Boletim de Segurança da Microsoft MS16-136 – Importante

Atualização de segurança para SQL Server (3199641)

Publicado em: 8 de novembro de 2016

Versão: 1.0

Resumo executivo

Essa atualização de segurança resolve vulnerabilidades no Microsoft SQL Server. As vulnerabilidades mais graves podem permitir que um invasor possa obter privilégios elevados que poderiam ser usados para exibir, alterar ou excluir dados; ou crie novas contas. A atualização de segurança aborda essas vulnerabilidades mais graves corrigindo como SQL Server lida com a conversão de ponteiro.

Esta atualização de segurança é classificada como Importante para edições com suporte do Microsoft SQL Server 2012 Service Packs 2 e 3, Microsoft SQL Server 2014 Service Packs 1 e 2 e Microsoft SQL Server 2016. Para obter mais informações, consulte a seção Software Afetado .

Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações de vulnerabilidade .

Para obter mais informações sobre essa atualização, consulte Artigo da Base de Dados de Conhecimento Microsoft 3199641.

Software afetado

O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições estão além do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Suporte da Microsoft Ciclo de vida.

Software afetado 

Atualizações de Software GDR Atualizações de Software Cumulativo Impacto máximo na segurança Classificação de severidade agregada
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 (3194719) Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 (3194725) Elevação de privilégio Importante
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2 (3194719) Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2 (3194725) Elevação de privilégio Importante
SQL Server 2012 Service Pack 3
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 3 (3194721) Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 3 (3194724) Elevação de privilégio Importante
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 3 (3194721) Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 3 (3194724) Elevação de privilégio Importante
SQL Server 2014 Service Pack 1
Microsoft SQL Server 2014 Service Pack 1 para sistemas de 32 bits (3194720) Microsoft SQL Server 2014 Service Pack 1 para sistemas de 32 bits (3194722) Elevação de privilégio Importante
Microsoft SQL Server 2014 Service Pack 1 para sistemas baseados em x64 (3194720) Microsoft SQL Server 2014 Service Pack 1 para sistemas baseados em x64 (3194722) Elevação de privilégio Importante
SQL Server Service Pack 2 de 2014
Microsoft SQL Server 2014 Service Pack 2 para sistemas de 32 bits (3194714) Microsoft SQL Server 2014 Service Pack 2 para sistemas de 32 bits (3194718) Elevação de privilégio Importante
Microsoft SQL Server 2014 Service Pack 2 para sistemas baseados em x64 (3194714) Microsoft SQL Server 2014 Service Pack 2 para sistemas baseados em x64 (3194718) Elevação de privilégio Importante
SQL Server 2016
Microsoft SQL Server 2016 para sistemas baseados em x64 (3194716) Microsoft SQL Server 2016 para sistemas baseados em x64 (3194717) Elevação de privilégio Importante

Perguntas frequentes sobre atualização

Há atualizações de GDR e/ou CU (Atualização Cumulativa) oferecidas para minha versão do SQL Server. Como fazer sabe qual atualização usar?
Primeiro, determine o número de versão do SQL Server. Para obter mais informações sobre como determinar seu número de versão do SQL Server, consulte Artigo da Base de Dados de Conhecimento Microsoft 321185.

Em segundo lugar, na tabela abaixo, localize o número de versão ou o intervalo de versão no qual o número de versão se enquadra. A atualização correspondente é aquela que você precisa instalar.

Nota Se o SQL Server número de versão não estiver representado na tabela abaixo, sua versão SQL Server não terá mais suporte. Atualize para o Service Pack ou SQL Server produto mais recente para aplicar esta e futuras atualizações de segurança.

Atualizar número Título Aplicar se a versão atual do produto for... Essa atualização de segurança também inclui versões de manutenção por meio de...
3194719 MS16-136: Descrição da atualização de segurança para SQL Server 2012 SP2 GDR: 8 de novembro de 2016 11.0.5058.0 - 11.0.5387.0 MS15-058
3194725 MS16-136: Descrição da atualização de segurança do SQL Server 2012 SP2 CU: 8 de novembro de 2016 11.0.5500.0 - 11.0.5675.0 SQL Server 2012 SP2 CU15
3194721 MS16-136: Descrição da atualização de segurança para SQL Server 2012 Service Pack 3 GDR: 8 de novembro de 2016 11.0.6020.0 - 11.0.6247.0 SQL Server 2012 SP3
3194724 MS16-136: Descrição da atualização de segurança do SQL Server 2012 Service Pack 3 CU: 8 de novembro de 2016 11.0.6300.0 - 11.0.6566.0 SQL Server 2012 SP3 CU6
3194720 MS16-136: Descrição da atualização de segurança para SQL Server 2014 Service Pack 1 GDR: 8 de novembro de 2016 12.0.4100.0 - 12.0.4231.0 Atualização importante para SQL Server 2014 SP1 (KB3070446)
3194722 MS16-136: Descrição da atualização de segurança para SQL Server 2014 Service Pack 1 CU: 8 de novembro de 2016 12.0.4400.0 - 12.0.4486.0 SQL Server 2014 SP1 CU9
3194714 MS16-136: Descrição da atualização de segurança para SQL Server 2014 Service Pack 2 GDR: 8 de novembro de 2016 12.0.5000.0 - 12.0.5202.0 SQL Server 2014 SP2
3194718 MS16-136: Descrição da atualização de segurança do SQL Server 2014 Service Pack 2 CU: 8 de novembro de 2016 12.0.5400.0 - 12.0.5531.0 SQL Server 2014 SP2 CU2
3194716 MS16-136: Descrição da atualização de segurança para SQL Server 2016 GDR: 8 de novembro de 2016 13.0.1605.0 - 13.0.1721.0 Atualização crítica para o SQL Server 2016 Analysis Services (KB3179258)
3194717 MS16-136: Descrição da atualização de segurança para SQL SERVER 2016 CU: 8 de novembro de 2016 13.0.2100.0 - 13.0.2182.0 SQL SERVER 2016 CU3

