Microsoft Güvenlik Bülteni MS16-136 - Önemli
SQL Server için Güvenlik Güncelleştirmesi (3199641)
Yayımlanma Tarihi: 8 Kasım 2016
Sürüm: 1.0
Yönetici Özeti
Bu güvenlik güncelleştirmesi Microsoft SQL Server'daki güvenlik açıklarını giderir. En ciddi güvenlik açıkları, bir saldırganın verileri görüntülemek, değiştirmek veya silmek için kullanılabilecek yükseltilmiş ayrıcalıklara sahip olmasını sağlayabilir; veya yeni hesaplar oluşturun. Güvenlik güncelleştirmesi, SQL Server'ın işaretçi atamayı nasıl işlediğini düzelterek bu en ciddi güvenlik açıklarını giderir.
Bu güvenlik güncelleştirmesi Microsoft SQL Server 2012 Hizmet Paketleri 2 ve 3, Microsoft SQL Server 2014 Hizmet Paketleri 1 ve 2 ve Microsoft SQL Server 2016'nın desteklenen sürümleri için Önemli olarak derecelendirilmiştir. Daha fazla bilgi için Etkilenen Yazılım bölümüne bakın.
Güvenlik açıkları hakkında daha fazla bilgi için Güvenlik Açığı Bilgileri bölümüne bakın.
Bu güncelleştirme hakkında daha fazla bilgi için 3199641 Microsoft Bilgi Bankası makalesine bakın.
Etkilenen Yazılım
Aşağıdaki yazılım, hangi sürümlerin veya sürümlerin etkilendiğini belirlemek için test edilmiştir. Diğer sürümler veya sürümler destek yaşam döngüsünü geçmiştir veya etkilenmez. Yazılım sürümünüz veya sürümünüz için destek yaşam döngüsünü belirlemek için bkz. Microsoft Desteği Yaşam Döngüsü.
Etkilenen Yazılım
| GDR Yazılım Güncelleştirmeler | Toplu Yazılım Güncelleştirmeler | En Yüksek Güvenlik Etkisi | Toplam Önem Derecesi |
|---|---|---|---|
| SQL Server 2012 Service Pack 2 | |||
| 32 bit Sistemler için Microsoft SQL Server 2012 Service Pack 2 (3194719) | 32 bit Sistemler için Microsoft SQL Server 2012 Service Pack 2 (3194725) | Elevation of Privilege (Ayrıcalık Yükseltme) | Önemli |
| x64 tabanlı Sistemler Için Microsoft SQL Server 2012 Service Pack 2 (3194719) | x64 tabanlı Sistemler için Microsoft SQL Server 2012 Service Pack 2 (3194725) | Elevation of Privilege (Ayrıcalık Yükseltme) | Önemli |
| SQL Server 2012 Service Pack 3 | |||
| 32 bit Sistemler için Microsoft SQL Server 2012 Service Pack 3 (3194721) | 32 bit Sistemler için Microsoft SQL Server 2012 Service Pack 3 (3194724) | Elevation of Privilege (Ayrıcalık Yükseltme) | Önemli |
| x64 tabanlı Sistemler Için Microsoft SQL Server 2012 Service Pack 3 (3194721) | x64 tabanlı Sistemler için Microsoft SQL Server 2012 Service Pack 3 (3194724) | Elevation of Privilege (Ayrıcalık Yükseltme) | Önemli |
| SQL Server 2014 Service Pack 1 | |||
| 32 bit Sistemler için Microsoft SQL Server 2014 Service Pack 1 (3194720) | 32 bit Sistemler için Microsoft SQL Server 2014 Service Pack 1 (3194722) | Elevation of Privilege (Ayrıcalık Yükseltme) | Önemli |
| x64 Tabanlı Sistemler için Microsoft SQL Server 2014 Service Pack 1 (3194720) | x64 Tabanlı Sistemler için Microsoft SQL Server 2014 Service Pack 1 (3194722) | Elevation of Privilege (Ayrıcalık Yükseltme) | Önemli |
| SQL Server 2014 Service Pack 2 | |||
| 32 bit Sistemler için Microsoft SQL Server 2014 Service Pack 2 (3194714) | 32 bit Sistemler için Microsoft SQL Server 2014 Service Pack 2 (3194718) | Elevation of Privilege (Ayrıcalık Yükseltme) | Önemli |
| x64 Tabanlı Sistemler için Microsoft SQL Server 2014 Service Pack 2 (3194714) | x64 Tabanlı Sistemler için Microsoft SQL Server 2014 Service Pack 2 (3194718) | Elevation of Privilege (Ayrıcalık Yükseltme) | Önemli |
| SQL Server 2016 | |||
| x64 Tabanlı Sistemler için Microsoft SQL Server 2016 (3194716) | x64 Tabanlı Sistemler için Microsoft SQL Server 2016 (3194717) | Elevation of Privilege (Ayrıcalık Yükseltme) | Önemli |
Güncelleştirme hakkında SSS
SQL Server sürümüm için sunulan GDR ve/veya CU (Toplu Güncelleştirme) güncelleştirmeleri var. Hangi güncelleştirmeyi kullanacağınızı Nasıl yaparım? biliyor musunuz?
