Boletim de Segurança da Microsoft MS15-058 – Importante

Vulnerabilidades no SQL Server podem permitir a execução remota de código (3065718)

Publicado em: 14 de julho de 2015 | Atualizado em: 9 de dezembro de 2015

Versão: 1.2

Resumo executivo

Essa atualização de segurança resolve vulnerabilidades no Microsoft SQL Server. As vulnerabilidades mais graves poderão permitir a execução remota de código se um invasor autenticado executar uma consulta especialmente criada que foi projetada para executar uma função virtual de um endereço errado, levando a uma chamada de função para memória não inicializada. Para explorar essa vulnerabilidade, um invasor precisaria de permissões para criar ou modificar um banco de dados.

Esta atualização de segurança é classificada como Importante para edições com suporte do Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2012 e Microsoft SQL Server 2014. Para obter mais informações, consulte a seção Software Afetado .

A atualização de segurança aborda as vulnerabilidades corrigindo como SQL Server lida com chamadas de função internas e conversão de ponteiro. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações de vulnerabilidade .

Para obter mais informações sobre essa atualização, consulte Artigo da Base de Dados de Conhecimento Microsoft 3065718.

Software afetado

O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições estão além do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Suporte da Microsoft Ciclo de vida.

Software afetado 

Atualizações de Software GDR QFE Software Atualizações Impacto máximo na segurança Classificação de severidade agregada Atualizações substituído
SQL Server 2008 Service Pack 3
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3 (3045305) Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3 (3045303) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 3 (3045305) Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 3 (3045303) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 para sistemas baseados em Itanium Service Pack 3 (3045305) Microsoft SQL Server 2008 para sistemas baseados em Itanium Service Pack 3 (3045303) Execução remota de código Importante Nenhum
SQL Server 2008 Service Pack 4
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 4 (3045311) Microsoft SQL Server 2008 para Sistemas de 32 bits Service Pack 4 (3045308) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 4 (3045311) Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 4 (3045308) Execução remota de código Importante Nenhum
SQL Server 2008 R2 Service Pack 2
Microsoft SQL Server 2008 R2 para Sistemas de 32 bits Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 para Sistemas de 32 bits Service Pack 2 (3045312) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 2 (3045312) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 R2 para sistemas baseados em Itanium Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 para sistemas baseados em Itanium Service Pack 2 (3045312) Execução remota de código Importante Nenhum
SQL Server 2008 R2 Service Pack 3
Microsoft SQL Server 2008 R2 para Sistemas de 32 bits Service Pack 3 (3045316) Microsoft SQL Server 2008 R2 para Sistemas de 32 bits Service Pack 3 (3045314) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 3 (3045316) Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 3 (3045314) Execução remota de código Importante Nenhum
SQL Server 2012 Service Pack 1
Microsoft SQL Server 2012 para Sistemas de 32 bits Service Pack 1 (3045318) Microsoft SQL Server 2012 para Sistemas de 32 bits Service Pack 1 (3045317) Execução remota de código Importante Nenhum
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 1 (3045318) Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 1 (3045317) Execução remota de código Importante Nenhum
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 (3045321) Microsoft SQL Server 2012 para Sistemas de 32 bits Service Pack 2 (3045319) Execução remota de código Importante Nenhum
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2 (3045321) Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2 (3045319) Execução remota de código Importante Nenhum
SQL Server 2014
Microsoft SQL Server 2014 para sistemas de 32 bits (3045324) Microsoft SQL Server 2014 para sistemas de 32 bits (3045323) Execução remota de código Importante Nenhum
Microsoft SQL Server 2014 para sistemas baseados em x64 (3045324) Microsoft SQL Server 2014 para sistemas baseados em x64 (3045323) Execução remota de código Importante Nenhum

Perguntas frequentes sobre atualização

Há atualizações de GDR e/ou QFE oferecidas para minha versão do SQL Server. Como fazer sabe qual atualização usar?
Primeiro, determine o número de versão do SQL Server. Para obter mais informações sobre como determinar seu número de versão do SQL Server, consulte Artigo da Base de Dados de Conhecimento Microsoft 321185.

Em segundo lugar, na tabela abaixo, localize o número de versão ou o intervalo de versão no qual o número de versão se enquadra. A atualização correspondente é aquela que você precisa instalar.

Nota Se o SQL Server número de versão não estiver representado na tabela abaixo, sua versão SQL Server não terá mais suporte. Atualize para o Service Pack ou SQL Server produto mais recente para aplicar esta e futuras atualizações de segurança.

