Udostępnij za pośrednictwem


Biuletyn zabezpieczeń firmy Microsoft MS16-136 — ważne

Aktualizacja zabezpieczeń programu SQL Server (3199641)

Opublikowano: 8 listopada 2016 r.

Wersja: 1.0

Streszczenie

Ta aktualizacja zabezpieczeń usuwa luki w zabezpieczeniach w programie Microsoft SQL Server. Najcięższe luki w zabezpieczeniach mogą umożliwić atakującemu uzyskanie podwyższonych uprawnień, które mogą służyć do wyświetlania, zmieniania lub usuwania danych; lub utwórz nowe konta. Aktualizacja zabezpieczeń usuwa te najcięższe luki w zabezpieczeniach, poprawiając sposób obsługi rzutowania wskaźnika przez program SQL Server.

Ta aktualizacja zabezpieczeń jest oceniana jako ważna dla obsługiwanych wersji dodatków Service Pack 2 i 3 programu Microsoft SQL Server 2014 z dodatkiem Service Pack 1 i 2 oraz programu Microsoft SQL Server 2016. Aby uzyskać więcej informacji, zobacz sekcję Oprogramowanie, którego dotyczy problem .

Aby uzyskać więcej informacji na temat luk w zabezpieczeniach, zobacz sekcję Informacje o lukach w zabezpieczeniach.

Aby uzyskać więcej informacji na temat tej aktualizacji, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 3199641.

Oprogramowanie, którego dotyczy problem

Następujące oprogramowanie zostało przetestowane w celu określenia, na które wersje lub wydania mają wpływ. Inne wersje lub wydania są przeszłości ich cyklu życia pomocy technicznej lub nie mają wpływu. Aby określić cykl życia pomocy technicznej dla wersji lub wydania oprogramowania, zobacz pomoc techniczna firmy Microsoft Cykl życia.

Oprogramowanie, którego dotyczy problem 

Aktualizacje oprogramowania GDR Aktualizacje oprogramowania skumulowanego Maksymalny wpływ na zabezpieczenia Ocena zagregowanej ważności
SQL Server 2012 z dodatkiem Service Pack 2
Microsoft SQL Server 2012 dla systemów 32-bitowych z dodatkiem Service Pack 2 (3194719) Microsoft SQL Server 2012 dla 32-bitowych systemów z dodatkiem Service Pack 2 (3194725) Elevation of Privilege (podniesienie uprawnień) Ważne
Microsoft SQL Server 2012 for x64-based Systems Service Pack 2 (3194719) Microsoft SQL Server 2012 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (3194725) Elevation of Privilege (podniesienie uprawnień) Ważne
SQL Server 2012 z dodatkiem Service Pack 3
Microsoft SQL Server 2012 dla systemów 32-bitowych z dodatkiem Service Pack 3 (3194721) Microsoft SQL Server 2012 dla systemów 32-bitowych z dodatkiem Service Pack 3 (3194724) Elevation of Privilege (podniesienie uprawnień) Ważne
Microsoft SQL Server 2012 for x64-based Systems Service Pack 3 (3194721) Microsoft SQL Server 2012 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 3 (3194724) Elevation of Privilege (podniesienie uprawnień) Ważne
SQL Server 2014 z dodatkiem Service Pack 1
Microsoft SQL Server 2014 z dodatkiem Service Pack 1 dla systemów 32-bitowych (3194720) Microsoft SQL Server 2014 z dodatkiem Service Pack 1 dla systemów 32-bitowych (3194722) Elevation of Privilege (podniesienie uprawnień) Ważne
Microsoft SQL Server 2014 z dodatkiem Service Pack 1 dla systemów opartych na architekturze x64 (3194720) Microsoft SQL Server 2014 z dodatkiem Service Pack 1 dla systemów opartych na architekturze x64 (3194722) Elevation of Privilege (podniesienie uprawnień) Ważne
SQL Server 2014 z dodatkiem Service Pack 2
Microsoft SQL Server 2014 z dodatkiem Service Pack 2 dla systemów 32-bitowych (3194714) Microsoft SQL Server 2014 z dodatkiem Service Pack 2 dla systemów 32-bitowych (3194718) Elevation of Privilege (podniesienie uprawnień) Ważne
Microsoft SQL Server 2014 z dodatkiem Service Pack 2 dla systemów opartych na architekturze x64 (3194714) Microsoft SQL Server 2014 z dodatkiem Service Pack 2 dla systemów opartych na architekturze x64 (3194718) Elevation of Privilege (podniesienie uprawnień) Ważne
SQL Server 2016
Microsoft SQL Server 2016 for x64-based Systems (3194716) Microsoft SQL Server 2016 for x64-based Systems (3194717) Elevation of Privilege (podniesienie uprawnień) Ważne

