Partager via


Bulletin de sécurité Microsoft MS16-136 - Important

Mise à jour de sécurité pour SQL Server (3199641)

Publication : 8 novembre 2016

Version : 1.0

Résumé

Cette mise à jour de sécurité résout les vulnérabilités dans Microsoft SQL Server. Les vulnérabilités les plus graves peuvent permettre à un attaquant d’obtenir des privilèges élevés qui peuvent être utilisés pour afficher, modifier ou supprimer des données ; ou créez des comptes. La mise à jour de sécurité résout ces vulnérabilités les plus graves en corrigeant la façon dont SQL Server gère le cast des pointeurs.

Cette mise à jour de sécurité est classée Importante pour les éditions prises en charge de Microsoft SQL Server 2012 Service Packs 2 et 3, Microsoft SQL Server 2014 Service Packs 1 et 2 et Microsoft SQL Server 2016. Pour plus d’informations, consultez la section Logiciels affectés.

Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.

Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3199641.

Logiciel affecté

Le logiciel suivant a été testé pour déterminer quelles versions ou éditions sont affectées. D’autres versions ou éditions dépassent leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.

Logiciel affecté 

GDR Software Mises à jour Mises à jour logiciel cumulé Impact maximal sur la sécurité Évaluation de gravité agrégée
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 2 (3194719) Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 2 (3194725) Élévation de privilège Important
Microsoft SQL Server 2012 pour systèmes x64 Service Pack 2 (3194719) Microsoft SQL Server 2012 pour systèmes x64 Service Pack 2 (3194725) Élévation de privilège Important
SQL Server 2012 Service Pack 3
Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 3 (3194721) Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 3 (3194724) Élévation de privilège Important
Microsoft SQL Server 2012 pour systèmes x64 Service Pack 3 (3194721) Microsoft SQL Server 2012 pour systèmes x64 Service Pack 3 (3194724) Élévation de privilège Important
SQL Server 2014 Service Pack 1
Microsoft SQL Server 2014 Service Pack 1 pour les systèmes 32 bits (3194720) Microsoft SQL Server 2014 Service Pack 1 pour les systèmes 32 bits (3194722) Élévation de privilège Important
Microsoft SQL Server 2014 Service Pack 1 pour systèmes x64 (3194720) Microsoft SQL Server 2014 Service Pack 1 pour systèmes x64 (3194722) Élévation de privilège Important
SQL Server 2014 Service Pack 2
Microsoft SQL Server 2014 Service Pack 2 pour les systèmes 32 bits (3194714) Microsoft SQL Server 2014 Service Pack 2 pour les systèmes 32 bits (3194718) Élévation de privilège Important
Microsoft SQL Server 2014 Service Pack 2 pour systèmes x64 (3194714) Microsoft SQL Server 2014 Service Pack 2 pour systèmes x64 (3194718) Élévation de privilège Important
SQL Server 2016
Microsoft SQL Server 2016 pour systèmes x64 (3194716) Microsoft SQL Server 2016 pour systèmes x64 (3194717) Élévation de privilège Important

Faq sur la mise à jour

Il existe des mises à jour GDR et/ou CU (Mise à jour cumulative) proposées pour ma version de SQL Server. Comment faire savoir quelle mise à jour utiliser ?
Tout d’abord, déterminez votre numéro de version SQL Server. Pour plus d’informations sur la détermination de votre numéro de version SQL Server, consultez l’article 321185 de la Base de connaissances Microsoft.

Ensuite, dans le tableau ci-dessous, recherchez votre numéro de version ou la plage de versions dans laquelle votre numéro de version se trouve. La mise à jour correspondante est celle que vous devez installer.

Remarque Si votre numéro de version SQL Server n’est pas représenté dans le tableau ci-dessous, votre version de SQL Server n’est plus prise en charge. Effectuez une mise à niveau vers le produit Service Pack ou SQL Server le plus récent afin d’appliquer ces mises à jour de sécurité futures.