Atualizar número Título Aplicar se a versão atual do produto for... Essa atualização de segurança também inclui versões de manutenção por meio de...
3045305 MS15-058: Descrição da atualização de segurança para SQL Server 2008 Service Pack 3 GDR: 14 de julho de 2015 10.00.5500.00 ou 10.00.5520.00 2008 SP3 GDR (MS14-044)
3045303 MS15-058: Descrição da atualização de segurança para SQL Server 2008 Service Pack 3 QFE: 14 de julho de 2015 10.00.5750. - 10.00.5869.00 2008 SP3 CU17
3045311 MS15-058: Descrição da atualização de segurança para SQL Server 2008 Service Pack 4 GDR: 14 de julho de 2015 10.0.6000.29 2008 SP4
3045308 MS15-058: Descrição da atualização de segurança para SQL Server 2008 Service Pack 4 QFE: 14 de julho de 2015 10.0.6500.00 - 10.0.6526.0 2008 SP4
3045313 MS15-058: Descrição da atualização de segurança para SQL Server 2008 R2 Service Pack 2 GDR: 14 de julho de 2015 10.50.4000.0 ou 10.50.4033.0 2008 R2 SP2 GDR (MS14-044)
3045312 MS15-058: Descrição da atualização de segurança para SQL Server 2008 R2 Service Pack 2 QFE: 14 de julho de 2015 10.50.4251.0 - 10.50.4331.0 2008 R2 SP2 CU13
3045316 MS15-058: Descrição da atualização de segurança para SQL Server 2008 R2 Service Pack 3 GDR: 14 de julho de 2015 10.50.6000.34 2008 R2 SP3
3045314 MS15-058: Descrição da atualização de segurança para SQL Server 2008 R2 Service Pack 3 QFE: 14 de julho de 2015 10.50.6500.0 - 10.50.6525.0 2008 R2 SP3
3045318 MS15-058: Descrição da atualização de segurança para SQL Server 2012 SP1 GDR: 14 de julho de 2015 11.0.3000.0 ou 11.0.3153.0 2012 SP1 GDR (MS14-044)
3045317 MS15-058: Descrição da atualização de segurança para SQL Server 2012 SP1 QFE: 14 de julho de 2015 11.0.3300.0 - 11.0.3492.0 2012 SP1 CU16
3045321 MS15-058: Descrição da atualização de segurança para SQL Server 2012 Service Pack 2 GDR: 14 de julho de 2015 11.0.5058.0 2012 SP2
3045319 MS15-058: Descrição da atualização de segurança para SQL Server 2012 Service Pack 2 QFE: 14 de julho de 2015 11.0.5500.0 - 11.0.5592.0 2012 SP2 CU6
3045324 MS15-058: Descrição da atualização de segurança para SQL Server 2014 GDR: 14 de julho de 2015 12.0.2000.8 ou 12.0.2254.0 2014 RTM GDR (MS14-044)
3045323 MS15-058: Descrição da atualização de segurança para SQL Server 2014 QFE: 14 de julho de 2015 12.0.2300.0 - 12.0.2546.0 RTM CU8 2014
3070446 MS15-058: Descrição da atualização não relacionada à segurança para SQL Server 2014 Service Pack 1 GDR: 14 de julho de 2015 12.0.4100.1 2014 SP1

Nota Para o branch GDR, depois de aplicar a atualização, você não verá a execução do script de atualização do banco de dados. Esse é o comportamento esperado, pois o patch substitui apenas os arquivos binários.

Para obter instruções adicionais de instalação, consulte a subseção Informações de Atualização de Segurança para sua edição SQL Server na seção Informações de Atualização.

Quais são as designações de atualização de GDR e QFE e como elas diferem?
As designações de GDR (Versão de Distribuição Geral) e QFE (Engenharia de Correção Rápida) correspondem aos dois branches de manutenção de atualização diferentes em vigor para SQL Server. A principal diferença entre os dois é que os branches QFE incluem cumulativamente todas as atualizações, enquanto os branches GDR incluem apenas atualizações de segurança para uma determinada linha de base. Uma linha de base pode ser a versão inicial do RTM ou um Service Pack.

Para qualquer linha de base específica, as atualizações de branch GDR ou QFE são opções se você estiver na linha de base ou tiver instalado uma atualização de GDR anterior para essa linha de base. O branch QFE será a única opção se você tiver instalado um QFE anterior para a linha de base em que está.

Essas atualizações de segurança serão oferecidas para SQL Server clusters? 
Sim. As atualizações também serão oferecidas para SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 e SQL Server 2014 que estão clusterizados. Atualizações para clusters SQL Server exigirão interação do usuário.

Se o cluster SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 ou SQL Server 2014 tiver um nó passivo, para reduzir o tempo de inatividade, a Microsoft recomenda que você verifique e aplique a atualização ao nó inativo primeiro, depois verifique e aplique-o ao nó ativo. Quando todos os componentes tiverem sido atualizados em todos os nós, a atualização não será mais oferecida.