Para obter instruções adicionais de instalação, consulte a subseção Informações de Atualização de Segurança para sua edição SQL Server na seção Informações de Atualização.

Quais são as designações de atualização de GDR e CU e como elas diferem? 
As designações de GDR (Versão de Distribuição Geral) e CU (Atualização Cumulativa) correspondem aos dois branches de manutenção de atualização diferentes em vigor para SQL Server. A principal diferença entre os dois é que os branches de CU incluem cumulativamente todas as atualizações de uma determinada linha de base, enquanto os branches GDR incluem apenas atualizações críticas cumulativas para uma determinada linha de base. Uma linha de base pode ser a versão inicial do RTM ou um Service Pack.

Para qualquer linha de base específica, as atualizações de branch de GDR ou CU são opções se você estiver na linha de base ou tiver instalado apenas uma atualização de GDR anterior para essa linha de base. O branch cu é a única opção se você tiver instalado uma CU SQL Server anterior para a linha de base em que você está.

Essas atualizações de segurança serão oferecidas para SQL Server clusters? 
Sim. As atualizações também serão oferecidas para SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 e SQL Server instâncias RTM de 2016 clusterizados. Atualizações para clusters SQL Server exigirão interação do usuário.

Se o SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 e SQL Server cluster RTM 2016 tiver um nó passivo, para reduzir o tempo de inatividade, a Microsoft recomenda que você verifique e aplique a atualização ao nó inativo primeiro, depois verifique e aplique-o ao nó ativo. Quando todos os componentes tiverem sido atualizados em todos os nós, a atualização não será mais oferecida.

As atualizações de segurança podem ser aplicadas a instâncias SQL Server no Windows Azure (IaaS)?
Sim. SQL Server instâncias no Windows Azure (IaaS) podem receber as atualizações de segurança por meio do Microsoft Update ou os clientes podem baixar as atualizações de segurança do Centro de Download da Microsoft e aplicá-las manualmente.

Classificações de severidade e identificadores de vulnerabilidade

As classificações de severidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da explorabilidade da vulnerabilidade em relação à classificação de gravidade e ao impacto de segurança, consulte o Índice de Exploração no resumo do boletim de novembro.

Classificação de severidade de vulnerabilidade e impacto máximo de segurança pelo software afetado
Software afetado Vulnerabilidade EoP do Mecanismo RDBMS do SQL – CVE-2016-7249 Vulnerabilidade EoP do Mecanismo RDBMS do SQL – CVE-2016-7250 Vulnerabilidade EoP do Mecanismo RDBMS do SQL – CVE-2016-7254 Vulnerabilidade XSS da API do MDS – CVE-2016-7251 Vulnerabilidade de divulgação de informações do SQL Analysis Services – CVE-2016-7252 SQL Server Agent vulnerabilidade de elevação de privilégio – CVE-2016-7253
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 para Sistemas de 32 bits Service Pack 2 Não aplicável Não aplicável Importante Elevação de privilégio Não aplicável Não aplicável Importante Elevação de privilégio
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2 Não aplicável Não aplicável Importante Elevação de privilégio Não aplicável Não aplicável Importante Elevação de privilégio
SQL Server 2012 Service Pack 3
Microsoft SQL Server 2012 para Sistemas de 32 bits Service Pack 3 Não aplicável Não aplicável Importante Elevação de privilégio Não aplicável Não aplicável Importante Elevação de privilégio
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 3 Não aplicável Não aplicável Importante Elevação de privilégio Não aplicável Não aplicável Importante Elevação de privilégio
SQL Server 2014 Service Pack 1
Microsoft SQL Server 2014 Service Pack 1 para sistemas de 32 bits Não aplicável Importante Elevação de privilégio Não aplicável Não aplicável Não aplicável Importante Elevação de privilégio
Microsoft SQL Server 2014 Service Pack 1 para sistemas baseados em x64 Não aplicável Importante Elevação de privilégio Não aplicável Não aplicável Não aplicável Importante Elevação de privilégio
SQL Server Service Pack 2 de 2014
Microsoft SQL Server 2014 Service Pack 2 para sistemas de 32 bits Não aplicável Importante Elevação de privilégio Não aplicável Não aplicável Não aplicável Importante Elevação de privilégio
Microsoft SQL Server 2014 Service Pack 2 para sistemas baseados em x64 Não aplicável Importante Elevação de privilégio Não aplicável Não aplicável Não aplicável Importante Elevação de privilégio
SQL Server 2016
Microsoft SQL Server 2016 para sistemas baseados em x64 Importante Elevação de privilégio Importante Elevação de privilégio Não aplicável Importante Elevação de privilégio Importante \ Divulgação de Informações Não aplicável