Numéro de mise à jour Titre Appliquer si la version actuelle du produit est... Cette mise à jour de sécurité inclut également les versions de maintenance jusqu’à...
3194719 MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 SP2 GDR : 8 novembre 2016 11.0.5058.0 - 11.0.5387.0 MS15-058
3194725 MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 SP2 CU : 8 novembre 2016 11.0.5500.0 - 11.0.5675.0 SQL Server 2012 SP2 CU15
3194721 MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 Service Pack 3 GDR : 8 novembre 2016 11.0.6020.0 - 11.0.6247.0 SQL Server 2012 SP3
3194724 MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 Service Pack 3 CU : 8 novembre 2016 11.0.6300.0 - 11.0.6566.0 SQL Server 2012 SP3 CU6
3194720 MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 1 GDR : 8 novembre 2016 12.0.4100.0 - 12.0.4231.0 Mise à jour importante pour SQL Server 2014 SP1 (Ko 3070446)
3194722 MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 1 CU : 8 novembre 2016 12.0.4400.0 - 12.0.4486.0 SQL Server 2014 SP1 CU9
3194714 MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 2 GDR : 8 novembre 2016 12.0.5000.0 - 12.0.5202.0 SQL Server 2014 SP2
3194718 MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 2 CU : 8 novembre 2016 12.0.5400.0 - 12.0.5531.0 SQL Server 2014 SP2 CU2
3194716 MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2016 GDR : 8 novembre 2016 13.0.1605.0 - 13.0.1721.0 Mise à jour critique pour SQL Server 2016 Analysis Services (KB3179258)
3194717 MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2016 CU : 8 novembre 2016 13.0.2100.0 - 13.0.2182.0 SQL Server 2016 CU3

Pour obtenir des instructions d’installation supplémentaires, consultez la sous-section Informations de mise à jour de sécurité de votre édition SQL Server dans la section Informations de mise à jour.

Quelles sont les désignations de mise à jour de GDR et CU et comment diffèrent-elles ? 
Les désignations de mise à jour cumulative (GDR) et de mise à jour cumulative (CU) correspondent aux deux branches de maintenance des mises à jour différentes en place pour SQL Server. La principale différence entre les deux est que les branches CU incluent cumulativement toutes les mises à jour d’une base de référence donnée, tandis que les branches GDR incluent uniquement les mises à jour critiques cumulatives pour une base de référence donnée. Une base de référence peut être la version RTM initiale ou un Service Pack.

Pour une base de référence donnée, les mises à jour de la branche GDR ou CU sont des options si vous êtes à la base de référence ou que vous n’avez installé qu’une mise à jour GDR précédente pour cette ligne de base. La branche CU est la seule option si vous avez installé une cu SQL Server précédente pour la base de référence sur laquelle vous êtes activé.

Ces mises à jour de sécurité seront-elles proposées aux clusters SQL Server ? 
Oui. Les mises à jour seront également proposées aux instances SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 et SQL Server 2016 RTM qui sont en cluster. Mises à jour pour les clusters SQL Server nécessite une interaction utilisateur.

Si le cluster SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 et SQL Server 2016 RTM dispose d’un nœud passif, pour réduire les temps d’arrêt, Microsoft vous recommande d’analyser et d’appliquer la mise à jour au nœud inactif, puis de l’appliquer au nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée.

Les mises à jour de sécurité peuvent-elles être appliquées aux instances SQL Server sur Windows Azure (IaaS) ?
Oui. Les instances SQL Server sur Windows Azure (IaaS) peuvent être proposées aux mises à jour de sécurité via Microsoft Update, ou les clients peuvent télécharger les mises à jour de sécurité à partir du Centre de téléchargement Microsoft et les appliquer manuellement.

Évaluations de gravité et identificateurs de vulnérabilité

Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de novembre.

Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés
Logiciel affecté Vulnérabilité EoP du moteur SGBDR SQL - CVE-2016-7249 Vulnérabilité EoP du moteur SGBDR SQL - CVE-2016-7250 Vulnérabilité EoP du moteur SGBDR SQL - CVE-2016-7254 Vulnérabilité XSS de l’API MDS - CVE-2016-7251 Vulnérabilité de divulgation d’informations SQL Analysis Services - CVE-2016-7252 Vulnérabilité d’élévation de privilèges de l’agent SQL Server - CVE-2016-7253
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 2 Non applicable Non applicable Élévation de privilège importante Non applicable Non applicable Élévation de privilège importante
Microsoft SQL Server 2012 pour systèmes x64 Service Pack 2 Non applicable Non applicable Élévation de privilège importante Non applicable Non applicable Élévation de privilège importante
SQL Server 2012 Service Pack 3
Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 3 Non applicable Non applicable Élévation de privilège importante Non applicable Non applicable Élévation de privilège importante
Microsoft SQL Server 2012 pour systèmes x64 Service Pack 3 Non applicable Non applicable Élévation de privilège importante Non applicable Non applicable Élévation de privilège importante
SQL Server 2014 Service Pack 1
Microsoft SQL Server 2014 Service Pack 1 pour les systèmes 32 bits Non applicable Élévation de privilège importante Non applicable Non applicable Non applicable Élévation de privilège importante
Microsoft SQL Server 2014 Service Pack 1 pour les systèmes x64 Non applicable Élévation de privilège importante Non applicable Non applicable Non applicable Élévation de privilège importante
SQL Server 2014 Service Pack 2
Microsoft SQL Server 2014 Service Pack 2 pour les systèmes 32 bits Non applicable Élévation de privilège importante Non applicable Non applicable Non applicable Élévation de privilège importante
Microsoft SQL Server 2014 Service Pack 2 pour les systèmes x64 Non applicable Élévation de privilège importante Non applicable Non applicable Non applicable Élévation de privilège importante
SQL Server 2016
Microsoft SQL Server 2016 pour les systèmes x64 Élévation de privilège importante Élévation de privilège importante Non applicable Élévation de privilège importante Important \ Divulgation d’informations Non applicable