As atualizações de segurança podem ser aplicadas a instâncias SQL Server no Windows Azure (IaaS)?
Sim. SQL Server instâncias no Windows Azure (IaaS) podem receber as atualizações de segurança por meio do Microsoft Update ou os clientes podem baixar as atualizações de segurança do Centro de Download da Microsoft e aplicá-las manualmente.

Essa atualização de segurança contém alterações não relacionadas à segurança na funcionalidade?
Sim. Além das alterações relacionadas à segurança discutidas na seção Detalhes da Vulnerabilidade deste boletim, a atualização de segurança também inclui algumas correções importantes não relacionadas à segurança. Para obter mais informações, consulte Artigo da Base de Dados de Conhecimento Microsoft 3065718.

Estou executando o Microsoft SQL Server 2014 Service Pack 1, que não está listado como software afetado. Por que me oferecem uma atualização?
O Microsoft SQL Server 2014 Service Pack 1 não é afetado pelas vulnerabilidades discutidas neste boletim, mas está sujeito a uma correção não relacionada à segurança importante que está sendo lançada com essa atualização de segurança. Portanto, os clientes que executam a ramificação GDR do Microsoft SQL Server 2014 Service Pack 1 receberão 3070446 de atualização sem segurança. Para obter uma descrição geral da atualização não relacionada à segurança, consulte Artigo da Base de Dados de Conhecimento Microsoft 3070446. Para obter mais informações sobre a correção não de segurança, consulte Artigo da Base de Dados de Conhecimento Microsoft 3067257.

Classificações de severidade e identificadores de vulnerabilidade

As classificações de severidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da explorabilidade da vulnerabilidade em relação à classificação de gravidade e ao impacto de segurança, consulte o Índice de Exploração no resumo do boletim de julho.

Classificação de severidade de vulnerabilidade e impacto máximo de segurança pelo software afetado
Software afetado SQL Server vulnerabilidade de elevação de privilégio – CVE-2015-1761 SQL Server vulnerabilidade de execução remota de código – CVE-2015-1762 SQL Server vulnerabilidade de execução remota de código – CVE-2015-1763 Classificação de severidade agregada
SQL Server 2008 Service Pack 3
Microsoft SQL Server 2008 para Sistemas de 32 bits Service Pack 3 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 3 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
Microsoft SQL Server 2008 para sistemas baseados em Itanium Service Pack 3 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
SQL Server 2008 Service Pack 4
Microsoft SQL Server 2008 para Sistemas de 32 bits Service Pack 4 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 4 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
SQL Server 2008 R2 Service Pack 2
Microsoft SQL Server 2008 R2 para Sistemas de 32 bits Service Pack 2 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 2 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
Microsoft SQL Server 2008 R2 para Sistemas baseados em Itanium Service Pack 2 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
SQL Server 2008 R2 Service Pack 3
Microsoft SQL Server 2008 R2 para Sistemas de 32 bits Service Pack 3 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 3 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
SQL Server 2012 Service Pack 1
Microsoft SQL Server 2012 para Sistemas de 32 bits Service Pack 1 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 1 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 para Sistemas de 32 bits Service Pack 2 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
SQL Server 2014
Microsoft SQL Server 2014 para sistemas de 32 bits Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante
Microsoft SQL Server 2014 para sistemas baseados em x64 Importante Elevação de privilégio Importante Execução remota de código Importante Execução remota de código Importante

Informações de vulnerabilidade

SQL Server vulnerabilidade de elevação de privilégio – CVE-2015-1761

Existe uma vulnerabilidade de elevação de privilégio no Microsoft SQL Server quando converte incorretamente ponteiros em uma classe incorreta. Um invasor poderá explorar a vulnerabilidade se suas credenciais permitirem o acesso a um banco de dados do SQL Server afetado. Um invasor que explorou com êxito essa vulnerabilidade pode obter privilégios elevados que poderiam ser usados para exibir, alterar ou excluir dados; ou crie novas contas.

A atualização de segurança resolve a vulnerabilidade corrigindo como SQL Server lida com a conversão de ponteiro.

A Microsoft recebeu informações sobre a vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não recebeu nenhuma informação para indicar que essa vulnerabilidade havia sido usada publicamente para atacar clientes.

Atenuando fatores

Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Requer permissões para criar ou modificar dados ou esquema de banco de dados
    Para explorar essa vulnerabilidade, um invasor precisaria de permissões para criar ou modificar um banco de dados.