Informações de vulnerabilidade

Várias vulnerabilidades de elevação de privilégio do mecanismo RDBMS do SQL

As vulnerabilidades de elevação de privilégio existem no Microsoft SQL Server quando ele manipula incorretamente a conversão de ponteiro. Um invasor poderá explorar as vulnerabilidades se suas credenciais permitirem acesso a um banco de dados do SQL Server afetado. Um invasor que explorou as vulnerabilidades com êxito pode obter privilégios elevados que poderiam ser usados para exibir, alterar ou excluir dados; ou crie novas contas.

A atualização de segurança aborda as vulnerabilidades corrigindo como SQL Server lida com a conversão de ponteiro

A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades e Exposições Comuns:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de elevação de privilégio do mecanismo RDBMS do SQL CVE-2016-7249 Não Não
Vulnerabilidade de elevação de privilégio do mecanismo RDBMS do SQL CVE-2016-7250 Não Não
Vulnerabilidade de elevação de privilégio do mecanismo RDBMS do SQL CVE-2016-7254 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.

Vulnerabilidade XSS da API do MDS – CVE-2016-7251

Existe uma vulnerabilidade de elevação de privilégio XSS em SQL Server MDS que poderia permitir que um invasor injetasse um script do lado do cliente na instância do usuário de Explorer da Internet. A vulnerabilidade é causada quando o SQL Server MDS não valida corretamente um parâmetro de solicitação no site SQL Server. O script pode falsificar conteúdo, divulgar informações ou tomar qualquer ação que o usuário possa tomar no site em nome do usuário de destino.

A atualização de segurança resolve a vulnerabilidade corrigindo como SQL Server MDS valida o parâmetro de solicitação.

A tabela a seguir contém um link para a entrada padrão para a vulnerabilidade na lista Vulnerabilidades e Exposições Comuns:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade XSS da API do MDS CVE-2016-7251 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essa vulnerabilidade.

Vulnerabilidade de divulgação de informações do SQL Analysis Services – CVE-2016-7252

Existe uma vulnerabilidade de divulgação de informações no Microsoft SQL Analysis Services quando ele verifica incorretamente o caminho FILESTREAM. Um invasor poderá explorar a vulnerabilidade se suas credenciais permitirem acesso a um banco de dados do SQL Server afetado. Um invasor que explorou a vulnerabilidade com êxito pode obter informações adicionais de banco de dados e arquivo.

A atualização de segurança resolve a vulnerabilidade corrigindo como SQL Server lida com o caminho FILESTREAM.

A tabela a seguir contém um link para a entrada padrão para a vulnerabilidade na lista Vulnerabilidades e Exposições Comuns:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de divulgação de informações do SQL Analysis Services CVE-2016-7252 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essa vulnerabilidade.

SQL Server Agent elevação da vulnerabilidade de privilégio - CVE-2016-7253

Existe uma vulnerabilidade de elevação de privilégio no Microsoft SQL Server Engine quando o SQL Server Agent marcar acls incorretamente em atxcore.dll. Um invasor poderá explorar a vulnerabilidade se suas credenciais permitirem acesso a um banco de dados do SQL Server afetado. Um invasor que explorou a vulnerabilidade com êxito pode obter privilégios elevados que poderiam ser usados para exibir, alterar ou excluir dados; ou crie novas contas.

A atualização de segurança resolve a vulnerabilidade corrigindo como o Mecanismo de SQL Server lida com ACLs.

A tabela a seguir contém um link para a entrada padrão para a vulnerabilidade na lista Vulnerabilidades e Exposições Comuns:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
SQL Server Agent vulnerabilidade de elevação de privilégio CVE-2016-7253 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essa vulnerabilidade.

Agradecimentos

A Microsoft reconhece os esforços daqueles da comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Confira Confirmações para obter mais informações.

Isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são fornecidas "como estão" sem garantia de qualquer tipo. A Microsoft isenta todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação para uma finalidade específica. Em nenhum caso, a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, conseqüentes, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou a limitação da responsabilidade por danos conseqüentes ou incidentais, portanto, a limitação anterior pode não se aplicar.

Revisões

  • V1.0 (8 de novembro de 2016): Boletim publicado.

Página gerada 2016-11-09 08:02-08:00.