Boletim de Segurança da Microsoft MS16-136 - Importante

Artigo
02/21/2018
13 minutos para o fim da leitura

Atualização de segurança para o SQL Server (3199641)

Publicado em: terça-feira, 8 de novembro de 2016

Versão: 1.0

Resumo executivo

Esta atualização de segurança resolve vulnerabilidades no Microsoft SQL Server. As vulnerabilidades mais graves podem permitir que um invasor obtenha privilégios elevados que podem ser usados para visualizar, alterar ou excluir dados ou para criar novas contas. A atualização de segurança resolve essa vulnerabilidades mais graves, corrigindo a maneira como o SQL Server manipula a conversão de ponteiros.

Esta atualização de segurança foi classificada como Importante para edições com suporte do Microsoft SQL Server 2012 Service Packs 2 e 3, do Microsoft SQL Server 2014 Service Packs 1 e 2 e do Microsoft SQL Server 2016. Para obter mais informações, consulte a seção Softwares afetados.

Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre a vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3199641 da Base de Dados de Conhecimento da Microsoft.

Softwares afetados

O software a seguir foi testado para determinar quais versões ou edições foram afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, consulte Ciclo de vida do suporte da Microsoft.

Softwares afetados

Perguntas frequentes de atualização

Existem atualizações GDR e/ou CU (atualização cumulativa) oferecidas para a minha versão do SQL Server. Como sei qual atualização devo usar? Primeiro, determine o número da versão de seu SQL Server.Para obter mais informações sobre como determinar o número da versão do SQL Server, consulte o artigo 321185 da Base de Dados de Conhecimento Microsoft.

Segundo, na tabela abaixo, localize o número da versão ou o intervalo de versões que o número de sua versão pertence. A atualização correspondente é a que você precisa instalar.

Observação Se o número da sua versão do SQL Server não estiver representado na tabela abaixo, significa não há mais suporte para sua versão do SQL Server. Atualize para o Service Pack ou produto SQL Server mais recente para aplicar esta e futuras atualizações de segurança.

Número da atualização	Título	Aplicar a versão atual do produto for…	Essa atualização de segurança também inclui versões de manutenção até…
3194719	MS16-136: Descrição da atualização de segurança para o SQL Server 2012 SP2 GDR: 8 de novembro de 2016	11.0.5058.0 - 11.0.5387.0	MS15-058
3194725	MS16-136: Descrição da atualização de segurança para o SQL Server 2012 SP2 CU: 8 de novembro de 2016	11.0.5500.0 - 11.0.5675.0	SQL Server 2012 SP2 CU15
3194721	MS16-136: Descrição da atualização de segurança para o SQL Server 2012 Service Pack 3 GDR: 8 de novembro de 2016	11.0.6020.0 - 11.0.6247.0	SQL Server 2012 SP3
3194724	MS16-136: Descrição da atualização de segurança para o SQL Server 2012 Service Pack 3 CU: 8 de novembro de 2016	11.0.6300.0 - 11.0.6566.0	SQL Server 2012 SP3 CU6
3194720	MS16-136: Descrição da atualização de segurança para o SQL Server 2014 Service Pack 1 GDR: 8 de novembro de 2016	12.0.4100.0 - 12.0.4231.0	Atualização importante para o SQL Server 2014 SP1 (KB3070446)
3194722	MS16-136: Descrição da atualização de segurança para o SQL Server 2014 Service Pack 1 CU: 8 de novembro de 2016	12.0.4400.0 - 12.0.4486.0	SQL Server 2014 SP1 CU9
3194714	MS16-136: Descrição da atualização de segurança para o SQL Server 2014 Service Pack 2 GDR: 8 de novembro de 2016	12.0.5000.0 - 12.0.5202.0	SQL Server 2014 SP2
3194718	MS16-136: Descrição da atualização de segurança para o SQL Server 2014 Service Pack 2 CU: 8 de novembro de 2016	12.0.5400.0 - 12.0.5531.0	SQL Server 2014 SP2 CU2
3194716	MS16-136: Descrição da atualização de segurança para o SQL Server 2016 GDR: 8 de novembro de 2016	13.0.1605.0 - 13.0.1721.0	Atualização crítica para o SQL Server 2016 Analysis Services (KB3179258)
3194717	MS16-136: Descrição da atualização de segurança para o SQL Server 2016 CU: 8 de novembro de 2016	13.0.2100.0 - 13.0.2182.0	SQL Server 2016 CU3