Informations sur la vulnérabilité

Élévation de privilèges du moteur SGBDR SQL multiple

L’élévation des vulnérabilités de privilèges existe dans Microsoft SQL Server lorsqu’elle gère incorrectement le cast de pointeur. Un attaquant peut exploiter les vulnérabilités si ses informations d’identification autorisent l’accès à une base de données SQL Server affectée. Un attaquant qui a réussi à exploiter les vulnérabilités peut obtenir des privilèges élevés qui peuvent être utilisés pour afficher, modifier ou supprimer des données ; ou créez des comptes.

La mise à jour de sécurité résout les vulnérabilités en corrigeant la façon dont SQL Server gère le cast des pointeurs

Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :

Titre de la vulnérabilité Numéro CVE Divulgation publique Exploités
Vulnérabilité d’élévation de privilèges du moteur SGBDR SQL CVE-2016-7249 Non Non
Vulnérabilité d’élévation de privilèges du moteur SGBDR SQL CVE-2016-7250 Non Non
Vulnérabilité d’élévation de privilèges du moteur SGBDR SQL CVE-2016-7254 Non Non

Facteurs d’atténuation

Microsoft n’a pas identifié de facteurs d’atténuation pour ces vulnérabilités.

Solutions de contournement

Microsoft n’a identifié aucune solution de contournement pour ces vulnérabilités.

Vulnérabilité XSS de l’API MDS - CVE-2016-7251

Une vulnérabilité d’élévation de privilègeS XSS existe dans SQL Server MDS qui pourrait permettre à un attaquant d’injecter un script côté client dans l’instance d’Internet Explorer de l’utilisateur. La vulnérabilité est due au fait que SQL Server MDS ne valide pas correctement un paramètre de requête sur le site SQL Server. Le script peut usurper du contenu, divulguer des informations ou entreprendre toute action que l’utilisateur peut entreprendre sur le site pour le compte de l’utilisateur ciblé.

La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont SQL Server MDS valide le paramètre de requête.

Le tableau suivant contient un lien vers l’entrée standard pour la vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :

Titre de la vulnérabilité Numéro CVE Divulgation publique Exploités
Vulnérabilité XSS de l’API MDS CVE-2016-7251 Non Non

Facteurs d’atténuation

Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.

Solutions de contournement

Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.

Vulnérabilité de divulgation d’informations SQL Analysis Services - CVE-2016-7252

Une vulnérabilité de divulgation d’informations existe dans Microsoft SQL Analysis Services lorsqu’elle n’case activée pas correctement le chemin FILESTREAM. Un attaquant peut exploiter la vulnérabilité si ses informations d’identification autorisent l’accès à une base de données SQL Server affectée. Un attaquant qui a réussi à exploiter la vulnérabilité peut obtenir des informations supplémentaires sur la base de données et les fichiers.

La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont SQL Server gère le chemin FILESTREAM.

Le tableau suivant contient un lien vers l’entrée standard pour la vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :

Titre de la vulnérabilité Numéro CVE Divulgation publique Exploités
Vulnérabilité de divulgation d’informations SQL Analysis Services CVE-2016-7252 Non Non

Facteurs d’atténuation

Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité

Solutions de contournement

Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.

Vulnérabilité d’élévation de privilèges de l’Agent SQL Server - CVE-2016-7253

Une vulnérabilité d’élévation de privilèges existe dans le moteur Microsoft SQL Server lorsque l’agent SQL Server n’case activée pas correctement les listes de contrôle d’accès sur atxcore.dll. Un attaquant peut exploiter la vulnérabilité si ses informations d’identification autorisent l’accès à une base de données SQL Server affectée. Un attaquant qui a réussi à exploiter la vulnérabilité peut obtenir des privilèges élevés qui peuvent être utilisés pour afficher, modifier ou supprimer des données ; ou créez des comptes.

La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont le moteur SQL Server gère les listes de contrôle d’accès.

Le tableau suivant contient un lien vers l’entrée standard pour la vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :

Titre de la vulnérabilité Numéro CVE Divulgation publique Exploités
Vulnérabilité d’élévation de privilèges de l’Agent SQL Server CVE-2016-7253 Non Non

Facteurs d’atténuation

Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.

Solutions de contournement

Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.

Remerciements

Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.

Exclusion de responsabilité

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (8 novembre 2016) : Bulletin publié.

Page générée 2016-11-09 08 :02-08 :00.