Microsoft-beveiligingsbulletin MS16-136 - Belangrijk
Beveiligingsupdate voor SQL Server (3199641)
Gepubliceerd: 8 november 2016
Versie: 1.0
Samenvatting
Met deze beveiligingsupdate worden beveiligingsproblemen in Microsoft SQL Server opgelost. Met de ernstigste beveiligingsproblemen kan een aanvaller verhoogde bevoegdheden krijgen die kunnen worden gebruikt om gegevens te bekijken, te wijzigen of te verwijderen; of maak nieuwe accounts. Met de beveiligingsupdate worden deze ernstigste beveiligingsproblemen opgelost door te corrigeren hoe SQL Server het casten van aanwijzers verwerkt.
Deze beveiligingsupdate is beoordeeld belangrijk voor ondersteunde edities van Microsoft SQL Server 2012 Service Packs 2 en 3, Microsoft SQL Server 2014 Service Packs 1 en 2 en Microsoft SQL Server 2016. Zie de sectie Beïnvloede software voor meer informatie.
Zie de sectie Informatie over beveiligingsproblemen voor meer informatie over de beveiligingsproblemen.
Zie het Microsoft Knowledge Base-artikel 3199641 voor meer informatie over deze update.
Betrokken software
De volgende software is getest om te bepalen welke versies of edities worden beïnvloed. Andere versies of edities zijn na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
Betrokken software
Veelgestelde vragen over bijwerken
Er worden GDR- en/of CU-updates (cumulatieve update) aangeboden voor mijn versie van SQL Server. Hoe kan ik weten welke update moet worden gebruikt?
Bepaal eerst uw SQL Server-versienummer. Zie het Microsoft Knowledge Base-artikel 321185 voor meer informatie over het bepalen van uw SQL Server-versienummer.
Zoek in de onderstaande tabel het versienummer of het versiebereik binnen het versienummer. De bijbehorende update is de update die u moet installeren.
Opmerking Als uw SQL Server-versienummer niet wordt weergegeven in de onderstaande tabel, wordt uw SQL Server-versie niet meer ondersteund. Voer een upgrade uit naar het nieuwste Service Pack- of SQL Server-product om deze en toekomstige beveiligingsupdates toe te passen.
| Updatenummer | Titel | Toepassen als de huidige productversie... | Deze beveiligingsupdate omvat ook onderhoudsreleases via... |
|---|---|---|---|
| 3194719 | MS16-136: Beschrijving van de beveiligingsupdate voor SQL Server 2012 SP2 GDR: 8 november 2016 | 11.0.5058.0 - 11.0.5387.0 | MS15-058 |
| 3194725 | MS16-136: Beschrijving van de beveiligingsupdate voor SQL Server 2012 SP2 CU: 8 november 2016 | 11.0.5500.0 - 11.0.5675.0 | SQL Server 2012 SP2 CU15 |
| 3194721 | MS16-136: Beschrijving van de beveiligingsupdate voor SQL Server 2012 Service Pack 3 GDR: 8 november 2016 | 11.0.6020.0 - 11.0.6247.0 | SQL Server 2012 SP3 |
| 3194724 | MS16-136: Beschrijving van de beveiligingsupdate voor SQL Server 2012 Service Pack 3 CU: 8 november 2016 | 11.0.6300.0 - 11.0.6566.0 | SQL Server 2012 SP3 CU6 |
| 3194720 | MS16-136: Beschrijving van de beveiligingsupdate voor SQL Server 2014 Service Pack 1 GDR: 8 november 2016 | 12.0.4100.0 - 12.0.4231.0 | Belangrijke update voor SQL Server 2014 SP1 (KB3070446) |
| 3194722 | MS16-136: Beschrijving van de beveiligingsupdate voor SQL Server 2014 Service Pack 1 CU: 8 november 2016 | 12.0.4400.0 - 12.0.4486.0 | SQL Server 2014 SP1 CU9 |
| 3194714 | MS16-136: Beschrijving van de beveiligingsupdate voor SQL Server 2014 Service Pack 2 GDR: 8 november 2016 | 12.0.5000.0 - 12.0.5202.0 | SQL Server 2014 SP2 |
| 3194718 | MS16-136: Beschrijving van de beveiligingsupdate voor SQL Server 2014 Service Pack 2 CU: 8 november 2016 | 12.0.5400.0 - 12.0.5531.0 | SQL Server 2014 SP2 CU2 |
| 3194716 | MS16-136: Beschrijving van de beveiligingsupdate voor SQL Server 2016 GDR: 8 november 2016 | 13.0.1605.0 - 13.0.1721.0 | Essentiële update voor SQL Server 2016 Analysis Services (KB3179258) |
| 3194717 | MS16-136: Beschrijving van de beveiligingsupdate voor SQL Server 2016 CU: 8 november 2016 | 13.0.2100.0 - 13.0.2182.0 | SQL Server 2016 CU3 |
Zie de subsectie Informatie over beveiligingsupdates voor uw SQL Server-editie in de sectie Updategegevens voor aanvullende installatie-instructies.
