Microsoft Security Bulletin MS16-136 - Importante
Atualização de segurança para o SQL Server (3199641)
Publicado em: 8 de novembro de 2016
Versão: 1.0
Resumo executivo
Esta atualização de segurança resolve vulnerabilidades no Microsoft SQL Server. As vulnerabilidades mais graves podem permitir que um invasor obtenha privilégios elevados que podem ser usados para exibir, alterar ou excluir dados; ou criar novas contas. A atualização de segurança elimina essas vulnerabilidades mais graves corrigindo como o SQL Server lida com a conversão de ponteiros.
Esta atualização de segurança é classificada como Importante para edições com suporte do Microsoft SQL Server 2012 Service Packs 2 e 3, Microsoft SQL Server 2014 Service Packs 1 e 2 e Microsoft SQL Server 2016. Para obter mais informações, consulte a seção Softwares afetados.
Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.
Para obter mais informações sobre essa atualização, consulte o artigo 3199641 da Base de Dados de Conhecimento Microsoft.
Softwares afetados
O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
Softwares afetados
Perguntas frequentes sobre atualizações
Há atualizações GDR e/ou (Atualização Cumulativa) oferecidas para minha versão do SQL Server. Como saber qual atualização usar?
Primeiro, determine o número da versão do SQL Server. Para obter mais informações sobre como determinar o número da versão do SQL Server, consulte o artigo 321185 da Base de Dados de Conhecimento Microsoft.
Em segundo lugar, na tabela abaixo, localize o número da versão ou o intervalo de versões no qual o número da versão se encaixa. A atualização correspondente é a que você precisa instalar.
Observação Se o número da versão do SQL Server não estiver representado na tabela abaixo, a versão do SQL Server não terá mais suporte. Atualize para o Service Pack ou produto SQL Server mais recente para aplicar esta e futuras atualizações de segurança.
| Número da atualização | Título | Aplicar se a versão atual do produto for... | Esta atualização de segurança também inclui versões de manutenção através... |
|---|---|---|---|
| 3194719 | MS16-136: Descrição da actualização de segurança para o SQL Server 2012 SP2 GDR: 8 de Novembro de 2016 | 11.0.5058.0 - 11.0.5387.0 | MS15-058 |
| 3194725 | MS16-136: Descrição da actualização de segurança para o SQL Server 2012 SP2: 8 de Novembro de 2016 | 11.0.5500.0 - 11.0.5675.0 | SQL Server 2012 SP2 CU15 |
| 3194721 | MS16-136: Descrição da actualização de segurança para o SQL Server 2012 Service Pack 3 GDR: 8 de Novembro de 2016 | 11.0.6020.0 - 11.0.6247.0 | SQL Server 2012 SP3 |
| 3194724 | MS16-136: Descrição da actualização de segurança para o SQL Server 2012 Service Pack 3: 8 de Novembro de 2016 | 11.0.6300.0 - 11.0.6566.0 | SQL Server 2012 SP3 CU6 |
| 3194720 | MS16-136: Descrição da actualização de segurança para o SQL Server 2014 Service Pack 1 GDR: 8 de Novembro de 2016 | 12.0.4100.0 - 12.0.4231.0 | Atualização importante para o SQL Server 2014 SP1 (KB3070446) |
| 3194722 | MS16-136: Descrição da actualização de segurança para o SQL Server 2014 Service Pack 1: 8 de Novembro de 2016 | 12.0.4400.0 - 12.0.4486.0 | SQL Server 2014 SP1 CU9 |
| 3194714 | MS16-136: Descrição da actualização de segurança para o SQL Server 2014 Service Pack 2 GDR: 8 de Novembro de 2016 | 12.0.5000.0 - 12.0.5202.0 | SQL Server 2014 SP2 |
| 3194718 | MS16-136: Descrição da actualização de segurança para o SQL Server 2014 Service Pack 2: 8 de Novembro de 2016 | 12.0.5400.0 - 12.0.5531.0 | SQL Server 2014 SP2 CU2 |
| 3194716 | MS16-136: Descrição da actualização de segurança para o SQL Server 2016 GDR: 8 de Novembro de 2016 | 13.0.1605.0 - 13.0.1721.0 | Atualização crítica para o SQL Server 2016 Analysis Services (KB3179258) |
| 3194717 | MS16-136: Descrição da actualização de segurança para o SQL Server 2016: 8 de Novembro de 2016 | 13.0.2100.0 - 13.0.2182.0 | SQL Server 2016 CU3 |
Para obter instruções de instalação adicionais, consulte a subseção Informações de atualização de segurança para sua edição do SQL Server na seção Informações de atualização.
