Biuletyn zabezpieczeń firmy Microsoft MS16-136 — ważne
Aktualizacja zabezpieczeń programu SQL Server (3199641)
Opublikowano: 8 listopada 2016 r.
Wersja: 1.0
Streszczenie
Ta aktualizacja zabezpieczeń usuwa luki w zabezpieczeniach w programie Microsoft SQL Server. Najcięższe luki w zabezpieczeniach mogą umożliwić atakującemu uzyskanie podwyższonych uprawnień, które mogą służyć do wyświetlania, zmieniania lub usuwania danych; lub utwórz nowe konta. Aktualizacja zabezpieczeń usuwa te najcięższe luki w zabezpieczeniach, poprawiając sposób obsługi rzutowania wskaźnika przez program SQL Server.
Ta aktualizacja zabezpieczeń jest oceniana jako ważna dla obsługiwanych wersji dodatków Service Pack 2 i 3 programu Microsoft SQL Server 2014 z dodatkiem Service Pack 1 i 2 oraz programu Microsoft SQL Server 2016. Aby uzyskać więcej informacji, zobacz sekcję Oprogramowanie, którego dotyczy problem .
Aby uzyskać więcej informacji na temat luk w zabezpieczeniach, zobacz sekcję Informacje o lukach w zabezpieczeniach.
Aby uzyskać więcej informacji na temat tej aktualizacji, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 3199641.
Oprogramowanie, którego dotyczy problem
Następujące oprogramowanie zostało przetestowane w celu określenia, na które wersje lub wydania mają wpływ. Inne wersje lub wydania są przeszłości ich cyklu życia pomocy technicznej lub nie mają wpływu. Aby określić cykl życia pomocy technicznej dla wersji lub wydania oprogramowania, zobacz pomoc techniczna firmy Microsoft Cykl życia.
Oprogramowanie, którego dotyczy problem
Często zadawane pytania dotyczące aktualizacji
Istnieją aktualizacje odzyskiwania po awarii i/lub aktualizacji zbiorczej (aktualizacja zbiorcza) oferowane dla mojej wersji programu SQL Server. Jak mogę wiedzieć, której aktualizacji użyć?
Najpierw określ numer wersji programu SQL Server. Aby uzyskać więcej informacji na temat określania numeru wersji programu SQL Server, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 321185.
Po drugie, w poniższej tabeli znajdź numer wersji lub zakres wersji, w którym znajduje się numer wersji. Odpowiednia aktualizacja to ta, którą należy zainstalować.
Uwaga Jeśli numer wersji programu SQL Server nie jest reprezentowany w poniższej tabeli, wersja programu SQL Server nie jest już obsługiwana. Uaktualnij do najnowszego produktu Service Pack lub PROGRAMU SQL Server, aby zastosować te i przyszłe aktualizacje zabezpieczeń.
| Numer aktualizacji | Tytuł | Zastosuj, jeśli bieżąca wersja produktu to... | Ta aktualizacja zabezpieczeń obejmuje również wersje obsługi... |
|---|---|---|---|
| 3194719 | MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2012 SP2 GDR: 8 listopada 2016 r. | 11.0.5058.0 - 11.0.5387.0 | MS15-058 |
| 3194725 | MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2012 SP2 CU: 8 listopada 2016 r. | 11.0.5500.0 - 11.0.5675.0 | SQL Server 2012 SP2 CU15 |
| 3194721 | MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2012 z dodatkiem Service Pack 3 GDR: 8 listopada 2016 r. | 11.0.6020.0 - 11.0.6247.0 | SQL Server 2012 SP3 |
| 3194724 | MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2012 z dodatkiem Service Pack 3 CU: 8 listopada 2016 r. | 11.0.6300.0 - 11.0.6566.0 | SQL Server 2012 SP3 CU6 |
| 3194720 | MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2014 z dodatkiem Service Pack 1 GDR: 8 listopada 2016 r. | 12.0.4100.0 - 12.0.4231.0 | Ważna aktualizacja programu SQL Server 2014 SP1 (KB3070446) |
| 3194722 | MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2014 z dodatkiem Service Pack 1 CU: 8 listopada 2016 r. | 12.0.4400.0 - 12.0.4486.0 | SQL Server 2014 SP1 CU9 |
| 3194714 | MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2014 z dodatkiem Service Pack 2 GDR: 8 listopada 2016 r. | 12.0.5000.0 - 12.0.5202.0 | SQL Server 2014 SP2 |
| 3194718 | MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2014 z dodatkiem Service Pack 2 CU: 8 listopada 2016 r. | 12.0.5400.0 - 12.0.5531.0 | SQL Server 2014 SP2 CU2 |
| 3194716 | MS16-136: Opis aktualizacji zabezpieczeń dla odzyskiwania po awarii programu SQL Server 2016: 8 listopada 2016 r. | 13.0.1605.0 - 13.0.1721.0 | Aktualizacja krytyczna dla usług SQL Server 2016 Analysis Services (KB3179258) |
| 3194717 | MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2016 CU: 8 listopada 2016 r. | 13.0.2100.0 - 13.0.2182.0 | SQL Server 2016 CU3 |
Aby uzyskać dodatkowe instrukcje dotyczące instalacji, zobacz podsekcję Informacje o aktualizacji zabezpieczeń dla wersji programu SQL Server w sekcji Informacje o aktualizacji.
