Бюллетень по безопасности Майкрософт MS15-058 — важно
Уязвимости в SQL Server могут разрешить удаленное выполнение кода (3065718)
Опубликовано: 14 июля 2015 г. | Обновлено: 9 декабря 2015 г.
Версия: 1.2
Краткий обзор
Это обновление безопасности устраняет уязвимости в Microsoft SQL Server. Наиболее серьезные уязвимости могут позволить удаленному выполнению кода, если прошедший проверку подлинности злоумышленник запускает специально созданный запрос, предназначенный для выполнения виртуальной функции из неправильного адреса, что приводит к вызову функции к неинициализированной памяти. Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется разрешение на создание или изменение базы данных.
Это обновление безопасности оценивается как важное для поддерживаемых выпусков Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2012 и Microsoft SQL Server 2014. Дополнительные сведения см. в разделе "Затронутая программа ".
Обновление безопасности устраняет уязвимости путем исправления того, как SQL Server обрабатывает внутренние вызовы функций и приведение указателя. Дополнительные сведения об уязвимостях см. в разделе "Сведения об уязвимостях".
Дополнительные сведения об этом обновлении см . в статье базы знаний Майкрософт 3065718.
Затронутого программного обеспечения
Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
Затронутого программного обеспечения
Вопросы и ответы по обновлению
Существуют обновления GDR и/или QFE для моей версии SQL Server. Разделы справки знать, какое обновление следует использовать?
Сначала определите номер версии SQL Server. Дополнительные сведения об определении номера версии SQL Server см. в статье базы знаний Майкрософт 321185.
Во-вторых, в таблице ниже найдите номер версии или диапазон версий, в который входит номер версии. Соответствующее обновление является тем, который необходимо установить.
Примечание. Если номер версии SQL Server не представлен в таблице ниже, версия SQL Server больше не поддерживается. Обновите до последней версии пакета обновления или продукта SQL Server, чтобы применить эти и будущие обновления системы безопасности.
| Номер обновления | Заголовок | Примените текущую версию продукта... | Это обновление системы безопасности также включает в себя выпуски обслуживания до... |
|---|---|---|---|
| 3045305 | MS15-058: описание обновления безопасности для SQL Server 2008 с пакетом обновления 3 GDR: 14 июля 2015 г. | 10.00.5500.00 или 10.00.5520.00 | 2008 SP3 GDR (MS14-044) |
| 3045303 | MS15-058: описание обновления безопасности для SQL Server 2008 с пакетом обновления 3 QFE: 14 июля 2015 г. | 10.00.5750. - 10.00.5869.00 | 2008 с пакетом обновления 3 (SP3) CU17 |
| 3045311 | MS15-058: описание обновления безопасности для SQL Server 2008 с пакетом обновления 4 GDR: 14 июля 2015 г. | 10.0.6000.29 | 2008 с пакетом обновления 4 (SP4) |
| 3045308 | MS15-058: описание обновления безопасности для SQL Server 2008 с пакетом обновления 4 QFE: 14 июля 2015 г. | 10.0.6500.00 - 10.0.6526.0 | 2008 с пакетом обновления 4 (SP4) |
| 3045313 | MS15-058: описание обновления безопасности для SQL Server 2008 R2 с пакетом обновления 2 GDR: 14 июля 2015 г. | 10.50.4000.0 или 10.50.4033.0 | 2008 R2 SP2 GDR (MS14-044) |
| 3045312 | MS15-058: описание обновления безопасности для SQL Server 2008 R2 с пакетом обновления 2 QFE: 14 июля 2015 г. | 10.50.4251.0 - 10.50.4331.0 | 2008 R2 с пакетом обновления 2 (SP2) CU13 |
| 3045316 | MS15-058: описание обновления безопасности для SQL Server 2008 R2 с пакетом обновления 3 GDR: 14 июля 2015 г. | 10.50.6000.34 | 2008 R2 с пакетом обновления 3 (SP3) |
| 3045314 | MS15-058: описание обновления безопасности для SQL Server 2008 R2 с пакетом обновления 3 QFE: 14 июля 2015 г. | 10.50.6500.0 - 10.50.6525.0 | 2008 R2 с пакетом обновления 3 (SP3) |