Quais são as designações de atualização GDR e e como elas diferem?
As designações GDR (Versão de Distribuição Geral) e Atualização Cumulativa () correspondem às duas ramificações de serviço de atualização diferentes em vigor para o SQL Server. A principal diferença entre as duas é que as ramificações incluem cumulativamente todas as atualizações para uma determinada linha de base, enquanto as ramificações GDR incluem apenas atualizações críticas cumulativas para uma determinada linha de base. Uma linha de base pode ser a versão RTM inicial ou um Service Pack.
Para qualquer linha de base específica, as atualizações de ramificação GDR ou são opções se você estiver na linha de base ou tiver instalado apenas uma atualização GDR anterior para essa linha de base. A ramificação é a única opção se você tiver instalado uma anterior do SQL Server para a linha de base em que você está.
Essas atualizações de segurança serão oferecidas a clusters do SQL Server?
Sim. As atualizações também serão oferecidas para instâncias do SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 e SQL Server 2016 RTM que estão em cluster. As atualizações para clusters do SQL Server exigirão interação do usuário.
Se o cluster do SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 e SQL Server 2016 RTM tiver um nó passivo, para reduzir o tempo de inatividade, a Microsoft recomenda que você verifique e aplique a atualização ao nó inativo primeiro e, em seguida, verifique e aplique-a ao nó ativo. Quando todos os componentes tiverem sido atualizados em todos os nós, a atualização não será mais oferecida.
As atualizações de segurança podem ser aplicadas a instâncias do SQL Server no Windows Azure (IaaS)?
Sim. As instâncias do SQL Server no Windows Azure (IaaS) podem receber as atualizações de segurança por meio do Microsoft Update ou os clientes podem baixar as atualizações de segurança do Centro de Download da Microsoft e aplicá-las manualmente.
Classificações de gravidade e identificadores de vulnerabilidade
As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de novembro.
| Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado | ||||||
|---|---|---|---|---|---|---|
| Softwares afetados | Vulnerabilidade de EoP do mecanismo SQL RDBMS - CVE-2016-7249 | Vulnerabilidade de EoP do mecanismo SQL RDBMS - CVE-2016-7250 | Vulnerabilidade de EoP do mecanismo SQL RDBMS - CVE-2016-7254 | Vulnerabilidade de MDS API XSS - CVE-2016-7251 | Vulnerabilidade de divulgação não autorizada de informações do SQL Analysis Services - CVE-2016-7252 | Vulnerabilidade de elevação de privilégio do SQL Server Agent - CVE-2016-7253 |
| SQL Server 2012 Service Pack 2 | ||||||
| Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 | Não aplicável | Não aplicável | Importante elevação de privilégio | Não aplicável | Não aplicável | Importante elevação de privilégio |
| Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2 | Não aplicável | Não aplicável | Importante elevação de privilégio | Não aplicável | Não aplicável | Importante elevação de privilégio |
| SQL Server 2012 Service Pack 3 | ||||||
| Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 3 | Não aplicável | Não aplicável | Importante elevação de privilégio | Não aplicável | Não aplicável | Importante elevação de privilégio |
| Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 3 | Não aplicável | Não aplicável | Importante elevação de privilégio | Não aplicável | Não aplicável | Importante elevação de privilégio |
| SQL Server 2014 Service Pack 1 | ||||||
| Microsoft SQL Server 2014 Service Pack 1 para sistemas de 32 bits | Não aplicável | Importante elevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Importante elevação de privilégio |
| Microsoft SQL Server 2014 Service Pack 1 para sistemas baseados em x64 | Não aplicável | Importante elevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Importante elevação de privilégio |
| SQL Server 2014 Service Pack 2 | ||||||
| Microsoft SQL Server 2014 Service Pack 2 para sistemas de 32 bits | Não aplicável | Importante elevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Importante elevação de privilégio |
| Microsoft SQL Server 2014 Service Pack 2 para sistemas baseados em x64 | Não aplicável | Importante elevação de privilégio | Não aplicável | Não aplicável | Não aplicável | Importante elevação de privilégio |
| SQL Server 2016 | ||||||
| Microsoft SQL Server 2016 para sistemas baseados em x64 | Importante elevação de privilégio | Importante elevação de privilégio | Não aplicável | Importante elevação de privilégio | Importante \ Divulgação de Informações | Não aplicável |
Informações de vulnerabilidade
Várias vulnerabilidades de elevação de privilégio do mecanismo RDBMS do SQL
Existem vulnerabilidades de elevação de privilégio no Microsoft SQL Server quando ele manipula incorretamente a conversão de ponteiro. Um invasor pode explorar as vulnerabilidades se suas credenciais permitirem acesso a um banco de dados do SQL Server afetado. Um invasor que explorar com êxito as vulnerabilidades poderá obter privilégios elevados que poderão ser usados para exibir, alterar ou excluir dados; ou criar novas contas.
