Condividi tramite


Microsoft Security Bulletin MS16-136 - Importante

Aggiornamento della sicurezza per SQL Server (3199641)

Pubblicato: 8 novembre 2016

Versione: 1.0

Schema riepilogativo

Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft SQL Server. Le vulnerabilità più gravi potrebbero consentire a un utente malintenzionato di ottenere privilegi elevati che potrebbero essere usati per visualizzare, modificare o eliminare i dati; o creare nuovi account. L'aggiornamento della sicurezza risolve queste vulnerabilità più gravi correggendo il modo in cui SQL Server gestisce il cast dei puntatori.

Questo aggiornamento della sicurezza è valutato Importante per le edizioni supportate di Microsoft SQL Server 2012 Service Pack 2 e 3, Microsoft SQL Server 2014 Service Pack 1 e 2 e Microsoft SQL Server 2016. Per altre informazioni, vedere la sezione Software interessato.

Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.

Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3199641.

Software interessato

Il software seguente è stato testato per determinare quali versioni o edizioni sono interessate. Altre versioni o edizioni superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.

Software interessato 

Aggiornamenti software GDR Aggiornamenti software cumulativo Impatto massimo sulla sicurezza Valutazione della gravità aggregata
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 2 (3194719) Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 2 (3194725) Elevazione dei privilegi Importante
Microsoft SQL Server 2012 per sistemi basati su x64 Service Pack 2 (3194719) Microsoft SQL Server 2012 per sistemi basati su x64 Service Pack 2 (3194725) Elevazione dei privilegi Importante
SQL Server 2012 Service Pack 3
Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 3 (3194721) Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 3 (3194724) Elevazione dei privilegi Importante
Microsoft SQL Server 2012 per sistemi basati su x64 Service Pack 3 (3194721) Microsoft SQL Server 2012 per sistemi basati su x64 Service Pack 3 (3194724) Elevazione dei privilegi Importante
SQL Server 2014 Service Pack 1
Microsoft SQL Server 2014 Service Pack 1 per sistemi a 32 bit (3194720) Microsoft SQL Server 2014 Service Pack 1 per sistemi a 32 bit (3194722) Elevazione dei privilegi Importante
Microsoft SQL Server 2014 Service Pack 1 per sistemi basati su x64 (3194720) Microsoft SQL Server 2014 Service Pack 1 per sistemi basati su x64 (3194722) Elevazione dei privilegi Importante
SQL Server 2014 Service Pack 2
Microsoft SQL Server 2014 Service Pack 2 per sistemi a 32 bit (3194714) Microsoft SQL Server 2014 Service Pack 2 per sistemi a 32 bit (3194718) Elevazione dei privilegi Importante
Microsoft SQL Server 2014 Service Pack 2 per sistemi basati su x64 (3194714) Microsoft SQL Server 2014 Service Pack 2 per sistemi basati su x64 (3194718) Elevazione dei privilegi Importante
SQL Server 2016
Microsoft SQL Server 2016 per sistemi basati su x64 (3194716) Microsoft SQL Server 2016 per sistemi basati su x64 (3194717) Elevazione dei privilegi Importante

Domande frequenti su Aggiornamento

Sono disponibili aggiornamenti GDR e/o CU (aggiornamento cumulativo) offerti per la versione di SQL Server. Ricerca per categorie sapere quale aggiornamento usare?
Prima di tutto, determinare il numero di versione di SQL Server. Per altre informazioni sulla determinazione del numero di versione di SQL Server, vedere l'articolo della Microsoft Knowledge Base 321185.

In secondo luogo, nella tabella seguente individuare il numero di versione o l'intervallo di versione compreso nel numero di versione. L'aggiornamento corrispondente è quello che è necessario installare.

Nota Se il numero di versione di SQL Server non è rappresentato nella tabella seguente, la versione di SQL Server non è più supportata. Eseguire l'aggiornamento al prodotto Service Pack o SQL Server più recente per applicare questi aggiornamenti della sicurezza e futuri.

