour exploiter ces vulnérabilités via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. L’attaquant peut également tirer parti des sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Ces sites web peuvent contenir du contenu spécialement conçu qui pourrait exploiter ces vulnérabilités. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs d’agir, généralement en les faisant cliquer sur un lien dans un message électronique ou dans un message Instantané Messenger qui les amène sur le site web de l’attaquant, ou en les obtenant pour ouvrir une pièce jointe envoyée par e-mail.
  • Le filtre XSS dans Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 et Internet Explorer 11 empêche cette attaque pour les utilisateurs lors de la navigation vers des sites web dans la zone Internet. Notez que le filtre XSS dans Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 et Internet Explorer 11 est activé par défaut dans la zone Internet, mais n’est pas activé par défaut dans la zone Intranet.

Solutions de contournement

La solution de contournement fait référence à un paramètre ou à une modification de configuration qui ne corrige pas la vulnérabilité sous-jacente, mais qui permet de bloquer les vecteurs d’attaque connus avant d’appliquer la mise à jour. Microsoft a testé les solutions de contournement et les états suivants dans la discussion si une solution de contournement réduit les fonctionnalités :

Activer le filtre Internet Explorer 8,Internet Explorer 9, Internet Explorer 10 et Internet Explorer 11XSS pour la zone Intranet

Vous pouvez vous protéger contre l’exploitation de cette vulnérabilité en modifiant vos paramètres pour activer le filtre XSS dans la zone de sécurité intranet local. (Le filtre XSS est activé par défaut dans la zone de sécurité Internet.) Pour ce faire, procédez comme suit :

  1. Dans Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 ou Internet Explorer 11, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Cliquez sur Intranet local, puis sur Niveau personnalisé.
  4. Sous Paramètres, dans la section Scripting, sous Activer le filtre XSS, cliquez sur Activer, puis sur OK.
  5. Cliquez sur OK deux fois pour revenir à Internet Explorer.

Impact de la solution de contournement. Les sites internes qui ne sont pas signalés précédemment comme étant des risques XSS peuvent être signalés.

Comment annuler la solution de contournement.

Pour annuler cette solution de contournement, procédez comme suit.

  1. Dans Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 ou Internet Explorer 11, cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l’onglet Security .
  3. Cliquez sur Intranet local, puis sur Niveau personnalisé.
  4. Sous Paramètres, dans la section Scripting, sous Activer le filtre XSS, cliquez sur Désactiver, puis sur OK.
  5. Cliquez sur OK deux fois pour revenir à Internet Explorer.

FAQ

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’élévation de privilèges.

Quelles sont les causes de la vulnérabilité ?
La vulnérabilité est provoquée lorsque SQL Master Data Services (MDS) n’encode pas correctement la sortie.

Qu’est-ce que l’écriture de scripts intersites (XSS) ?
Le script intersites (XSS) est une classe de vulnérabilité de sécurité qui peut permettre à un attaquant d’injecter un script dans la réponse à une demande de page web. Ce script est ensuite exécuté par l’application demandée, souvent par un navigateur web. Le script peut ensuite usurper du contenu, divulguer des informations ou entreprendre toute action que l’utilisateur pourrait entreprendre sur le site web concerné, au nom de l’utilisateur ciblé.

Qu’est-ce que SQL Master Data Services (MDS) ?
Master Data Services (MDS) est la solution SQL Server de gestion des données de référence. La gestion des données de référence correspond aux efforts d'une organisation en vue de découvrir et de définir des listes de données non transactionnelles, dans le but de compiler des listes de référence gérables. 

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut injecter un script côté client dans l’instance de l’utilisateur d’Internet Explorer. Le script peut usurper du contenu, divulguer des informations ou entreprendre toute action que l’utilisateur peut entreprendre sur le site pour le compte de l’utilisateur ciblé.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut exploiter la vulnérabilité en envoyant un lien spécialement conçu à l’utilisateur et en convainquant l’utilisateur de cliquer sur le lien. Un attaquant peut également héberger un site web qui contient une page web conçue pour exploiter cette vulnérabilité. En outre, les sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Les serveurs exécutant des éditions affectées de Microsoft SQL Server sont principalement à risque. Les serveurs SQL qui n’ont pas installé SQL Master Data Services ne sont pas exposés à cette vulnérabilité et ne seront pas proposés à cette mise à jour.