Często zadawane pytania dotyczące aktualizacji

Istnieją aktualizacje odzyskiwania po awarii i/lub aktualizacji zbiorczej (aktualizacja zbiorcza) oferowane dla mojej wersji programu SQL Server. Jak mogę wiedzieć, której aktualizacji użyć?
Najpierw określ numer wersji programu SQL Server. Aby uzyskać więcej informacji na temat określania numeru wersji programu SQL Server, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 321185.

Po drugie, w poniższej tabeli znajdź numer wersji lub zakres wersji, w którym znajduje się numer wersji. Odpowiednia aktualizacja to ta, którą należy zainstalować.

Uwaga Jeśli numer wersji programu SQL Server nie jest reprezentowany w poniższej tabeli, wersja programu SQL Server nie jest już obsługiwana. Uaktualnij do najnowszego produktu Service Pack lub PROGRAMU SQL Server, aby zastosować te i przyszłe aktualizacje zabezpieczeń.

Numer aktualizacji Tytuł Zastosuj, jeśli bieżąca wersja produktu to... Ta aktualizacja zabezpieczeń obejmuje również wersje obsługi...
3194719 MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2012 SP2 GDR: 8 listopada 2016 r. 11.0.5058.0 - 11.0.5387.0 MS15-058
3194725 MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2012 SP2 CU: 8 listopada 2016 r. 11.0.5500.0 - 11.0.5675.0 SQL Server 2012 SP2 CU15
3194721 MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2012 z dodatkiem Service Pack 3 GDR: 8 listopada 2016 r. 11.0.6020.0 - 11.0.6247.0 SQL Server 2012 SP3
3194724 MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2012 z dodatkiem Service Pack 3 CU: 8 listopada 2016 r. 11.0.6300.0 - 11.0.6566.0 SQL Server 2012 SP3 CU6
3194720 MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2014 z dodatkiem Service Pack 1 GDR: 8 listopada 2016 r. 12.0.4100.0 - 12.0.4231.0 Ważna aktualizacja programu SQL Server 2014 SP1 (KB3070446)
3194722 MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2014 z dodatkiem Service Pack 1 CU: 8 listopada 2016 r. 12.0.4400.0 - 12.0.4486.0 SQL Server 2014 SP1 CU9
3194714 MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2014 z dodatkiem Service Pack 2 GDR: 8 listopada 2016 r. 12.0.5000.0 - 12.0.5202.0 SQL Server 2014 SP2
3194718 MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2014 z dodatkiem Service Pack 2 CU: 8 listopada 2016 r. 12.0.5400.0 - 12.0.5531.0 SQL Server 2014 SP2 CU2
3194716 MS16-136: Opis aktualizacji zabezpieczeń dla odzyskiwania po awarii programu SQL Server 2016: 8 listopada 2016 r. 13.0.1605.0 - 13.0.1721.0 Aktualizacja krytyczna dla usług SQL Server 2016 Analysis Services (KB3179258)
3194717 MS16-136: Opis aktualizacji zabezpieczeń programu SQL Server 2016 CU: 8 listopada 2016 r. 13.0.2100.0 - 13.0.2182.0 SQL Server 2016 CU3

Aby uzyskać dodatkowe instrukcje dotyczące instalacji, zobacz podsekcję Informacje o aktualizacji zabezpieczeń dla wersji programu SQL Server w sekcji Informacje o aktualizacji.

Jakie są oznaczenia aktualizacji GDR i CU oraz jak się różnią? 
Oznaczenia Ogólnego wydania dystrybucji (GDR) i aktualizacji zbiorczej (CU) odpowiadają dwóm różnym gałęziom obsługi aktualizacji w miejscu dla programu SQL Server. Podstawową różnicą między nimi jest to, że gałęzie aktualizacji zbiorczo obejmują wszystkie aktualizacje dla danego punktu odniesienia, podczas gdy gałęzie odzyskiwania po awarii obejmują tylko zbiorcze aktualizacje krytyczne dla danego punktu odniesienia. Punktem odniesienia może być początkowa wersja RTM lub dodatek Service Pack.