Para obter instruções adicionais de instalação, consulte a subseção Informações da atualização de segurança para a sua edição do SQL Server na seção **Informações da atualização**. **O que são as designações de atualização GDR e CU e como elas diferem?** As designações GDR (Versão de distribuição geral) e CU (Atualização cumulativa) correspondem a duas ramificações diferentes do serviço de atualização em vigor para o SQL Server. A principal diferença entre as duas é que as ramificações CU incluem cumulativamente *todas* as atualizações para uma determinada linha de base, enquanto as ramificações GDR incluem *somente* atualizações críticas cumulativas para uma determinada linha de base.Uma linha de base pode ser a versão inicial do RTM ou um Service Pack. Para qualquer linha de base especificada, as atualizações de ramificações GDR ou CU serão opções se você estiver na linha de base ou apenas tiver instalado uma atualização GDR anterior para essa linha de base. A ramificação CU será a única opção se você tiver instalado uma CU anterior do SQL Server para a sua linha de base atual. **Essas atualizações de segurança também serão oferecidas para clusters do SQL Server?** Sim. As atualizações também serão oferecidas para instâncias clusterizadas do SQL Server 2012 SP2/SP3, do SQL Server 2014 SP1/SP2 e do SQL Server 2016 RTM.As atualizações para clusters do SQL Server exigirão a interação do usuário. Se o cluster do SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 e SQL Server 2016 RTM tiver um nó passivo, para reduzir o tempo de inatividade, a Microsoft recomenda que você faça uma verificação e aplique a atualização primeiro ao nó inativo e depois faça o mesmo para o nó passivo. Quando todos os componentes tiverem sido atualizados em todos os nós, a atualização não será mais oferecida. **As atualizações de segurança podem ser aplicadas nas instâncias do SQL Server no Windows Azure (IaaS)?** Sim. As atualizações de segurança podem ser oferecidas para as instâncias do SQL Server no Windows Azure (IaaS) por meio do Microsoft Update ou os clientes podem baixá-las no Centro de Download da Microsoft e aplicá-las manualmente. Classificação de gravidade e Identificadores de vulnerabilidade --------------------------------------------------------------- As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações sobre a probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no [Resumo de boletins de novembro](https://technet.microsoft.com/pt-br/library/security/ms16-nov).

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado
Softwares afetados	[Vulnerabilidade de EoP do mecanismo SQL RDBMS - CVE-2016-7249](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-7249)	[Vulnerabilidade de EoP do mecanismo SQL RDBMS - CVE-2016-7250](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-7250)	[Vulnerabilidade de EoP do mecanismo SQL RDBMS - CVE-2016-7254](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-7254)	[Vulnerabilidade de XSS da API MDS - CVE-2016-7251](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-7251)	[Vulnerabilidade de divulgação não autorizada de informações no SQL Analysis Services - CVE-2016-7252](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-7252)	[Vulnerabilidade de elevação de privilégio no SQL Server Agent - CVE-2016-7253](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-7253)
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2	Não aplicável	Não Aplicável	Importante Elevação de Privilégio	Não aplicável	Não Aplicável	Importante Elevação de Privilégio
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2	Não aplicável	Não Aplicável	Importante Elevação de Privilégio	Não aplicável	Não Aplicável	Importante Elevação de Privilégio
SQL Server 2012 Service Pack 3
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 3	Não aplicável	Não Aplicável	Importante Elevação de Privilégio	Não aplicável	Não Aplicável	Importante Elevação de Privilégio
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 3	Não aplicável	Não Aplicável	Importante Elevação de Privilégio	Não aplicável	Não Aplicável	Importante Elevação de Privilégio
SQL Server 2014 Service Pack 1
Microsoft SQL Server 2014 Service Pack 1 para sistemas de 32 bits	Não aplicável	Importante Elevação de Privilégio	Não aplicável	Não Aplicável	Não Aplicável	Importante Elevação de Privilégio
Microsoft SQL Server 2014 Service Pack 1 para sistemas com base em x64	Não aplicável	Importante Elevação de Privilégio	Não aplicável	Não Aplicável	Não Aplicável	Importante Elevação de Privilégio
SQL Server 2014 Service Pack 2
Microsoft SQL Server 2014 Service Pack 2 para sistemas de 32 bits	Não aplicável	Importante Elevação de Privilégio	Não aplicável	Não Aplicável	Não Aplicável	Importante Elevação de Privilégio
Microsoft SQL Server 2014 Service Pack 2 para sistemas com base em x64	Não aplicável	Importante Elevação de Privilégio	Não aplicável	Não Aplicável	Não Aplicável	Importante Elevação de Privilégio
SQL Server 2016
Microsoft SQL Server 2016 para sistemas baseados em x64	Importante Elevação de Privilégio	Importante Elevação de Privilégio	Não aplicável	Importante Elevação de Privilégio	Importante Divulgação de informações	Não aplicável

Informações sobre a vulnerabilidade

Várias vulnerabilidades de elevação de privilégio do SQL RDBMS

Existem vulnerabilidades de elevação de privilégios no Microsoft SQL Server quando ele manipula a conversão de ponteiros indevidamente. Um invasor poderá explorar as vulnerabilidades se as suas credenciais permitirem acesso a um banco de dados SQL Server afetado. Um invasor que conseguir explorar as vulnerabilidades poderá obter privilégios elevados que podem ser usados para visualizar, alterar ou excluir dados ou para criar novas contas.