Que fait la mise à jour ?
La mise à jour résout la vulnérabilité en corrigeant la façon dont sql Master Data Services (MDS) encode la sortie.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque ce bulletin de sécurité a été émis à l’origine.

Vulnérabilité de dépassement de pile Microsoft SQL Server - CVE-2014-4061

Une vulnérabilité de déni de service existe dans SQL Server. Un attaquant qui a réussi à exploiter cette vulnérabilité peut empêcher le serveur de répondre jusqu’à ce qu’un redémarrage manuel soit lancé.

Pour afficher cette vulnérabilité comme entrée standard dans la liste Des vulnérabilités et des expositions courantes, consultez CVE-2014-4061.

Facteurs d’atténuation

Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.

Solutions de contournement

Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.

FAQ

Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité de déni de service.

Quelles sont les causes de la vulnérabilité ?
La vulnérabilité est due au fait que SQL Server traite une requête T-SQL mal mise en forme.

Qu’est-ce que T-SQL ?
Transact-SQL (T-SQL) est un langage utilisé pour interroger le moteur de base de données SQL Server. Pour plus d’informations, consultez Vue d’ensemble de Transact-SQL.

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter la vulnérabilité peut entraîner l’arrêt de la réponse du système cible. Un redémarrage manuel serait nécessaire pour restaurer l’opération normale.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant local peut exploiter cette vulnérabilité en créant une instruction T-SQL spécialement conçue qui empêche Microsoft SQL Server d’arrêter de répondre.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Les stations de travail et les serveurs exécutant Microsoft SQL Server sont à risque.

Que fait la mise à jour ?
La mise à jour résout la vulnérabilité en corrigeant la façon dont Microsoft SQL Server gère les requêtes T-SQL.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque ce bulletin de sécurité a été émis à l’origine.

Outils et conseils de détection et de déploiement

Plusieurs ressources sont disponibles pour aider les administrateurs à déployer des mises à jour de sécurité. 

  • Microsoft Baseline Security Analyzer (Mo SA) permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et les configurations incorrectes de sécurité courantes. 
  • Windows Server Update Services (WSUS), Systems Management Server (SMS) et System Center Configuration Manager aident les administrateurs à distribuer les mises à jour de sécurité. 
  • Les composants de l’évaluateur de compatibilité de mise à jour inclus avec la compatibilité des applications Shared Computer Toolkit facilitent le test et la validation des mises à jour Windows sur les applications installées. 

Pour plus d’informations sur ces outils et d’autres outils disponibles, consultez Outils de sécurité pour les professionnels de l’informatique. 

Déploiement des mises à jour de sécurité

SQL Server 2008

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.

Noms de fichiers de mise à jour de sécurité Pour la mise à jour GDR de SQL Server 2008 pour les systèmes 32 bits Service Pack 3 :\ SQLServer2008-Ko 2977321-x86.exe
\ Pour la mise à jour GDR de SQL Server 2008 pour systèmes x64 Service Pack 3 :\ SQLServer2008-Ko 2977321-x64.exe
\ Pour la mise à jour GDR de SQL Server 2008 pour les systèmes Itanium Service Pack 3 :\ SQLServer2008-Ko 2977321-IA64.exe
\ Pour la mise à jour QFE de SQL Server 2008 pour systèmes 32 bits Service Pack 3 :\ SQLServer2008-Ko 2977322-x86.exe
\ Pour la mise à jour QFE de SQL Server 2008 pour systèmes x64 Service Pack 3 :\ SQLServer2008-Ko 2977322-x64.exe
\ Pour la mise à jour QFE de SQL Server 2008 pour les systèmes Itanium Service Pack 3 :\ SQLServer2008-Ko 2977322-IA64.exe
Commutateurs d’installation Consultez l’article de la Base de connaissances Microsoft 934307
Mettre à jour le fichier journal %programfiles%\Microsoft SQL Server\100\Setup Bootstrap\LOG\ <TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt
Instructions spéciales La mise à jour sera également proposée aux instances SQL Server 2008 qui sont en cluster.\ \ Si votre cluster SQL Server 2008 a un nœud passif, pour réduire les temps d’arrêt, Microsoft vous recommande d’analyser et d’appliquer la mise à jour au nœud inactif en premier, puis d’analyser et d’appliquer au nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée.
Configuration requise pour le redémarrage Un redémarrage de l’instance SQL Server est requis.\ Si un redémarrage du système est requis, le programme d’installation invite ou retourne le code de sortie 3010.
Informations de suppression Pour toutes les éditions prises en charge de SQL Server 2008 :\ Utilisez Ajouter ou supprimer des programmes dans Panneau de configuration.
Informations sur le fichier Pour la mise à jour GDR de SQL Server 2008 Service Pack 3 :\ Consultez l’article de la Base de connaissances Microsoft 2977321\ \ Pour la mise à jour QFE de SQL Server 2008 Service Pack 3 :\ Consultez l’article de la Base de connaissances Microsoft 2977322

 

SQL Server 2008 R2

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.