W przypadku dowolnego punktu odniesienia aktualizacje gałęzi GDR lub CU są opcjami, jeśli jesteś w punkcie odniesienia lub zainstalowano tylko poprzednią aktualizację odzyskiwania po awarii dla tego punktu odniesienia. Gałąź cu jest jedyną opcją, jeśli zainstalowano poprzednią aktualizację CU programu SQL Server dla punktu odniesienia, na którym się znajdujesz.

Czy te aktualizacje zabezpieczeń będą oferowane klastrom programu SQL Server? 
Tak. Aktualizacje będą również oferowane dla wystąpień SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 i SQL Server 2016 RTM, które są klastrowane. Aktualizacje dla klastrów programu SQL Server będą wymagały interakcji z użytkownikiem.

Jeśli klaster SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 i SQL Server 2016 RTM ma węzeł pasywny, aby zmniejszyć przestoje, firma Microsoft zaleca skanowanie i stosowanie aktualizacji do nieaktywnego węzła, a następnie skanowanie i zastosowanie go do aktywnego węzła. Po zaktualizowaniu wszystkich składników we wszystkich węzłach aktualizacja nie będzie już oferowana.

Czy aktualizacje zabezpieczeń można zastosować do wystąpień programu SQL Server na platformie Windows Azure (IaaS)?
Tak. Wystąpienia programu SQL Server na platformie Windows Azure (IaaS) mogą być oferowane przez usługę Microsoft Update lub klienci mogą pobierać aktualizacje zabezpieczeń z Centrum pobierania Microsoft i stosować je ręcznie.

Klasyfikacje ważności i identyfikatory luk w zabezpieczeniach

Następujące oceny ważności zakładają potencjalny maksymalny wpływ luki w zabezpieczeniach. Aby uzyskać informacje dotyczące prawdopodobieństwa, w ciągu 30 dni od wydania tego biuletynu zabezpieczeń, możliwości wykorzystania luki w zabezpieczeniach w odniesieniu do jego oceny ważności i wpływu na zabezpieczenia, zobacz indeks wykorzystania w podsumowaniu biuletynu listopada.

Ocena ważności luk w zabezpieczeniach i maksymalny wpływ na zabezpieczenia przez oprogramowanie, którego dotyczy problem
Oprogramowanie, którego dotyczy problem Luka w zabezpieczeniach EoP aparatu SQL RDBMS — CVE-2016-7249 Luka w zabezpieczeniach EoP aparatu SQL RDBMS — CVE-2016-7250 Luka w zabezpieczeniach EoP aparatu SQL RDBMS — CVE-2016-7254 Luka w zabezpieczeniach XSS interfejsu API MDS — CVE-2016-7251 Luka w zabezpieczeniach dotycząca ujawniania informacji w usługach SQL Analysis Services — CVE-2016-7252 Luka w zabezpieczeniach dotycząca podniesienia uprawnień agenta programu SQL Server — CVE-2016-7253
SQL Server 2012 z dodatkiem Service Pack 2
Microsoft SQL Server 2012 dla systemów 32-bitowych z dodatkiem Service Pack 2 Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień
Microsoft SQL Server 2012 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień
SQL Server 2012 z dodatkiem Service Pack 3
Microsoft SQL Server 2012 dla 32-bitowych systemów z dodatkiem Service Pack 3 Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień
Microsoft SQL Server 2012 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 3 Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień
SQL Server 2014 z dodatkiem Service Pack 1
Microsoft SQL Server 2014 z dodatkiem Service Pack 1 dla systemów 32-bitowych Nie dotyczy Ważne podniesienie uprawnień Nie dotyczy Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień
Microsoft SQL Server 2014 z dodatkiem Service Pack 1 dla systemów opartych na architekturze x64 Nie dotyczy Ważne podniesienie uprawnień Nie dotyczy Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień
SQL Server 2014 z dodatkiem Service Pack 2
Microsoft SQL Server 2014 z dodatkiem Service Pack 2 dla systemów 32-bitowych Nie dotyczy Ważne podniesienie uprawnień Nie dotyczy Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień
Microsoft SQL Server 2014 z dodatkiem Service Pack 2 dla systemów opartych na architekturze x64 Nie dotyczy Ważne podniesienie uprawnień Nie dotyczy Nie dotyczy Nie dotyczy Ważne podniesienie uprawnień
SQL Server 2016
Microsoft SQL Server 2016 dla systemów opartych na architekturze x64 Ważne podniesienie uprawnień Ważne podniesienie uprawnień Nie dotyczy Ważne podniesienie uprawnień Ważne \ Ujawnienie informacji Nie dotyczy