İlk olarak SQL Server sürüm numaranızı belirleyin. SQL Server sürüm numaranızı belirleme hakkında daha fazla bilgi için 321185 Microsoft Bilgi Bankası Makalesi'ne bakın.
İkincisi, aşağıdaki tabloda sürüm numaranızı veya sürüm numaranızın içinde yer alan sürüm aralığını bulun. İlgili güncelleştirme, yüklemeniz gereken güncelleştirmedir.
Not SQL Server sürüm numaranız aşağıdaki tabloda gösterilmemişse SQL Server sürümünüz artık desteklenmez. Bu ve gelecekteki güvenlik güncelleştirmelerini uygulamak için lütfen en son Hizmet Paketine veya SQL Server ürününe yükseltin.
| Güncelleştirme numarası | Başlık | Geçerli ürün sürümü... | Bu güvenlik güncelleştirmesi ayrıca... |
|---|---|---|---|
| 3194719 | MS16-136: SQL Server 2012 SP2 GDR güvenlik güncelleştirmesinin açıklaması: 8 Kasım 2016 | 11.0.5058.0 - 11.0.5387.0 | MS15-058 |
| 3194725 | MS16-136: SQL Server 2012 SP2 CU güvenlik güncelleştirmesinin açıklaması: 8 Kasım 2016 | 11.0.5500.0 - 11.0.5675.0 | SQL Server 2012 SP2 CU15 |
| 3194721 | MS16-136: SQL Server 2012 Service Pack 3 GDR için güvenlik güncelleştirmesinin açıklaması: 8 Kasım 2016 | 11.0.6020.0 - 11.0.6247.0 | SQL Server 2012 SP3 |
| 3194724 | MS16-136: SQL Server 2012 Service Pack 3 CU için güvenlik güncelleştirmesinin açıklaması: 8 Kasım 2016 | 11.0.6300.0 - 11.0.6566.0 | SQL Server 2012 SP3 CU6 |
| 3194720 | MS16-136: SQL Server 2014 Service Pack 1 GDR için güvenlik güncelleştirmesinin açıklaması: 8 Kasım 2016 | 12.0.4100.0 - 12.0.4231.0 | SQL Server 2014 SP1 (KB3070446) için Önemli Güncelleştirme |
| 3194722 | MS16-136: SQL Server 2014 Service Pack 1 CU için güvenlik güncelleştirmesinin açıklaması: 8 Kasım 2016 | 12.0.4400.0 - 12.0.4486.0 | SQL Server 2014 SP1 CU9 |
| 3194714 | MS16-136: SQL Server 2014 Service Pack 2 GDR için güvenlik güncelleştirmesinin açıklaması: 8 Kasım 2016 | 12.0.5000.0 - 12.0.5202.0 | SQL Server 2014 SP2 |
| 3194718 | MS16-136: SQL Server 2014 Service Pack 2 CU için güvenlik güncelleştirmesinin açıklaması: 8 Kasım 2016 | 12.0.5400.0 - 12.0.5531.0 | SQL Server 2014 SP2 CU2 |
| 3194716 | MS16-136: SQL Server 2016 GDR güvenlik güncelleştirmesinin açıklaması: 8 Kasım 2016 | 13.0.1605.0 - 13.0.1721.0 | SQL Server 2016 Analysis Services için Kritik Güncelleştirme (KB3179258) |
| 3194717 | MS16-136: SQL Server 2016 CU güvenlik güncelleştirmesinin açıklaması: 8 Kasım 2016 | 13.0.2100.0 - 13.0.2182.0 | SQL Server 2016 CU3 |
Ek yükleme yönergeleri için Güncelleştirme Bilgileri bölümündeki SQL Server sürümünüz için Güvenlik Güncelleştirmesi Bilgileri alt bölümüne bakın.