Jakie są oznaczenia aktualizacji GDR i CU oraz jak się różnią?
Oznaczenia Ogólnego wydania dystrybucji (GDR) i aktualizacji zbiorczej (CU) odpowiadają dwóm różnym gałęziom obsługi aktualizacji w miejscu dla programu SQL Server. Podstawową różnicą między nimi jest to, że gałęzie aktualizacji zbiorczo obejmują wszystkie aktualizacje dla danego punktu odniesienia, podczas gdy gałęzie odzyskiwania po awarii obejmują tylko zbiorcze aktualizacje krytyczne dla danego punktu odniesienia. Punktem odniesienia może być początkowa wersja RTM lub dodatek Service Pack.
W przypadku dowolnego punktu odniesienia aktualizacje gałęzi GDR lub CU są opcjami, jeśli jesteś w punkcie odniesienia lub zainstalowano tylko poprzednią aktualizację odzyskiwania po awarii dla tego punktu odniesienia. Gałąź cu jest jedyną opcją, jeśli zainstalowano poprzednią aktualizację CU programu SQL Server dla punktu odniesienia, na którym się znajdujesz.
Czy te aktualizacje zabezpieczeń będą oferowane klastrom programu SQL Server?
Tak. Aktualizacje będą również oferowane dla wystąpień SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 i SQL Server 2016 RTM, które są klastrowane. Aktualizacje dla klastrów programu SQL Server będą wymagały interakcji z użytkownikiem.
Jeśli klaster SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 i SQL Server 2016 RTM ma węzeł pasywny, aby zmniejszyć przestoje, firma Microsoft zaleca skanowanie i stosowanie aktualizacji do nieaktywnego węzła, a następnie skanowanie i zastosowanie go do aktywnego węzła. Po zaktualizowaniu wszystkich składników we wszystkich węzłach aktualizacja nie będzie już oferowana.
Czy aktualizacje zabezpieczeń można zastosować do wystąpień programu SQL Server na platformie Windows Azure (IaaS)?
Tak. Wystąpienia programu SQL Server na platformie Windows Azure (IaaS) mogą być oferowane przez usługę Microsoft Update lub klienci mogą pobierać aktualizacje zabezpieczeń z Centrum pobierania Microsoft i stosować je ręcznie.
Klasyfikacje ważności i identyfikatory luk w zabezpieczeniach
Następujące oceny ważności zakładają potencjalny maksymalny wpływ luki w zabezpieczeniach. Aby uzyskać informacje dotyczące prawdopodobieństwa, w ciągu 30 dni od wydania tego biuletynu zabezpieczeń, możliwości wykorzystania luki w zabezpieczeniach w odniesieniu do jego oceny ważności i wpływu na zabezpieczenia, zobacz indeks wykorzystania w podsumowaniu biuletynu listopada.
