Microsoft Security Bulletin MS16-136 - Importante
Aggiornamento della sicurezza per SQL Server (3199641)
Pubblicato: 8 novembre 2016
Versione: 1.0
Schema riepilogativo
Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft SQL Server. Le vulnerabilità più gravi potrebbero consentire a un utente malintenzionato di ottenere privilegi elevati che potrebbero essere usati per visualizzare, modificare o eliminare i dati; o creare nuovi account. L'aggiornamento della sicurezza risolve queste vulnerabilità più gravi correggendo il modo in cui SQL Server gestisce il cast dei puntatori.
Questo aggiornamento della sicurezza è valutato Importante per le edizioni supportate di Microsoft SQL Server 2012 Service Pack 2 e 3, Microsoft SQL Server 2014 Service Pack 1 e 2 e Microsoft SQL Server 2016. Per altre informazioni, vedere la sezione Software interessato.
Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3199641.
Software interessato
Il software seguente è stato testato per determinare quali versioni o edizioni sono interessate. Altre versioni o edizioni superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Software interessato
Domande frequenti su Aggiornamento
Sono disponibili aggiornamenti GDR e/o CU (aggiornamento cumulativo) offerti per la versione di SQL Server. Ricerca per categorie sapere quale aggiornamento usare?
Prima di tutto, determinare il numero di versione di SQL Server. Per altre informazioni sulla determinazione del numero di versione di SQL Server, vedere l'articolo della Microsoft Knowledge Base 321185.
In secondo luogo, nella tabella seguente individuare il numero di versione o l'intervallo di versione compreso nel numero di versione. L'aggiornamento corrispondente è quello che è necessario installare.
Nota Se il numero di versione di SQL Server non è rappresentato nella tabella seguente, la versione di SQL Server non è più supportata. Eseguire l'aggiornamento al prodotto Service Pack o SQL Server più recente per applicare questi aggiornamenti della sicurezza e futuri.
| Numero di aggiornamento | Title | Applica se la versione corrente del prodotto è... | Questo aggiornamento della sicurezza include anche le versioni di manutenzione fino a... |
|---|---|---|---|
| 3194719 | MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 SP2 GDR: 8 novembre 2016 | 11.0.5058.0 - 11.0.5387.0 | MS15-058 |
| 3194725 | MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 SP2 CU: 8 novembre 2016 | 11.0.5500.0 - 11.0.5675.0 | SQL Server 2012 SP2 CU15 |
| 3194721 | MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 Service Pack 3 GDR: 8 novembre 2016 | 11.0.6020.0 - 11.0.6247.0 | SQL Server 2012 SP3 |
| 3194724 | MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 Service Pack 3 CU: 8 novembre 2016 | 11.0.6300.0 - 11.0.6566.0 | SQL Server 2012 SP3 CU6 |
| 3194720 | MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2014 Service Pack 1 GDR: 8 novembre 2016 | 12.0.4100.0 - 12.0.4231.0 | Aggiornamento importante per SQL Server 2014 SP1 (KB3070446) |
| 3194722 | MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2014 Service Pack 1 CU: 8 novembre 2016 | 12.0.4400.0 - 12.0.4486.0 | SQL Server 2014 SP1 CU9 |
| 3194714 | MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2014 Service Pack 2 GDR: 8 novembre 2016 | 12.0.5000.0 - 12.0.5202.0 | SQL Server 2014 SP2 |
| 3194718 | MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2014 Service Pack 2 CU: 8 novembre 2016 | 12.0.5400.0 - 12.0.5531.0 | SQL Server 2014 SP2 CU2 |
| 3194716 | MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2016 GDR: 8 novembre 2016 | 13.0.1605.0 - 13.0.1721.0 | Aggiornamento critico per SQL Server 2016 Analysis Services (KB3179258) |
| 3194717 | MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2016 CU: 8 novembre 2016 | 13.0.2100.0 - 13.0.2182.0 | SQL Server 2016 CU3 |
Per istruzioni aggiuntive sull'installazione, vedere la sottosezione Security Update Information per l'edizione di SQL Server nella sezione Informazioni sull'aggiornamento.