GDR ve CU güncelleştirme belirlemeleri nelerdir ve nasıl farklılık gösterir?
Genel Dağıtım Sürümü (GDR) ve Toplu Güncelleştirme (CU) gösterimleri, SQL Server için mevcut iki farklı güncelleştirme bakım dalına karşılık gelir. İkisi arasındaki birincil fark, CU dallarının belirli bir temel için tüm güncelleştirmeleri toplu olarak içermesi, GDR dallarının ise belirli bir temel için yalnızca toplu kritik güncelleştirmeleri içermesidir. Temel, ilk RTM sürümü veya Hizmet Paketi olabilir.
Belirli bir temel için, temeldeyseniz veya bu temel için yalnızca önceki bir GDR güncelleştirmesini yüklediyseniz GDR veya CU dal güncelleştirmeleri seçeneklerdir. Cu dalı, üzerinde olduğunuz temel için önceki bir SQL Server CU yüklediyseniz tek seçenektir.
Bu güvenlik güncelleştirmeleri SQL Server kümelerine sunulacak mı?
Evet. Güncelleştirmeler ayrıca kümelenmiş SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 ve SQL Server 2016 RTM örneklerine de sunulacaktır. SQL Server kümeleri için Güncelleştirmeler kullanıcı etkileşimi gerektirir.
SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 ve SQL Server 2016 RTM kümesi pasif düğüme sahipse, microsoft kapalı kalma süresini azaltmak için önce güncelleştirmeyi taramanızı ve etkin olmayan düğüme uygulamanızı, ardından taramanızı ve etkin düğüme uygulamanızı önerir. Tüm bileşenler tüm düğümlerde güncelleştirildiğinde, güncelleştirme artık sunulmaz.
Güvenlik güncelleştirmeleri Windows Azure'da (IaaS) SQL Server örneklerine uygulanabilir mi?
Evet. Windows Azure'da (IaaS) SQL Server örnekleri, güvenlik güncelleştirmelerini Microsoft Update aracılığıyla sunabilir veya müşteriler güvenlik güncelleştirmelerini Microsoft İndirme Merkezi'nden indirip el ile uygulayabilir.
Önem Derecesi Ve Güvenlik Açığı Tanımlayıcıları
Aşağıdaki önem derecesi, güvenlik açığının olası en yüksek etkisini varsayar. Bu güvenlik bülteninin yayımlanmasının ardından 30 gün içinde güvenlik açığının önem derecesi ve güvenlik etkisiyle ilgili olarak bu güvenlik açığından yararlanma olasılığıyla ilgili bilgi için kasım bülteni özetindeki Exploitability Index'e bakın.
| Güvenlik Açığı Önem Derecesi ve Etkilenen Yazılımların En Yüksek Güvenlik Etkisi | ||||||
|---|---|---|---|---|---|---|
| Etkilenen Yazılım | SQL RDBMS Altyapısı EoP güvenlik açığı - CVE-2016-7249 | SQL RDBMS Altyapısı EoP güvenlik açığı - CVE-2016-7250 | SQL RDBMS Altyapısı EoP güvenlik açığı - CVE-2016-7254 | AVH API XSS Güvenlik Açığı - CVE-2016-7251 | SQL Analysis Services'ta Bilgilerin Açığa Çıkması Güvenlik Açığı - CVE-2016-7252 | SQL Server Aracısı Ayrıcalıkların Yükseltilmesi Güvenlik Açığı - CVE-2016-7253 |
| SQL Server 2012 Service Pack 2 | ||||||
| 32 bit Sistemler için Microsoft SQL Server 2012 Service Pack 2 | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi |
| x64 tabanlı Sistemler için Microsoft SQL Server 2012 Service Pack 2 | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi |
| SQL Server 2012 Service Pack 3 | ||||||
| 32 bit Sistemler için Microsoft SQL Server 2012 Service Pack 3 | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi |
| x64 tabanlı Sistemler için Microsoft SQL Server 2012 Service Pack 3 | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi |
| SQL Server 2014 Service Pack 1 | ||||||
| 32 bit Sistemler için Microsoft SQL Server 2014 Service Pack 1 | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi | Uygulanamaz | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi |
| x64 Tabanlı Sistemler için Microsoft SQL Server 2014 Service Pack 1 | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi | Uygulanamaz | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi |
| SQL Server 2014 Service Pack 2 | ||||||
| 32 bit Sistemler için Microsoft SQL Server 2014 Service Pack 2 | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi | Uygulanamaz | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi |
| x64 Tabanlı Sistemler için Microsoft SQL Server 2014 Service Pack 2 | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi | Uygulanamaz | Uygulanamaz | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi |
| SQL Server 2016 | ||||||
| x64 tabanlı sistemler için Microsoft SQL Server 2016 | Önemli Ayrıcalık Yükseltmesi | Önemli Ayrıcalık Yükseltmesi | Uygulanamaz | Önemli Ayrıcalık Yükseltmesi | Önemli \ Bilgilerin Açığa Çıkması | Uygulanamaz |
Güvenlik Açığı Bilgileri
Birden Çok SQL RDBMS Altyapısı AyrıcalıkLarın Yükseltilmesi Güvenlik Açıkları
Microsoft SQL Server işaretçi atamasını yanlış işlediğinde ayrıcalıkların yükseltilmesi güvenlik açıkları vardır. Saldırgan, kimlik bilgileri etkilenen bir SQL server veritabanına erişime izin verirse güvenlik açıklarından yararlanabilir. Güvenlik açıklarından başarıyla yararlanan bir saldırgan verileri görüntülemek, değiştirmek veya silmek için kullanılabilecek yükseltilmiş ayrıcalıklar elde edebilir; veya yeni hesaplar oluşturun.
Güvenlik güncelleştirmesi, SQL Server'ın işaretçi atamayı nasıl işlediğini düzelterek güvenlik açıklarını giderir
Aşağıdaki tabloda, Ortak Güvenlik Açıkları ve Etkilenmeler listesindeki her güvenlik açığı için standart girişin bağlantıları yer alır:
| Güvenlik açığı başlığı | CVE numarası | Genel olarak açıklandı | Yararlanan |
|---|---|---|---|
| SQL RDBMS Altyapısı ayrıcalıkların yükseltilmesi güvenlik açığı | CVE-2016-7249 | Hayır | Hayır |
| SQL RDBMS Altyapısı ayrıcalıkların yükseltilmesi güvenlik açığı | CVE-2016-7250 | Hayır | Hayır |
| SQL RDBMS Altyapısı ayrıcalıkların yükseltilmesi güvenlik açığı | CVE-2016-7254 | Hayır | Hayır |
Azaltıcı Faktörler
Microsoft bu güvenlik açıkları için herhangi bir azaltıcı faktör belirlememiştir.
Geçici Çözümler
Microsoft, bu güvenlik açıkları için herhangi bir geçici çözüm tanımlamamıştır.
AVH API XSS Güvenlik Açığı- CVE-2016-7251
SQL Server AVH bir saldırganın kullanıcının Internet Explorer örneğine istemci tarafı betiği eklemesine izin verebilecek bir XSS ayrıcalık yükseltme güvenlik açığı bulunmaktadır. Güvenlik açığı, SQL Server AVH SQL Server sitesindeki bir istek parametresini düzgün doğrulamadığında oluşur. Betik içerik sahtekarlığına neden olabilir, bilgileri açıklayabilir veya kullanıcının hedeflenen kullanıcı adına sitede gerçekleştirebileceği herhangi bir eylemi gerçekleştirebilir.
Güvenlik güncelleştirmesi, SQL Server AVH istek parametresini doğrulama biçimini düzelterek güvenlik açığını giderir.
Aşağıdaki tabloda, Ortak Güvenlik Açıkları ve Etkilenmeler listesindeki güvenlik açığı için standart girişe bir bağlantı yer alır:
| Güvenlik açığı başlığı | CVE numarası | Genel olarak açıklandı | Yararlanan |
|---|---|---|---|
| AVH API XSS Güvenlik Açığı | CVE-2016-7251 | Hayır | Hayır |
Azaltıcı Faktörler
Microsoft bu güvenlik açığı için herhangi bir azaltıcı faktör belirlememiştir.
Geçici Çözümler
Microsoft bu güvenlik açığı için herhangi bir geçici çözüm tanımlamamıştır.