| 3045318 | MS15-058: описание обновления безопасности для SQL Server 2012 с пакетом обновления 1 (SP1) gDR: 14 июля 2015 г. | 11.0.3000.0 или 11.0.3153.0 | 2012 SP1 GDR (MS14-044) |
| 3045317 | MS15-058: описание обновления безопасности для SQL Server 2012 с пакетом обновления 1 (SP1) QFE: 14 июля 2015 г. | 11.0.3300.0 - 11.0.3492.0 | 2012 с пакетом обновления 1 (SP1) CU16 |
| 3045321 | MS15-058: описание обновления безопасности для SQL Server 2012 с пакетом обновления 2 GDR: 14 июля 2015 г. | 11.0.5058.0 | 2012 с пакетом обновления 2 (SP2) |
| 3045319 | MS15-058: описание обновления безопасности для SQL Server 2012 с пакетом обновления 2 QFE: 14 июля 2015 г. | 11.0.5500.0 - 11.0.5592.0 | 2012 с пакетом обновления 2 (SP2) CU6 |
| 3045324 | MS15-058: описание обновления безопасности для SQL Server 2014 GDR: 14 июля 2015 г. | 12.0.2000.8 или 12.0.2254.0 | 2014 RTM GDR (MS14-044) |
| 3045323 | MS15-058: описание обновления безопасности для SQL Server 2014 QFE: 14 июля 2015 г. | 12.0.2300.0 - 12.0.2546.0 | 2014 RTM CU8 |
| 3070446 | MS15-058: описание обновления, отличного от системы безопасности для SQL Server 2014 с пакетом обновления 1 GDR: 14 июля 2015 г. | 12.0.4100.1 | 2014 с пакетом обновления 1 (SP1) |
Примечание. Для ветви GDR после применения обновления вы не увидите выполнение скрипта обновления базы данных. Это ожидаемое поведение, так как исправление заменяет только двоичные файлы.
Дополнительные инструкции по установке см. в подразделе сведений об обновлении системы безопасности для выпуска SQL Server в разделе "Сведения об обновлении".
Каковы обозначения обновлений GDR и QFE и как они отличаются?
Обозначения общего выпуска дистрибутива (GDR) и экспресс-исправления (QFE) соответствуют двум разным ветвям обслуживания обновлений на месте для SQL Server. Основное различие между этими двумя заключается в том, что ветви QFE совокупно включают все обновления, а ветви GDR включают только обновления системы безопасности для заданного базового плана. Базовые показатели могут быть начальным выпуском RTM или пакетом обновления.
Для любой базовой конфигурации обновления GDR или QFE являются вариантами, если вы находитесь на базовом уровне или установили предыдущее обновление GDR для этого базового плана. Ветвь QFE является единственным вариантом, если вы установили предыдущий QFE для базовой конфигурации.
Будут ли эти обновления безопасности предлагаться кластерам SQL Server?
Да. Обновления также будут предлагаться экземплярам SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 и SQL Server 2014, которые кластеризованы. Обновления для кластеров SQL Server потребуется взаимодействие с пользователем.
Если в кластере SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 или SQL Server 2014 есть пассивный узел, корпорация Майкрософт рекомендует сначала проверять и применять обновление к неактивным узлу, а затем проверять и применять его к активному узлу. Когда все компоненты были обновлены на всех узлах, обновление больше не будет предложено.
Можно ли применять обновления безопасности к экземплярам SQL Server в Windows Azure (IaaS)?
Да. Экземпляры SQL Server в Windows Azure (IaaS) можно предлагать обновления безопасности через Центр обновления Майкрософт, или клиенты могут скачать обновления безопасности из Центра загрузки Майкрософт и применить их вручную.
Содержит ли это обновление безопасности какие-либо изменения, не относящиеся к безопасности, в функциональные возможности?
Да. Помимо изменений, связанных с безопасностью, описанных в разделе сведений об уязвимостях этого бюллетеня, обновление системы безопасности также включает некоторые важные исправления, не связанные с безопасностью. Дополнительные сведения см. в статье базы знаний Майкрософт 3065718.
Я запускаю Microsoft SQL Server 2014 с пакетом обновления 1 (SP1), который не указан как затронутого программного обеспечения. Почему я предлагаю обновление?