A atualização de segurança elimina as vulnerabilidades corrigindo como o SQL Server lida com a conversão de ponteiro
A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:
| Título da vulnerabilidade | Número CVE | Divulgado publicamente | Explorado |
|---|---|---|---|
| Vulnerabilidade de elevação de privilégio do mecanismo RDBMS do SQL | CVE-2016-7249 | Não | Não |
| Vulnerabilidade de elevação de privilégio do mecanismo RDBMS do SQL | CVE-2016-7250 | Não | Não |
| Vulnerabilidade de elevação de privilégio do mecanismo RDBMS do SQL | CVE-2016-7254 | Não | Não |
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.
Soluções Alternativas
A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.
Vulnerabilidade MDS API XSS - CVE-2016-7251
Existe uma vulnerabilidade de elevação de privilégio XSS no SQL Server MDS que pode permitir que um invasor injete um script do lado do cliente na instância do usuário do Internet Explorer. A vulnerabilidade é causada quando o MDS do SQL Server não valida corretamente um parâmetro de solicitação no site do SQL Server. O script pode falsificar conteúdo, divulgar informações ou executar qualquer ação que o usuário possa realizar no site em nome do usuário visado.
A atualização de segurança elimina a vulnerabilidade corrigindo como o SQL Server MDS valida o parâmetro request.
A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:
| Título da vulnerabilidade | Número CVE | Divulgado publicamente | Explorado |
|---|---|---|---|
| Vulnerabilidade de MDS API XSS | CVE-2016-7251 | Não | Não |
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de divulgação não autorizada de informações do SQL Analysis Services - CVE-2016-7252
Existe uma vulnerabilidade de divulgação não autorizada de informações no Microsoft SQL Analysis Services quando ele verifica incorretamente o caminho FILESTREAM. Um invasor pode explorar a vulnerabilidade se suas credenciais permitirem acesso a um banco de dados SQL Server afetado. O invasor que explorar com êxito a vulnerabilidade poderá obter informações adicionais sobre arquivos e bancos de dados.
A atualização de segurança elimina a vulnerabilidade corrigindo como o SQL Server manipula o caminho FILESTREAM.
A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:
| Título da vulnerabilidade | Número CVE | Divulgado publicamente | Explorado |
|---|---|---|---|
| Vulnerabilidade de divulgação não autorizada de informações do SQL Analysis Services | CVE-2016-7252 | Não | Não |
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de elevação de privilégio do SQL Server Agent - CVE-2016-7253
Existe uma vulnerabilidade de elevação de privilégio no Microsoft SQL Server Engine quando o SQL Server Agent verifica incorretamente ACLs em atxcore.dll. Um invasor pode explorar a vulnerabilidade se suas credenciais permitirem acesso a um banco de dados SQL Server afetado. Um invasor que explorar com êxito a vulnerabilidade poderá obter privilégios elevados que poderão ser usados para exibir, alterar ou excluir dados; ou criar novas contas.
A atualização de segurança elimina a vulnerabilidade corrigindo como o Mecanismo do SQL Server manipula ACLs.
A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Common Vulnerabilities and Exposures:
| Título da vulnerabilidade | Número CVE | Divulgado publicamente | Explorado |
|---|---|---|---|
| Vulnerabilidade de elevação de privilégio do SQL Server Agent | CVE-2016-7253 | Não | Não |
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (8 de novembro de 2016): Boletim publicado.
Página gerada em 09/11/2016 08:02-08:00.