SQL Analysis Services Bilgilerinin Açığa Çıkması Güvenlik Açığı- CVE-2016-7252
Microsoft SQL Analysis Services, FILESTREAM yolunu yanlış denetlediğinde bilgilerin açığa çıkmasıyla ilgili bir güvenlik açığı vardır. Saldırgan, kimlik bilgileri etkilenen bir SQL server veritabanına erişime izin verirse bu güvenlik açığından yararlanabilir. Güvenlik açığından başarıyla yararlanan bir saldırgan ek veritabanı ve dosya bilgileri elde edebilir.
Güvenlik güncelleştirmesi, SQL Server'ın FILESTREAM yolunu işleme biçimini düzelterek güvenlik açığını giderir.
Aşağıdaki tabloda, Ortak Güvenlik Açıkları ve Etkilenmeler listesindeki güvenlik açığı için standart girişe bir bağlantı yer alır:
| Güvenlik açığı başlığı | CVE numarası | Genel olarak açıklandı | Yararlanan |
|---|---|---|---|
| SQL Analysis Services Bilgilerinin Açığa Çıkması Güvenlik Açığı | CVE-2016-7252 | Hayır | Hayır |
Azaltıcı Faktörler
Microsoft bu güvenlik açığı için herhangi bir azaltıcı faktör belirlemedi
Geçici Çözümler
Microsoft bu güvenlik açığı için herhangi bir geçici çözüm tanımlamamıştır.
SQL Server Aracısı Ayrıcalıkların Yükseltilmesi Güvenlik Açığı- CVE-2016-7253
SQL Server Aracısı atxcore.dll ACL'leri yanlış denetlediğinde Microsoft SQL Server Altyapısı'nda ayrıcalıkların yükseltilmesi güvenlik açığı vardır. Saldırgan, kimlik bilgileri etkilenen bir SQL server veritabanına erişime izin verirse bu güvenlik açığından yararlanabilir. Güvenlik açığından başarıyla yararlanan bir saldırgan verileri görüntülemek, değiştirmek veya silmek için kullanılabilecek yükseltilmiş ayrıcalıklar elde edebilir; veya yeni hesaplar oluşturun.
Güvenlik güncelleştirmesi, SQL Server Altyapısı'nın ACL'leri işleme biçimini düzelterek güvenlik açığını giderir.
Aşağıdaki tabloda, Ortak Güvenlik Açıkları ve Etkilenmeler listesindeki güvenlik açığı için standart girişe bir bağlantı yer alır:
| Güvenlik açığı başlığı | CVE numarası | Genel olarak açıklandı | Yararlanan |
|---|---|---|---|
| SQL Server Aracısı Ayrıcalıkların Yükseltilmesi Güvenlik Açığı | CVE-2016-7253 | Hayır | Hayır |
Azaltıcı Faktörler
Microsoft bu güvenlik açığı için herhangi bir azaltıcı faktör belirlememiştir.
Geçici Çözümler
Microsoft bu güvenlik açığı için herhangi bir geçici çözüm tanımlamamıştır.
İlgili kaynaklar
Microsoft, güvenlik topluluğundaki müşterilerin eşgüdümlü güvenlik açığının açığa çıkması yoluyla korunmasına yardımcı olan kişilerin çabalarını tanır. Daha fazla bilgi için bkz . Bildirimler .
Bildirim
Microsoft Bilgi Bankası'nda sağlanan bilgiler herhangi bir garanti olmadan "olduğu gibi" sağlanır. Microsoft, satılabilirlik ve belirli bir amaca uygunluk garantileri dahil olmak üzere açık veya zımni tüm garantileri reddeder. Microsoft Corporation veya tedarikçilerine bu tür zararlar olabileceği bildirilmiş olsa bile, doğrudan, dolaylı, arızi, neticede iş kârı kaybı veya özel zararlar dahil olmak üzere hiçbir durumda Microsoft Corporation veya tedarikçileri herhangi bir zarardan sorumlu tutulamaz. Bazı eyaletler, ortaya çıkabilecek veya arızi zararlar için sorumluluğun hariç tutulmasına veya sınırlandırılmasına izin vermez, bu nedenle söz konusu sınırlama geçerli olmayabilir.
Düzeltmeler
- V1.0 (8 Kasım 2016): Bülten yayımlandı.
Sayfa oluşturuldu 2016-11-09 08:02-08:00.