Wat zijn de GDR- en CU-bijwerkbenamingen en hoe verschillen ze?
De aanduidingen General Distribution Release (GDR) en Cumulatief bijwerken (CU) komen overeen met de twee verschillende updateservicebranches voor SQL Server. Het belangrijkste verschil tussen de twee is dat CU-vertakkingen cumulatief alle updates voor een bepaalde basislijn bevatten, terwijl GDR-vertakkingen alleen cumulatieve essentiële updates voor een bepaalde basislijn bevatten. Een basislijn kan de eerste RTM-release of een servicepack zijn.
Voor een bepaalde basislijn zijn de GDR- of CU-vertakkingsupdates opties als u zich in de basislijn bevindt of alleen een eerdere GDR-update voor die basislijn hebt geïnstalleerd. De CU-vertakking is de enige optie als u een eerdere SQL Server CU hebt geïnstalleerd voor de basislijn waarop u zich bevindt.
Worden deze beveiligingsupdates aangeboden aan SQL Server-clusters?
Ja. De updates worden ook aangeboden aan SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 en SQL Server 2016 RTM-exemplaren die zijn geclusterd. Voor updates voor SQL Server-clusters is gebruikersinteractie vereist.
Als het SQL Server 2012 SP2/SP3-, SQL Server 2014 SP1/SP2- en SQL Server 2016 RTM-cluster een passief knooppunt heeft, raadt Microsoft u aan eerst de update te scannen en toe te passen op het inactieve knooppunt en deze vervolgens te scannen en toe te passen op het actieve knooppunt. Wanneer alle onderdelen op alle knooppunten zijn bijgewerkt, wordt de update niet meer aangeboden.
Kunnen de beveiligingsupdates worden toegepast op SQL Server-exemplaren in Windows Azure (IaaS)?
Ja. SQL Server-exemplaren in Windows Azure (IaaS) kunnen de beveiligingsupdates via Microsoft Update worden aangeboden, of klanten kunnen de beveiligingsupdates downloaden vanuit het Microsoft Downloadcentrum en ze handmatig toepassen.
Ernstclassificaties en id's voor beveiligingsproblemen
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Index exploitabiliteit in de samenvatting van het bulletin van november.
| Ernstclassificatie van beveiligingsproblemen en maximale beveiligingsimpact door betrokken software | ||||||
|---|---|---|---|---|---|---|
| Betrokken software | EoP-beveiligingsprobleem met SQL RDBMS Engine - CVE-2016-7249 | EoP-beveiligingsprobleem met SQL RDBMS Engine - CVE-2016-7250 | EoP-beveiligingsprobleem met SQL RDBMS Engine - CVE-2016-7254 | Beveiligingsprobleem met MDS API XSS - CVE-2016-7251 | Beveiligingsprobleem met betrekking tot openbaarmaking van SQL Analysis Services -CVE-2016-7252 | Beveiligingsprobleem met SQL Server Agent-uitbreiding van bevoegdheden - CVE-2016-7253 |
| SQL Server 2012 Service Pack 2 | ||||||
| Microsoft SQL Server 2012 voor 32-bits systemen Service Pack 2 | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden |
| Microsoft SQL Server 2012 voor x64-systemen Service Pack 2 | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden |
| SQL Server 2012 Service Pack 3 | ||||||
| Microsoft SQL Server 2012 voor 32-bits systemen Service Pack 3 | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden |
| Microsoft SQL Server 2012 voor op x64 gebaseerde Systemen Service Pack 3 | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden |
| SQL Server 2014 Service Pack 1 | ||||||
| Microsoft SQL Server 2014 Service Pack 1 voor 32-bits systemen | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden | Niet van toepassing | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden |
| Microsoft SQL Server 2014 Service Pack 1 voor x64-systemen | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden | Niet van toepassing | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden |
| SQL Server 2014 Service Pack 2 | ||||||
| Microsoft SQL Server 2014 Service Pack 2 voor 32-bits systemen | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden | Niet van toepassing | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden |
| Microsoft SQL Server 2014 Service Pack 2 voor x64-systemen | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden | Niet van toepassing | Niet van toepassing | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden |
| SQL Server 2016 | ||||||
| Microsoft SQL Server 2016 voor x64-systemen | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitbreiding van bevoegdheden | Niet van toepassing | Belangrijke uitbreiding van bevoegdheden | Belangrijk \ Openbaarmaking van informatie | Niet van toepassing |
Informatie over het beveiligingsprobleem
Meerdere SQL RDBMS-engine-uitbreiding van beveiligingsproblemen met bevoegdheden
Er bestaan onrechtmatige uitbreiding van beveiligingsproblemen in Microsoft SQL Server wanneer aanwijzercasting onjuist wordt afgehandeld. Een aanvaller kan misbruik maken van de beveiligingsproblemen als hun referenties toegang verlenen tot een betrokken SQL Server-database. Een aanvaller die misbruik heeft gemaakt van de beveiligingsproblemen, kan verhoogde bevoegdheden krijgen die kunnen worden gebruikt om gegevens weer te geven, te wijzigen of te verwijderen; of maak nieuwe accounts.