Noms de fichiers de mise à jour de sécurité Pour la mise à jour GDR de SQL Server 2008 R2 pour systèmes 32 bits Service Pack 2 :\ SQLServer2008R2-Ko 2977320-x86.exe
\ Pour la mise à jour GDR de SQL Server 2008 R2 pour systèmes x64 Service Pack 2 :\ SQLServer2008R2-Ko 2977320-x64.exe
\ Pour la mise à jour GDR de SQL Server 2008 R2 pour les systèmes Itanium Service Pack 2 :\ SQLServer2008R2-Ko 2977320-IA64.exe
\ Pour la mise à jour QFE de SQL Server 2008 R2 pour systèmes 32 bits Service Pack 2 :\ SQLServer2008R2-Ko 2977319-x86.exe
\ Pour la mise à jour QFE de SQL Server 2008 R2 pour systèmes x64 Service Pack 2 :\ SQLServer2008R2-Ko 2977319-x64.exe
\ Pour la mise à jour QFE de SQL Server 2008 R2 pour les systèmes Itanium Service Pack 2 :\ SQLServer2008R2-Ko 2977319-IA64.exe
Commutateurs d’installation Consultez l’article de la Base de connaissances Microsoft 934307
Mettre à jour le fichier journal %programfiles%\Microsoft SQL Server\100\Setup Bootstrap\LOG\ <TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt
Instructions spéciales La mise à jour sera également proposée aux instances SQL Server 2008 R2 qui sont en cluster.\ Si votre cluster SQL Server 2008 R2 dispose d’un nœud passif, Pour réduire les temps d’arrêt, Microsoft vous recommande d’analyser et d’appliquer la mise à jour au nœud inactif en premier, puis d’analyser et d’appliquer au nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée.
Configuration requise pour le redémarrage Un redémarrage de l’instance SQL Server est requis.\ Si un redémarrage du système est requis, le programme d’installation invite ou retourne le code de sortie 3010.
Informations de suppression Pour toutes les éditions prises en charge de SQL Server 2008 R2 :\ Utilisez Ajouter ou supprimer des programmes dans Panneau de configuration.
Informations sur le fichier Pour la mise à jour GDR de SQL Server 2008 R2 Service Pack 2 :\ Consultez l’article de la Base de connaissances Microsoft 2977320\ \ Pour la mise à jour QFE de SQL Server 2008 R2 Service Pack 2 :\ Consultez l’article de la base de connaissances Microsoft 2977319

 

SQL Server 2012

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.