| Ocena ważności luk w zabezpieczeniach i maksymalny wpływ na zabezpieczenia przez oprogramowanie, którego dotyczy problem | ||||||
|---|---|---|---|---|---|---|
| Oprogramowanie, którego dotyczy problem | Luka w zabezpieczeniach EoP aparatu SQL RDBMS — CVE-2016-7249 | Luka w zabezpieczeniach EoP aparatu SQL RDBMS — CVE-2016-7250 | Luka w zabezpieczeniach EoP aparatu SQL RDBMS — CVE-2016-7254 | Luka w zabezpieczeniach XSS interfejsu API MDS — CVE-2016-7251 | Luka w zabezpieczeniach dotycząca ujawniania informacji w usługach SQL Analysis Services — CVE-2016-7252 | Luka w zabezpieczeniach dotycząca podniesienia uprawnień agenta programu SQL Server — CVE-2016-7253 |
| SQL Server 2012 z dodatkiem Service Pack 2 | ||||||
| Microsoft SQL Server 2012 dla systemów 32-bitowych z dodatkiem Service Pack 2 | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień |
| Microsoft SQL Server 2012 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień |
| SQL Server 2012 z dodatkiem Service Pack 3 | ||||||
| Microsoft SQL Server 2012 dla 32-bitowych systemów z dodatkiem Service Pack 3 | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień |
| Microsoft SQL Server 2012 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 3 | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień |
| SQL Server 2014 z dodatkiem Service Pack 1 | ||||||
| Microsoft SQL Server 2014 z dodatkiem Service Pack 1 dla systemów 32-bitowych | Nie dotyczy | Ważne podniesienie uprawnień | Nie dotyczy | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień |
| Microsoft SQL Server 2014 z dodatkiem Service Pack 1 dla systemów opartych na architekturze x64 | Nie dotyczy | Ważne podniesienie uprawnień | Nie dotyczy | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień |
| SQL Server 2014 z dodatkiem Service Pack 2 | ||||||
| Microsoft SQL Server 2014 z dodatkiem Service Pack 2 dla systemów 32-bitowych | Nie dotyczy | Ważne podniesienie uprawnień | Nie dotyczy | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień |
| Microsoft SQL Server 2014 z dodatkiem Service Pack 2 dla systemów opartych na architekturze x64 | Nie dotyczy | Ważne podniesienie uprawnień | Nie dotyczy | Nie dotyczy | Nie dotyczy | Ważne podniesienie uprawnień |
| SQL Server 2016 | ||||||
| Microsoft SQL Server 2016 dla systemów opartych na architekturze x64 | Ważne podniesienie uprawnień | Ważne podniesienie uprawnień | Nie dotyczy | Ważne podniesienie uprawnień | Ważne \ Ujawnienie informacji | Nie dotyczy |
Informacje o lukach w zabezpieczeniach
Wiele luk w zabezpieczeniach dotyczących podniesienia uprawnień aparatu RDBMS sql
Luki w zabezpieczeniach podniesienia uprawnień istnieją w programie Microsoft SQL Server, gdy nieprawidłowo obsługuje rzutowanie wskaźników. Osoba atakująca może wykorzystać luki w zabezpieczeniach, jeśli ich poświadczenia zezwalają na dostęp do bazy danych programu SQL Server, której dotyczy problem. Osoba atakująca, która pomyślnie wykorzystała luki w zabezpieczeniach, może uzyskać podwyższone uprawnienia, których można użyć do wyświetlania, zmieniania lub usuwania danych; lub utwórz nowe konta.
Aktualizacja zabezpieczeń usuwa luki w zabezpieczeniach, poprawiając sposób obsługi rzutowania wskaźnika przez program SQL Server
Poniższa tabela zawiera linki do standardowego wpisu dla każdej luki w zabezpieczeniach na liście Typowe luki w zabezpieczeniach i ekspozycji:
| Tytuł luki w zabezpieczeniach | Numer CVE | Ujawnione publicznie | Wykorzystać |
|---|---|---|---|
| Luka w zabezpieczeniach dotycząca podniesienia uprawnień aparatu SQL RDBMS | CVE-2016-7249 | Nie | Nie. |
| Luka w zabezpieczeniach dotycząca podniesienia uprawnień aparatu SQL RDBMS | CVE-2016-7250 | Nie | Nie. |
| Luka w zabezpieczeniach dotycząca podniesienia uprawnień aparatu SQL RDBMS | CVE-2016-7254 | Nie | Nie. |
Czynniki korygujące
Firma Microsoft nie zidentyfikowała żadnych czynników korygujących te luki w zabezpieczeniach.
Obejścia
Firma Microsoft nie zidentyfikowała żadnych obejść tych luk w zabezpieczeniach.
Luka w zabezpieczeniach XSS interfejsu API MDS — CVE-2016-7251
Luka w zabezpieczeniach dotycząca podniesienia uprawnień XSS istnieje w usłudze SQL Server MDS, która może umożliwić osobie atakującej wstrzyknięcie skryptu po stronie klienta do wystąpienia programu Internet Explorer użytkownika. Luka w zabezpieczeniach jest spowodowana tym, że usługa MDS programu SQL Server nie weryfikuje poprawnie parametru żądania w lokacji programu SQL Server. Skrypt może fałszować zawartość, ujawniać informacje lub podejmować wszelkie działania, które użytkownik może wykonać w witrynie w imieniu docelowego użytkownika.
Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach, poprawiając sposób sprawdzania poprawności parametru żądania przez usługę MDS programu SQL Server.
Poniższa tabela zawiera link do standardowego wpisu luki w zabezpieczeniach na liście Typowe luki w zabezpieczeniach i ekspozycji:
| Tytuł luki w zabezpieczeniach | Numer CVE | Ujawnione publicznie | Wykorzystać |
|---|---|---|---|
| Luka w zabezpieczeniach XSS interfejsu API MDS | CVE-2016-7251 | Nie | Nie. |
Czynniki korygujące
Firma Microsoft nie zidentyfikowała żadnych czynników korygujących tę lukę w zabezpieczeniach.
Obejścia
Firma Microsoft nie zidentyfikowała żadnych obejść tej luki w zabezpieczeniach .
Luka w zabezpieczeniach dotycząca ujawniania informacji w usługach SQL Analysis Services — CVE-2016-7252
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji istnieje w usługach Microsoft SQL Analysis Services, gdy nieprawidłowo sprawdza ścieżkę FILESTREAM. Osoba atakująca może wykorzystać tę lukę w zabezpieczeniach, jeśli ich poświadczenia zezwalają na dostęp do bazy danych programu SQL Server, której dotyczy problem. Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może uzyskać dodatkowe informacje o bazie danych i plikach.
Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach, poprawiając sposób obsługi ścieżki FILESTREAM przez program SQL Server.
Poniższa tabela zawiera link do standardowego wpisu luki w zabezpieczeniach na liście Typowe luki w zabezpieczeniach i ekspozycji:
| Tytuł luki w zabezpieczeniach | Numer CVE | Ujawnione publicznie | Wykorzystać |
|---|---|---|---|
| Luka w zabezpieczeniach dotycząca ujawniania informacji w usługach SQL Analysis Services | CVE-2016-7252 | Nie | Nie. |
Czynniki korygujące
Firma Microsoft nie zidentyfikowała żadnych czynników korygujących tę lukę w zabezpieczeniach
Obejścia
Firma Microsoft nie zidentyfikowała żadnych obejść tej luki w zabezpieczeniach .
Luka w zabezpieczeniach dotycząca podniesienia uprawnień agenta programu SQL Server — CVE-2016-7253
Luka w zabezpieczeniach dotycząca podniesienia uprawnień istnieje w a aparatu programu Microsoft SQL Server, gdy program SQL Server Agent niepoprawnie sprawdza listy ACL w atxcore.dll. Osoba atakująca może wykorzystać tę lukę w zabezpieczeniach, jeśli ich poświadczenia zezwalają na dostęp do bazy danych programu SQL Server, której dotyczy problem. Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może uzyskać podwyższony poziom uprawnień, który może służyć do wyświetlania, zmieniania lub usuwania danych; lub utwórz nowe konta.
Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach, poprawiając sposób obsługi list ACL przez aparat programu SQL Server.
Poniższa tabela zawiera link do standardowego wpisu luki w zabezpieczeniach na liście Typowe luki w zabezpieczeniach i ekspozycji:
| Tytuł luki w zabezpieczeniach | Numer CVE | Ujawnione publicznie | Wykorzystać |
|---|---|---|---|
| Luka w zabezpieczeniach dotycząca podniesienia uprawnień agenta programu SQL Server | CVE-2016-7253 | Nie | Nie. |
Czynniki korygujące
Firma Microsoft nie zidentyfikowała żadnych czynników korygujących tę lukę w zabezpieczeniach.
Obejścia
Firma Microsoft nie zidentyfikowała żadnych obejść tej luki w zabezpieczeniach .
Podziękowania
Firma Microsoft uznaje wysiłki osób w społeczności zabezpieczeń, które pomagają nam chronić klientów poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Aby uzyskać więcej informacji, zobacz Potwierdzenie .
Zastrzeżenie
Informacje podane w bazie wiedzy Microsoft Knowledge Base są dostarczane "tak, jak to jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Poprawki
- Wersja 1.0 (8 listopada 2016 r.): Opublikowano biuletyn.
Strona wygenerowana 2016-11-09 08:02-08:00.