Quali sono le designazioni di aggiornamento GDR e CU e come differiscono?
Le designazioni GDR (General Distribution Release) e Cumulative Update (CU) corrispondono ai due diversi rami di manutenzione degli aggiornamenti sul posto per SQL Server. La differenza principale tra i due è che i rami cu includono cumulativamente tutti gli aggiornamenti per una determinata baseline, mentre i rami GDR includono solo gli aggiornamenti critici cumulativi per una determinata baseline. Una baseline può essere la versione RTM iniziale o un Service Pack.
Per una determinata linea di base, gli aggiornamenti del ramo GDR o CU sono opzioni se si è nella linea di base o se è stato installato solo un aggiornamento GDR precedente per tale baseline. Il ramo CU è l'unica opzione se è stato installato un CU di SQL Server precedente per la linea di base in cui ci si trova.
Questi aggiornamenti della sicurezza verranno offerti ai cluster di SQL Server?
Sì. Gli aggiornamenti verranno offerti anche alle istanze di SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 e SQL Server 2016 RTM in cluster. Aggiornamenti per i cluster DI SQL Server richiederà l'interazione dell'utente.
Se SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 e il cluster SQL Server 2016 RTM ha un nodo passivo, per ridurre il tempo di inattività, Microsoft consiglia di analizzare e applicare prima l'aggiornamento al nodo inattivo, quindi analizzarlo e applicarlo al nodo attivo. Quando tutti i componenti sono stati aggiornati in tutti i nodi, l'aggiornamento non verrà più offerto.
Gli aggiornamenti della sicurezza possono essere applicati alle istanze di SQL Server in Windows Azure (IaaS)?
Sì. Le istanze di SQL Server in Windows Azure (IaaS) possono essere offerte agli aggiornamenti della sicurezza tramite Microsoft Update oppure i clienti possono scaricare gli aggiornamenti della sicurezza dall'Area download Microsoft e applicarli manualmente.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di novembre.
| Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato | ||||||
|---|---|---|---|---|---|---|
| Software interessato | Vulnerabilità EoP del motore RDBMS SQL - CVE-2016-7249 | Vulnerabilità EoP del motore RDBMS SQL - CVE-2016-7250 | Vulnerabilità EoP del motore RDBMS SQL - CVE-2016-7254 | Vulnerabilità XSS dell'API MDS - CVE-2016-7251 | Vulnerabilità di divulgazione delle informazioni di SQL Analysis Services - CVE-2016-7252 | Vulnerabilità di elevazione dei privilegi di SQL Server Agent - CVE-2016-7253 |
| SQL Server 2012 Service Pack 2 | ||||||
| Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 2 | Non applicabile | Non applicabile | Elevazione dei privilegi importante | Non applicabile | Non applicabile | Elevazione dei privilegi importante |
| Microsoft SQL Server 2012 per sistemi basati su x64 Service Pack 2 | Non applicabile | Non applicabile | Elevazione dei privilegi importante | Non applicabile | Non applicabile | Elevazione dei privilegi importante |
| SQL Server 2012 Service Pack 3 | ||||||
| Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 3 | Non applicabile | Non applicabile | Elevazione dei privilegi importante | Non applicabile | Non applicabile | Elevazione dei privilegi importante |
| Microsoft SQL Server 2012 per sistemi basati su x64 Service Pack 3 | Non applicabile | Non applicabile | Elevazione dei privilegi importante | Non applicabile | Non applicabile | Elevazione dei privilegi importante |
| SQL Server 2014 Service Pack 1 | ||||||
| Microsoft SQL Server 2014 Service Pack 1 per sistemi a 32 bit | Non applicabile | Elevazione dei privilegi importante | Non applicabile | Non applicabile | Non applicabile | Elevazione dei privilegi importante |
| Microsoft SQL Server 2014 Service Pack 1 per sistemi basati su x64 | Non applicabile | Elevazione dei privilegi importante | Non applicabile | Non applicabile | Non applicabile | Elevazione dei privilegi importante |
| SQL Server 2014 Service Pack 2 | ||||||
| Microsoft SQL Server 2014 Service Pack 2 per sistemi a 32 bit | Non applicabile | Elevazione dei privilegi importante | Non applicabile | Non applicabile | Non applicabile | Elevazione dei privilegi importante |