Met de beveiligingsupdate worden de beveiligingsproblemen opgelost door te corrigeren hoe SQL Server pointercasting verwerkt
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
| Titel van beveiligingsprobleem | CVE-nummer | Openbaar gemaakt | Benut |
|---|---|---|---|
| Beveiligingsprobleem met SQL RDBMS-engine-uitbreiding van bevoegdheden | CVE-2016-7249 | Nee | Nr. |
| Beveiligingsprobleem met SQL RDBMS-engine-uitbreiding van bevoegdheden | CVE-2016-7250 | Nee | Nr. |
| Beveiligingsprobleem met SQL RDBMS-engine-uitbreiding van bevoegdheden | CVE-2016-7254 | Nee | Nr. |
Factoren beperken
Microsoft heeft geen beperkende factoren geïdentificeerd voor deze beveiligingsproblemen.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen geïdentificeerd voor deze beveiligingsproblemen.
MDS API XSS-beveiligingsprobleem- CVE-2016-7251
Er bestaat een BEVEILIGINGSprobleem met XSS-uitbreiding van bevoegdheden in SQL Server MDS waarmee een aanvaller een script aan de clientzijde kan injecteren in het exemplaar van Internet Explorer van de gebruiker. Het beveiligingsprobleem wordt veroorzaakt wanneer de SQL Server MDS een aanvraagparameter niet goed valideert op de SQL Server-site. Het script kan inhoud spoofen, informatie vrijgeven of actie ondernemen die de gebruiker namens de betreffende gebruiker kan uitvoeren op de site.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door te corrigeren hoe SQL Server MDS de aanvraagparameter valideert.
De volgende tabel bevat een koppeling naar de standaardvermelding voor het beveiligingsprobleem in de lijst Algemene beveiligingsproblemen en blootstellingen:
| Titel van beveiligingsprobleem | CVE-nummer | Openbaar gemaakt | Benut |
|---|---|---|---|
| MDS API XSS-beveiligingsprobleem | CVE-2016-7251 | Nee | Nr. |
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Beveiligingsprobleem met openbaarmaking van SQL Analysis Services-gegevens - CVE-2016-7252
Er bestaat een beveiligingsprobleem met betrekking tot openbaarmaking van informatie in Microsoft SQL Analysis Services wanneer het FILESTREAM-pad onjuist wordt gecontroleerd. Een aanvaller kan misbruik maken van het beveiligingsprobleem als hun referenties toegang verlenen tot een betrokken SQL Server-database. Een aanvaller die het beveiligingsprobleem heeft misbruikt, kan aanvullende database- en bestandsgegevens verkrijgen.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door te corrigeren hoe SQL Server het FILESTREAM-pad verwerkt.
De volgende tabel bevat een koppeling naar de standaardvermelding voor het beveiligingsprobleem in de lijst Algemene beveiligingsproblemen en blootstellingen:
| Titel van beveiligingsprobleem | CVE-nummer | Openbaar gemaakt | Benut |
|---|---|---|---|
| Beveiligingsprobleem met betrekking tot openbaarmaking van SQL Analysis Services-gegevens | CVE-2016-7252 | Nee | Nr. |
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Beveiligingsprobleem met SQL Server Agent-uitbreiding van bevoegdheden- CVE-2016-7253
Er bestaat een beveiligingsprobleem met onrechtmatige uitbreiding van bevoegdheden in Microsoft SQL Server Engine wanneer de SQL Server Agent ACL's onjuist controleert op atxcore.dll. Een aanvaller kan misbruik maken van het beveiligingsprobleem als hun referenties toegang verlenen tot een betrokken SQL Server-database. Een aanvaller die het beveiligingsprobleem heeft misbruikt, kan verhoogde bevoegdheden krijgen die kunnen worden gebruikt om gegevens te bekijken, te wijzigen of te verwijderen; of maak nieuwe accounts.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door te corrigeren hoe SQL Server Engine ACL's verwerkt.
De volgende tabel bevat een koppeling naar de standaardvermelding voor het beveiligingsprobleem in de lijst Algemene beveiligingsproblemen en blootstellingen:
| Titel van beveiligingsprobleem | CVE-nummer | Openbaar gemaakt | Benut |
|---|---|---|---|
| Beveiligingsprobleem met sql Server Agent-uitbreiding van bevoegdheden | CVE-2016-7253 | Nee | Nr. |
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (8 november 2016): Bulletin gepubliceerd.
Pagina gegenereerd 2016-11-09 08:02-08:00.