Microsoft SQL Server 2014 с пакетом обновления 1 (SP1) не влияет на уязвимости, рассмотренные в этом бюллетене, но подвержены важному исправлению, не относящееся к безопасности, которое выпускается с этим обновлением системы безопасности. Поэтому клиентам, работающим в ветви GDR Microsoft SQL Server 2014 с пакетом обновления 1 (SP1), будет предложено обновление, отличное от системы безопасности, 3070446. Общее описание обновления, отличного от системы безопасности, см. в статье базы знаний Майкрософт 3070446. Дополнительные сведения об исправлении, отличном от безопасности, см. в статье базы знаний Майкрософт 3067257.
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в июльских бюллетенях.
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||||
|---|---|---|---|---|
| Затронутого программного обеспечения | Уязвимость SQL Server с повышением привилегий — CVE-2015-1761 | Уязвимость удаленного выполнения кода SQL Server — CVE-2015-1762 | Уязвимость удаленного выполнения кода SQL Server — CVE-2015-1763 | Оценка серьезности агрегата |
| SQL Server 2008 с пакетом обновления 3 | ||||
| Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 3 | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| Microsoft SQL Server 2008 для систем на основе x64 с пакетом обновления 3 | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| Microsoft SQL Server 2008 для систем на основе Itanium с пакетом обновления 3 (SP3) | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| SQL Server 2008 с пакетом обновления 4 (SP4) | ||||
| Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 4 (SP4) | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| Microsoft SQL Server 2008 для систем на основе x64 с пакетом обновления 4 (SP4) | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| SQL Server 2008 R2 с пакетом обновления 2 (SP2) | ||||
| Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 2 (SP2) | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| Microsoft SQL Server 2008 R2 для систем на основе x64 с пакетом обновления 2 (SP2) | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| Microsoft SQL Server 2008 R2 для систем на основе Itanium с пакетом обновления 2 (SP2) | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| SQL Server 2008 R2 с пакетом обновления 3 | ||||
| Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 3 | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| Microsoft SQL Server 2008 R2 для систем на основе x64 с пакетом обновления 3 | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| SQL Server 2012 с пакетом обновления 1 (SP1) | ||||
| Microsoft SQL Server 2012 для 32-разрядных систем с пакетом обновления 1 (SP1) | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| Microsoft SQL Server 2012 для систем на основе x64 с пакетом обновления 1 (SP1) | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| SQL Server 2012 с пакетом обновления 2 (SP2) | ||||
| Microsoft SQL Server 2012 для 32-разрядных систем с пакетом обновления 2 | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| Microsoft SQL Server 2012 для систем на основе x64 с пакетом обновления 2 (SP2) | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| SQL Server 2014 | ||||
| Microsoft SQL Server 2014 для 32-разрядных систем | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
| Microsoft SQL Server 2014 для систем на основе x64 | Важное повышение привилегий | Важное удаленное выполнение кода | Важное удаленное выполнение кода | Важно! |
Сведения об уязвимостях
Уязвимость SQL Server с повышением привилегий — CVE-2015-1761
Уязвимость с повышением привилегий существует в Microsoft SQL Server, если она неправильно приводит указатели на неправильный класс. Злоумышленник может воспользоваться уязвимостью, если учетные данные разрешают доступ к затронутой базе данных SQL Server. Злоумышленник, который успешно воспользовался этой уязвимостью, может получить повышенные привилегии, которые можно использовать для просмотра, изменения или удаления данных; или создайте новые учетные записи.
Обновление безопасности устраняет уязвимость, исправляя способ приведения указателя SQL Server.
Корпорация Майкрософт получила сведения об уязвимости через согласованное раскрытие уязвимостей. При выпуске этого бюллетеня по безопасности корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов.
Смягчающие факторы
В вашей ситуации могут оказаться полезными следующие факторы устранения рисков :
- Требуется разрешение на создание или изменение схемы базы данных или данных
Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется разрешение на создание или изменение базы данных.
Методы обхода проблемы
В вашей ситуации могут быть полезны следующие обходные решения.