| Microsoft SQL Server 2014 Service Pack 2 per sistemi basati su x64 | Non applicabile | Elevazione dei privilegi importante | Non applicabile | Non applicabile | Non applicabile | Elevazione dei privilegi importante |
| SQL Server 2016 | ||||||
| Microsoft SQL Server 2016 per sistemi basati su x64 | Elevazione dei privilegi importante | Elevazione dei privilegi importante | Non applicabile | Elevazione dei privilegi importante | Importante \ Divulgazione di informazioni | Non applicabile |
Informazioni sulla vulnerabilità
Più vulnerabilità di elevazione dei privilegi del motore RDBMS DI SQL
Le vulnerabilità di elevazione dei privilegi sono presenti in Microsoft SQL Server quando gestisce in modo non corretto il cast dei puntatori. Un utente malintenzionato potrebbe sfruttare le vulnerabilità se le credenziali consentono l'accesso a un database di SQL Server interessato. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe ottenere privilegi elevati che potrebbero essere usati per visualizzare, modificare o eliminare dati; o creare nuovi account.
L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui SQL Server gestisce il cast dei puntatori
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di elevazione dei privilegi del motore RDBMS SQL | CVE-2016-7249 | No | No |
| Vulnerabilità di elevazione dei privilegi del motore RDBMS SQL | CVE-2016-7250 | No | No |
| Vulnerabilità di elevazione dei privilegi del motore RDBMS SQL | CVE-2016-7254 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Vulnerabilità XSS dell'API MDS- CVE-2016-7251
Esiste una vulnerabilità di elevazione dei privilegi XSS in SQL Server MDS che potrebbe consentire a un utente malintenzionato di inserire uno script lato client nell'istanza dell'utente di Internet Explorer. La vulnerabilità è causata quando SQL Server MDS non convalida correttamente un parametro di richiesta nel sito di SQL Server. Lo script potrebbe spoofare il contenuto, divulgare informazioni o intraprendere qualsiasi azione che l'utente potrebbe intraprendere sul sito per conto dell'utente di destinazione.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui SQL Server MDS convalida il parametro di richiesta.
La tabella seguente contiene un collegamento alla voce standard per la vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità XSS dell'API MDS | CVE-2016-7251 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di divulgazione delle informazioni di SQL Analysis Services- CVE-2016-7252
Esiste una vulnerabilità di divulgazione di informazioni in Microsoft SQL Analysis Services quando controlla in modo non corretto il percorso FILESTREAM. Un utente malintenzionato potrebbe sfruttare la vulnerabilità se le credenziali consentono l'accesso a un database di SQL Server interessato. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe ottenere informazioni aggiuntive sul database e sui file.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui SQL Server gestisce il percorso FILESTREAM.
La tabella seguente contiene un collegamento alla voce standard per la vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di divulgazione delle informazioni di SQL Analysis Services | CVE-2016-7252 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di elevazione dei privilegi di SQL Server Agent- CVE-2016-7253
Esiste una vulnerabilità di elevazione dei privilegi nel motore di Microsoft SQL Server quando SQL Server Agent controlla erroneamente gli elenchi di controllo di accesso in atxcore.dll. Un utente malintenzionato potrebbe sfruttare la vulnerabilità se le credenziali consentono l'accesso a un database di SQL Server interessato. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe ottenere privilegi elevati che potrebbero essere usati per visualizzare, modificare o eliminare dati; o creare nuovi account.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui il motore di SQL Server gestisce gli elenchi di controllo di accesso.
La tabella seguente contiene un collegamento alla voce standard per la vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
| Titolo della vulnerabilità | Numero CVE | Divulgato pubblicamente | Sfruttato |
|---|---|---|---|
| Vulnerabilità di elevazione dei privilegi di SQL Server Agent | CVE-2016-7253 | No | No |
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (8 novembre 2016): Bollettino pubblicato.
Pagina generata 2016-11-09 08:02-08:00.