Numero di aggiornamento Title Applica se la versione corrente del prodotto è... Questo aggiornamento della sicurezza include anche le versioni di manutenzione fino a...
3194719 MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 SP2 GDR: 8 novembre 2016 11.0.5058.0 - 11.0.5387.0 MS15-058
3194725 MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 SP2 CU: 8 novembre 2016 11.0.5500.0 - 11.0.5675.0 SQL Server 2012 SP2 CU15
3194721 MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 Service Pack 3 GDR: 8 novembre 2016 11.0.6020.0 - 11.0.6247.0 SQL Server 2012 SP3
3194724 MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 Service Pack 3 CU: 8 novembre 2016 11.0.6300.0 - 11.0.6566.0 SQL Server 2012 SP3 CU6
3194720 MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2014 Service Pack 1 GDR: 8 novembre 2016 12.0.4100.0 - 12.0.4231.0 Aggiornamento importante per SQL Server 2014 SP1 (KB3070446)
3194722 MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2014 Service Pack 1 CU: 8 novembre 2016 12.0.4400.0 - 12.0.4486.0 SQL Server 2014 SP1 CU9
3194714 MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2014 Service Pack 2 GDR: 8 novembre 2016 12.0.5000.0 - 12.0.5202.0 SQL Server 2014 SP2
3194718 MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2014 Service Pack 2 CU: 8 novembre 2016 12.0.5400.0 - 12.0.5531.0 SQL Server 2014 SP2 CU2
3194716 MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2016 GDR: 8 novembre 2016 13.0.1605.0 - 13.0.1721.0 Aggiornamento critico per SQL Server 2016 Analysis Services (KB3179258)
3194717 MS16-136: Descrizione dell'aggiornamento della sicurezza per SQL Server 2016 CU: 8 novembre 2016 13.0.2100.0 - 13.0.2182.0 SQL Server 2016 CU3

Per istruzioni aggiuntive sull'installazione, vedere la sottosezione Security Update Information per l'edizione di SQL Server nella sezione Informazioni sull'aggiornamento.

Quali sono le designazioni di aggiornamento GDR e CU e come differiscono? 
Le designazioni GDR (General Distribution Release) e Cumulative Update (CU) corrispondono ai due diversi rami di manutenzione degli aggiornamenti sul posto per SQL Server. La differenza principale tra i due è che i rami cu includono cumulativamente tutti gli aggiornamenti per una determinata baseline, mentre i rami GDR includono solo gli aggiornamenti critici cumulativi per una determinata baseline. Una baseline può essere la versione RTM iniziale o un Service Pack.

Per una determinata linea di base, gli aggiornamenti del ramo GDR o CU sono opzioni se si è nella linea di base o se è stato installato solo un aggiornamento GDR precedente per tale baseline. Il ramo CU è l'unica opzione se è stato installato un CU di SQL Server precedente per la linea di base in cui ci si trova.

Questi aggiornamenti della sicurezza verranno offerti ai cluster di SQL Server? 
Sì. Gli aggiornamenti verranno offerti anche alle istanze di SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 e SQL Server 2016 RTM in cluster. Aggiornamenti per i cluster DI SQL Server richiederà l'interazione dell'utente.

Se SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 e il cluster SQL Server 2016 RTM ha un nodo passivo, per ridurre il tempo di inattività, Microsoft consiglia di analizzare e applicare prima l'aggiornamento al nodo inattivo, quindi analizzarlo e applicarlo al nodo attivo. Quando tutti i componenti sono stati aggiornati in tutti i nodi, l'aggiornamento non verrà più offerto.

Gli aggiornamenti della sicurezza possono essere applicati alle istanze di SQL Server in Windows Azure (IaaS)?
Sì. Le istanze di SQL Server in Windows Azure (IaaS) possono essere offerte agli aggiornamenti della sicurezza tramite Microsoft Update oppure i clienti possono scaricare gli aggiornamenti della sicurezza dall'Area download Microsoft e applicarli manualmente.

Classificazioni di gravità e identificatori di vulnerabilità

Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di novembre.

Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato
Software interessato Vulnerabilità EoP del motore RDBMS SQL - CVE-2016-7249 Vulnerabilità EoP del motore RDBMS SQL - CVE-2016-7250 Vulnerabilità EoP del motore RDBMS SQL - CVE-2016-7254 Vulnerabilità XSS dell'API MDS - CVE-2016-7251 Vulnerabilità di divulgazione delle informazioni di SQL Analysis Services - CVE-2016-7252 Vulnerabilità di elevazione dei privilegi di SQL Server Agent - CVE-2016-7253
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 2 Non applicabile Non applicabile Elevazione dei privilegi importante Non applicabile Non applicabile Elevazione dei privilegi importante
Microsoft SQL Server 2012 per sistemi basati su x64 Service Pack 2 Non applicabile Non applicabile Elevazione dei privilegi importante Non applicabile Non applicabile Elevazione dei privilegi importante
SQL Server 2012 Service Pack 3
Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 3 Non applicabile Non applicabile Elevazione dei privilegi importante Non applicabile Non applicabile Elevazione dei privilegi importante
Microsoft SQL Server 2012 per sistemi basati su x64 Service Pack 3 Non applicabile Non applicabile Elevazione dei privilegi importante Non applicabile Non applicabile Elevazione dei privilegi importante
SQL Server 2014 Service Pack 1
Microsoft SQL Server 2014 Service Pack 1 per sistemi a 32 bit Non applicabile Elevazione dei privilegi importante Non applicabile Non applicabile Non applicabile Elevazione dei privilegi importante
Microsoft SQL Server 2014 Service Pack 1 per sistemi basati su x64 Non applicabile Elevazione dei privilegi importante Non applicabile Non applicabile Non applicabile Elevazione dei privilegi importante
SQL Server 2014 Service Pack 2
Microsoft SQL Server 2014 Service Pack 2 per sistemi a 32 bit Non applicabile Elevazione dei privilegi importante Non applicabile Non applicabile Non applicabile Elevazione dei privilegi importante
Microsoft SQL Server 2014 Service Pack 2 per sistemi basati su x64 Non applicabile Elevazione dei privilegi importante Non applicabile Non applicabile Non applicabile Elevazione dei privilegi importante
SQL Server 2016
Microsoft SQL Server 2016 per sistemi basati su x64 Elevazione dei privilegi importante Elevazione dei privilegi importante Non applicabile Elevazione dei privilegi importante Importante \ Divulgazione di informazioni Non applicabile