A atualização de segurança resolve as vulnerabilidades, corrigindo a maneira como o SQL Server manipula a conversão de ponteiros

É necessário criar a descrição no plural para o boletim.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade	Número de CVE	Divulgadas de forma pública	Explorado
Vulnerabilidade de elevação de privilégio do SQL RDBMS	CVE-2016-7249	Não	Não
Vulnerabilidade de elevação de privilégio do SQL RDBMS	CVE-2016-7250	Não	Não
Vulnerabilidade de elevação de privilégio do SQL RDBMS	CVE-2016-7254	Não	Não

### Fatores atenuantes A Microsoft não identificou [fatores atenuantes](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essas vulnerabilidades. ### Soluções alternativas A Microsoft não identificou [soluções alternativas](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essas vulnerabilidades. Vulnerabilidade de XSS da API MDS - CVE-2016-7251 ------------------------------------------------- Existe uma vulnerabilidade de elevação de privilégios XSS no MDS do SQL Server capaz de permitir que um invasor injete um script no lado do cliente na instância do Internet Explorer do usuário. A vulnerabilidade é causada quando o MDS do SQL Server não valida corretamente um parâmetro de solicitação no site do SQL Server. O script pode falsificar conteúdo, divulgar informações ou realizar qualquer ação que o usuário pode realizar no site afetado, em nome do usuário visado. A atualização de segurança resolve essa vulnerabilidade, corrigindo a maneira como o SQL Server valida o parâmetro de solicitação. A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade	Número de CVE	Divulgadas de forma pública	Explorado
Vulnerabilidade de elevação de privilégio do SQL RDBMS	CVE-2016-7251	Não	Não

### Fatores atenuantes A Microsoft não identificou [fatores atenuantes](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essas vulnerabilidades. ### Soluções alternativas A Microsoft não identificou [soluções alternativas](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essa vulnerabilidade. Vulnerabilidade de divulgação não autorizada de informações no SQL Analysis Services – CVE-2016-7252 ---------------------------------------------------------------------------------------------------- Existe uma vulnerabilidade de divulgação não autorizada de informações no Microsoft SQL Analysis Services quando ele verifica indevidamente o caminho FILESTREAM. Um invasor poderá explorar a vulnerabilidade se as suas credenciais permitirem acesso a um banco de dados SQL Server afetado. Um invasor que conseguir explorar a vulnerabilidade poderá obter informações adicionais sobre o banco de dados e os arquivos. A atualização de segurança resolve essa vulnerabilidade, corrigindo a maneira como o SQL Server manipula o caminho FILESTREAM. A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade	Número de CVE	Divulgadas de forma pública	Explorado
Vulnerabilidade de divulgação não autorizada de informações no SQL Analysis Services	CVE-2016-7252	Não	Não

### Fatores atenuantes A Microsoft não identificou [fatores atenuantes](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essa vulnerabilidade ### Soluções alternativas A Microsoft não identificou [soluções alternativas](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essa vulnerabilidade. Vulnerabilidade de elevação de privilégio no SQL Server Agent - CVE-2016-7253 ----------------------------------------------------------------------------- Existe uma vulnerabilidade de elevação de privilégio no mecanismo do Microsoft SQL Server quando o SQL Server Agent verifica ACLs incorretamente em atxcore.dll. Um invasor poderá explorar a vulnerabilidade se as suas credenciais permitirem acesso a um banco de dados SQL Server afetado. Um invasor que conseguir explorar a vulnerabilidade poderá obter privilégios elevados que podem ser usados para visualizar, alterar ou excluir dados ou para criar novas contas. A atualização de segurança resolve essa vulnerabilidade, corrigindo a maneira como o Mecanismo do SQL Server manipula ACLs. A tabela a seguir contém um link para a entrada padrão da vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade	Número de CVE	Divulgadas de forma pública	Explorado
Vulnerabilidade de elevação de privilégio no SQL Server Agent	CVE-2016-7253	Não	Não

### Fatores atenuantes A Microsoft não identificou [fatores atenuantes](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essa vulnerabilidade. ### Soluções alternativas A Microsoft não identificou [soluções alternativas](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) para essa vulnerabilidade. Agradecimentos -------------- A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte [Agradecimentos](https://technet.microsoft.com/pt-br/library/security/mt674627.aspx) para obter mais informações. Aviso de isenção de responsabilidade ------------------------------------ As informações fornecidas na Base de Dados de Conhecimento Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você. Revisões -------- - V1.0 (8 de novembro de 2016): Boletim publicado. *Página gerada em 07/11/2016 10:06Z-08:00.*