Soluções Alternativas

As seguintes soluções alternativas podem ser úteis em sua situação:

  • Limitar permissões no servidor para criação de banco de dados e esquema
    Como a vulnerabilidade é explorável somente dentro do contexto de esquema, dados e consultas de banco de dados muito específicos, a exploração pode ser evitada controlando estritamente quem tem permissões para criar bancos de dados e esquema no servidor. Observe que a vulnerabilidade é exposta em casos de borda muito específicos; é extremamente difícil definir o esquema e a consulta que exporiam a vulnerabilidade.

    Diretrizes adicionais: no caso improvável de que SQL Server cause um erro de violação de acesso/prevenção de execução de dados durante a execução de consulta específica, reescreva a consulta dividindo-a em partes e/ou adicionando dicas de consulta.

SQL Server vulnerabilidade de execução remota de código – CVE-2015-1762

Existe uma vulnerabilidade de execução remota de código no Microsoft SQL Server quando ele manipula incorretamente chamadas de função internas para memória não inicializada. Um invasor poderá explorar a vulnerabilidade se um usuário privilegiado executar uma consulta especialmente criada em um SQL Server afetado que tenha configurações de permissão especiais (como VIEW SERVER STATE) ativadas. Um invasor que explorou essa vulnerabilidade com êxito pode assumir o controle total de um sistema afetado. Um invasor poderia instalar programas; exibir, alterar ou excluir dados; ou crie novas contas.

A atualização de segurança resolve a vulnerabilidade corrigindo como SQL Server lida com chamadas de função internas para memória não inicializada.

A Microsoft recebeu informações sobre a vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não recebeu nenhuma informação para indicar que essa vulnerabilidade havia sido usada publicamente para atacar clientes.

Atenuando fatores

Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Requer configuração específica
    Para explorar essa vulnerabilidade, a replicação transacional deve ser habilitada e o invasor deve ter configurações de permissão especiais (como VIEW SERVER STATE) ativadas.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essa vulnerabilidade.

SQL Server vulnerabilidade de execução remota de código – CVE-2015-1763

Existe uma vulnerabilidade de execução de código remoto autenticada no Microsoft SQL Server quando ele manipula incorretamente chamadas de função internas para memória não inicializada. Um invasor poderá explorar a vulnerabilidade se um usuário privilegiado executar uma consulta especialmente criada que foi projetada para executar uma função virtual de um endereço errado, levando a uma chamada de função para memória não inicializada. Um invasor que explorou essa vulnerabilidade com êxito pode assumir o controle total de um sistema afetado. Um invasor poderia instalar programas; exibir, alterar ou excluir dados; ou crie novas contas.

A atualização de segurança resolve a vulnerabilidade corrigindo como SQL Server lida com chamadas de função internas para memória não inicializada.

A Microsoft recebeu informações sobre a vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não recebeu nenhuma informação para indicar que essa vulnerabilidade havia sido usada publicamente para atacar clientes.

Atenuando fatores

A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade.

Soluções Alternativas

As seguintes soluções alternativas podem ser úteis em sua situação:

  • Limitar permissões no servidor para criação de banco de dados e esquema
    Como a vulnerabilidade é explorável somente dentro do contexto de esquema, dados e consultas de banco de dados muito específicos, a exploração pode ser evitada controlando estritamente quem tem permissões para criar bancos de dados e esquema no servidor. Observe que a vulnerabilidade é exposta em casos de borda muito específicos; é extremamente difícil definir o esquema e a consulta que exporiam a vulnerabilidade.

    Diretrizes adicionais: no caso improvável de que SQL Server cause um erro de violação de acesso/prevenção de execução de dados durante a execução de consulta específica, reescreva a consulta dividindo-a em partes e/ou adicionando dicas de consulta.

Implantação de atualização de segurança

Para obter informações de Implantação de Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft referenciado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Confira Confirmações para obter mais informações.

Isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "como estão" sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação para uma finalidade específica. Em nenhum caso, a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, conseqüentes, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüentes ou incidentais, portanto, a limitação anterior pode não se aplicar.

Revisões

  • V1.0 (14 de julho de 2015): boletim publicado.
  • V1.1 (22 de julho de 2015): boletim revisado para melhorar a seção perguntas frequentes sobre atualização para ajudar os clientes a identificar mais facilmente a atualização correta a ser aplicada com base em uma versão atualmente instalada do SQL Server. Essa é apenas uma alteração informativa. Os clientes que já instalaram a atualização com êxito não precisam executar nenhuma ação.
  • V1.2 (9 de dezembro de 2015): boletim revisado para esclarecer as diretrizes de versão do produto na seção Perguntas frequentes sobre atualização alinhando-o com as diretrizes fornecidas em versões anteriores. Essa é apenas uma alteração informativa. Os clientes que já instalaram a atualização com êxito não precisam executar nenhuma ação.

Página gerada 2015-12-09 11:11Z-08:00.