Informazioni sulla vulnerabilità

Più vulnerabilità di elevazione dei privilegi del motore RDBMS DI SQL

Le vulnerabilità di elevazione dei privilegi sono presenti in Microsoft SQL Server quando gestisce in modo non corretto il cast dei puntatori. Un utente malintenzionato potrebbe sfruttare le vulnerabilità se le credenziali consentono l'accesso a un database di SQL Server interessato. Un utente malintenzionato che ha sfruttato correttamente le vulnerabilità potrebbe ottenere privilegi elevati che potrebbero essere usati per visualizzare, modificare o eliminare dati; o creare nuovi account.

L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui SQL Server gestisce il cast dei puntatori

La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:

Titolo della vulnerabilità Numero CVE Divulgato pubblicamente Sfruttato
Vulnerabilità di elevazione dei privilegi del motore RDBMS SQL CVE-2016-7249 No No
Vulnerabilità di elevazione dei privilegi del motore RDBMS SQL CVE-2016-7250 No No
Vulnerabilità di elevazione dei privilegi del motore RDBMS SQL CVE-2016-7254 No No

Fattori di mitigazione

Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.

Soluzioni alternative

Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.

Vulnerabilità XSS dell'API MDS- CVE-2016-7251

Esiste una vulnerabilità di elevazione dei privilegi XSS in SQL Server MDS che potrebbe consentire a un utente malintenzionato di inserire uno script lato client nell'istanza dell'utente di Internet Explorer. La vulnerabilità è causata quando SQL Server MDS non convalida correttamente un parametro di richiesta nel sito di SQL Server. Lo script potrebbe spoofare il contenuto, divulgare informazioni o intraprendere qualsiasi azione che l'utente potrebbe intraprendere sul sito per conto dell'utente di destinazione.

L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui SQL Server MDS convalida il parametro di richiesta.

La tabella seguente contiene un collegamento alla voce standard per la vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:

Titolo della vulnerabilità Numero CVE Divulgato pubblicamente Sfruttato
Vulnerabilità XSS dell'API MDS CVE-2016-7251 No No

Fattori di mitigazione

Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.

Soluzioni alternative

Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.

Vulnerabilità di divulgazione delle informazioni di SQL Analysis Services- CVE-2016-7252

Esiste una vulnerabilità di divulgazione di informazioni in Microsoft SQL Analysis Services quando controlla in modo non corretto il percorso FILESTREAM. Un utente malintenzionato potrebbe sfruttare la vulnerabilità se le credenziali consentono l'accesso a un database di SQL Server interessato. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe ottenere informazioni aggiuntive sul database e sui file.

L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui SQL Server gestisce il percorso FILESTREAM.

La tabella seguente contiene un collegamento alla voce standard per la vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:

Titolo della vulnerabilità Numero CVE Divulgato pubblicamente Sfruttato
Vulnerabilità di divulgazione delle informazioni di SQL Analysis Services CVE-2016-7252 No No

Fattori di mitigazione

Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità

Soluzioni alternative

Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.

Vulnerabilità di elevazione dei privilegi di SQL Server Agent- CVE-2016-7253

Esiste una vulnerabilità di elevazione dei privilegi nel motore di Microsoft SQL Server quando SQL Server Agent controlla erroneamente gli elenchi di controllo di accesso in atxcore.dll. Un utente malintenzionato potrebbe sfruttare la vulnerabilità se le credenziali consentono l'accesso a un database di SQL Server interessato. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe ottenere privilegi elevati che potrebbero essere usati per visualizzare, modificare o eliminare dati; o creare nuovi account.

L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui il motore di SQL Server gestisce gli elenchi di controllo di accesso.

La tabella seguente contiene un collegamento alla voce standard per la vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:

Titolo della vulnerabilità Numero CVE Divulgato pubblicamente Sfruttato
Vulnerabilità di elevazione dei privilegi di SQL Server Agent CVE-2016-7253 No No

Fattori di mitigazione

Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.

Soluzioni alternative

Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.

Riconoscimenti

Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .

Dichiarazione di non responsabilità

Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni

  • V1.0 (8 novembre 2016): Bollettino pubblicato.

Pagina generata 2016-11-09 08:02-08:00.