Noms de fichiers de mise à jour de sécurité Pour la mise à jour GDR de SQL Server 2012 pour systèmes 32 bits Service Pack 1 :\ SQLServer2012-Ko 2977326-x86.exe
\ Pour la mise à jour GDR de SQL Server 2012 pour systèmes x64 Service Pack 1 :\ SQLServer2012-Ko 2977326-x64.exe
\ Pour la mise à jour QFE de SQL Server 2012 pour systèmes 32 bits Service Pack 1 :\ SQLServer2012-Ko 2977325-x86.exe
\ Pour la mise à jour QFE de SQL Server 2012 pour systèmes x64 Service Pack 1 :\ SQLServer2012-Ko 2977325-x64.exe
Commutateurs d’installation Consultez l’article de la Base de connaissances Microsoft 934307
Mettre à jour le fichier journal %programfiles%\Microsoft SQL Server\110\Setup Bootstrap\LOG\ <TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt
Instructions spéciales La mise à jour sera également proposée aux instances SQL Server 2012 qui sont en cluster.\ \ Si votre cluster SQL Server 2012 a un nœud passif, pour réduire les temps d’arrêt, Microsoft vous recommande d’analyser et d’appliquer la mise à jour au nœud inactif en premier, puis d’analyser et d’appliquer au nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée.
Configuration requise pour le redémarrage Un redémarrage de l’instance SQL Server est requis.\ Si un redémarrage du système est requis, le programme d’installation invite ou retourne le code de sortie 3010.
Informations de suppression Pour toutes les éditions prises en charge de SQL Server 2012 :\ \ La procédure de suppression de mise à jour diffère selon le scénario suivant :\ \ Scénario 1 : Si le moteur SQL Server est installé sans SQL Server Master Data Services (MDS) sur le même ordinateur, vous pouvez supprimer la mise à jour à l’aide de l’élément Ajouter ou supprimer des programmes dans Panneau de configuration. Vous n’avez pas besoin de supprimer le moteur SQL Server.\ Scénario 2 : si le moteur SQL Server est installé avec MDS sur le même ordinateur, procédez comme suit : supprimez la mise à jour du moteur SQL Server à l’aide de l’élément Ajouter ou supprimer des programmes dans Panneau de configuration. Vous n’avez pas besoin de supprimer le moteur SQL Server. Sauvegardez la base de données MDS. Supprimez le composant MDS. Réinstallez le composant MDS. Appliquez les service Packs ou mises à jour de service SQL Server nécessaires pour mettre MDS à sa version de mise à jour de pré-sécurité.Scénario 3 : si MDS est installé sur un ordinateur sur lequel le moteur SQL Server n’est pas installé, procédez comme suit : sauvegardez la base de données MDS. Supprimez le composant MDS. Réinstallez le composant MDS. Appliquez les service Packs ou mises à jour de service SQL Server nécessaires pour mettre MDS à sa version de mise à jour de pré-sécurité.
Informations sur le fichier Pour la mise à jour GDR de SQL Server 2012 Service Pack 1 :\ Consultez l’article de la Base de connaissances Microsoft 2977326\ \ Pour la mise à jour QFE de SQL Server 2012 Service Pack 1 :\ Consultez l’article de la base de connaissances Microsoft 2977325

 

SQL Server 2014

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.

Noms de fichiers de mise à jour de sécurité Pour la mise à jour GDR de SQL Server 2014 pour les systèmes x64 :\ SQLServer2014-Ko 2977315-x64-ENU.exe
\ Pour la mise à jour QFE de SQL Server 2014 pour les systèmes x64 :\ SQLServer2014-Ko 2977316-x64.exe
Commutateurs d’installation Consultez l’article de la Base de connaissances Microsoft 934307
Mettre à jour le fichier journal %programfiles%\Microsoft SQL Server\12\Setup Bootstrap\LOG\ <TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt
Instructions spéciales La mise à jour est également proposée aux instances SQL Server 2014 qui sont en cluster.\ \ Si votre cluster SQL Server 2014 a un nœud passif, pour réduire le temps d’arrêt, Microsoft vous recommande d’analyser et d’appliquer la mise à jour au nœud inactif en premier, puis d’analyser et d’appliquer au nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée.
Configuration requise pour le redémarrage Si un redémarrage du système est nécessaire, le programme d’installation invite ou retourne le code de sortie 3010.
Informations de suppression Pour toutes les éditions prises en charge de SQL Server 2014, procédez comme suit : sauvegardez la base de données MDS. Supprimez le composant MDS. Réinstallez le composant MDS. Appliquez les service Packs ou mises à jour de service SQL Server nécessaires pour mettre MDS à sa version de mise à jour de pré-sécurité.
Informations sur le fichier Pour la mise à jour GDR de SQL Server 2014 :\ Consultez l’article de la Base de connaissances Microsoft 2977315\ \ Pour la mise à jour QFE de SQL Server 2014 :\ Consultez l’article de la Base de connaissances Microsoft 2977316

 

Autres informations

Programme Microsoft Active Protections (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, accédez aux sites web de protection actifs fournis par les partenaires du programme, répertoriés dans les partenaires microsoft Active Protections Program (MAPP).

Support

Comment obtenir de l’aide et de la prise en charge de cette mise à jour de sécurité

Exclusion de responsabilité

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (12 août 2014) : Bulletin publié.
  • V1.1 (13 août 2014) : Le bulletin révisé pour corriger le FAQ de mise à jour qui répond à la question, ces mises à jour de sécurité seront-elles proposées aux clusters SQL Server ?

Page générée 2014-08-20 15 :12Z-07 :00.