Ограничение разрешений на сервере для создания базы данных и схемы
Так как уязвимость является эксплойтируемой только в контексте очень конкретной схемы базы данных, данных и запросов, эксплуатация может быть запрещена строго контролем, у которого есть разрешения на создание баз данных и схемы на сервере. Обратите внимание, что уязвимость предоставляется в очень конкретных пограничных случаях; крайне трудно определить схему и запрос, которые будут предоставлять уязвимость.Дополнительные рекомендации. В маловероятном случае, когда SQL Server вызывает ошибку защиты от доступа или выполнения данных во время конкретного выполнения запроса, перезаписав запрос, разделив его на части и (или) добавив подсказки запроса.
Уязвимость удаленного выполнения кода SQL Server — CVE-2015-1762
Уязвимость удаленного выполнения кода существует в Microsoft SQL Server, когда она неправильно обрабатывает внутренние вызовы функций к неинициализированной памяти. Злоумышленник может воспользоваться уязвимостью, если привилегированный пользователь запускает специально созданный запрос на затронутом сервере SQL Server с специальными параметрами разрешений (например, VIEW SERVER STATE) включен. Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему. Затем злоумышленник может установить программы; просмотр, изменение или удаление данных; или создайте новые учетные записи.
Обновление системы безопасности устраняет уязвимость, исправляя способ обработки внутренних вызовов функций SQL Server к неинициализированной памяти.
Корпорация Майкрософт получила сведения об уязвимости через согласованное раскрытие уязвимостей. При выпуске этого бюллетеня по безопасности корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов.
Смягчающие факторы
В вашей ситуации могут оказаться полезными следующие факторы устранения рисков :
- Требуется определенная конфигурация
Чтобы использовать эту транзакционную реплика транзакций, необходимо включить, а злоумышленник должен иметь специальные параметры разрешений (например, VIEW SERVER STATE) включен.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Уязвимость удаленного выполнения кода SQL Server — CVE-2015-1763
Уязвимость удаленного выполнения кода, прошедшего проверку подлинности, существует в Microsoft SQL Server, когда она неправильно обрабатывает внутренние вызовы функций к неинициализированной памяти. Злоумышленник может воспользоваться уязвимостью, если привилегированный пользователь запускает специально созданный запрос, предназначенный для выполнения виртуальной функции из неправильного адреса, что приводит к вызову функции к неинициализированной памяти. Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему. Затем злоумышленник может установить программы; просмотр, изменение или удаление данных; или создайте новые учетные записи.
Обновление системы безопасности устраняет уязвимость, исправляя способ обработки внутренних вызовов функций SQL Server к неинициализированной памяти.
Корпорация Майкрософт получила сведения об уязвимости через согласованное раскрытие уязвимостей. При выпуске этого бюллетеня по безопасности корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов.
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
В вашей ситуации могут быть полезны следующие обходные решения.
Ограничение разрешений на сервере для создания базы данных и схемы
Так как уязвимость является эксплойтируемой только в контексте очень конкретной схемы базы данных, данных и запросов, эксплуатация может быть запрещена строго контролем, у которого есть разрешения на создание баз данных и схемы на сервере. Обратите внимание, что уязвимость предоставляется в очень конкретных пограничных случаях; крайне трудно определить схему и запрос, которые будут предоставлять уязвимость.Дополнительные рекомендации. В маловероятном случае, когда SQL Server вызывает ошибку защиты от доступа или выполнения данных во время конкретного выполнения запроса, перезаписав запрос, разделив его на части и (или) добавив подсказки запроса.
Развертывание обновлений безопасности
Сведения о развертывании обновлений безопасности см. в статье базы знаний Майкрософт, на которую ссылается сводка по исполнительному руководству.
Благодарности
Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (14 июля 2015 г.): Бюллетень опубликован.
- Версия 1.1 (22 июля 2015 г.): бюллетень изменен, чтобы улучшить раздел часто задаваемых вопросов об обновлении, чтобы помочь клиентам проще определить правильное обновление, применяемое на основе установленной в настоящее время версии SQL Server. Это только информационное изменение. Клиенты, которые уже успешно установили обновление, не должны предпринимать никаких действий.
- Версия 1.2 (9 декабря 2015 г.): бюллетень изменен, чтобы уточнить руководство по версии продукта в разделе "Вопросы и ответы об обновлении", сравнив его с рекомендациями, приведенными в предыдущих выпусках. Это только информационное изменение. Клиенты, которые уже успешно установили обновление, не должны предпринимать никаких действий.
Страница, созданная 2015-12-09 11:11Z-08:00.