Informacje o lukach w zabezpieczeniach

Wiele luk w zabezpieczeniach dotyczących podniesienia uprawnień aparatu RDBMS sql

Luki w zabezpieczeniach podniesienia uprawnień istnieją w programie Microsoft SQL Server, gdy nieprawidłowo obsługuje rzutowanie wskaźników. Osoba atakująca może wykorzystać luki w zabezpieczeniach, jeśli ich poświadczenia zezwalają na dostęp do bazy danych programu SQL Server, której dotyczy problem. Osoba atakująca, która pomyślnie wykorzystała luki w zabezpieczeniach, może uzyskać podwyższone uprawnienia, których można użyć do wyświetlania, zmieniania lub usuwania danych; lub utwórz nowe konta.

Aktualizacja zabezpieczeń usuwa luki w zabezpieczeniach, poprawiając sposób obsługi rzutowania wskaźnika przez program SQL Server

Poniższa tabela zawiera linki do standardowego wpisu dla każdej luki w zabezpieczeniach na liście Typowe luki w zabezpieczeniach i ekspozycji:

Tytuł luki w zabezpieczeniach Numer CVE Ujawnione publicznie Wykorzystać
Luka w zabezpieczeniach dotycząca podniesienia uprawnień aparatu SQL RDBMS CVE-2016-7249 Nie Nie.
Luka w zabezpieczeniach dotycząca podniesienia uprawnień aparatu SQL RDBMS CVE-2016-7250 Nie Nie.
Luka w zabezpieczeniach dotycząca podniesienia uprawnień aparatu SQL RDBMS CVE-2016-7254 Nie Nie.

Czynniki korygujące

Firma Microsoft nie zidentyfikowała żadnych czynników korygujących te luki w zabezpieczeniach.

Obejścia

Firma Microsoft nie zidentyfikowała żadnych obejść tych luk w zabezpieczeniach.

Luka w zabezpieczeniach XSS interfejsu API MDS — CVE-2016-7251

Luka w zabezpieczeniach dotycząca podniesienia uprawnień XSS istnieje w usłudze SQL Server MDS, która może umożliwić osobie atakującej wstrzyknięcie skryptu po stronie klienta do wystąpienia programu Internet Explorer użytkownika. Luka w zabezpieczeniach jest spowodowana tym, że usługa MDS programu SQL Server nie weryfikuje poprawnie parametru żądania w lokacji programu SQL Server. Skrypt może fałszować zawartość, ujawniać informacje lub podejmować wszelkie działania, które użytkownik może wykonać w witrynie w imieniu docelowego użytkownika.

Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach, poprawiając sposób sprawdzania poprawności parametru żądania przez usługę MDS programu SQL Server.

Poniższa tabela zawiera link do standardowego wpisu luki w zabezpieczeniach na liście Typowe luki w zabezpieczeniach i ekspozycji:

Tytuł luki w zabezpieczeniach Numer CVE Ujawnione publicznie Wykorzystać
Luka w zabezpieczeniach XSS interfejsu API MDS CVE-2016-7251 Nie Nie.

Czynniki korygujące

Firma Microsoft nie zidentyfikowała żadnych czynników korygujących tę lukę w zabezpieczeniach.

Obejścia

Firma Microsoft nie zidentyfikowała żadnych obejść tej luki w zabezpieczeniach .

Luka w zabezpieczeniach dotycząca ujawniania informacji w usługach SQL Analysis Services — CVE-2016-7252

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji istnieje w usługach Microsoft SQL Analysis Services, gdy nieprawidłowo sprawdza ścieżkę FILESTREAM. Osoba atakująca może wykorzystać tę lukę w zabezpieczeniach, jeśli ich poświadczenia zezwalają na dostęp do bazy danych programu SQL Server, której dotyczy problem. Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może uzyskać dodatkowe informacje o bazie danych i plikach.

Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach, poprawiając sposób obsługi ścieżki FILESTREAM przez program SQL Server.

Poniższa tabela zawiera link do standardowego wpisu luki w zabezpieczeniach na liście Typowe luki w zabezpieczeniach i ekspozycji:

Tytuł luki w zabezpieczeniach Numer CVE Ujawnione publicznie Wykorzystać
Luka w zabezpieczeniach dotycząca ujawniania informacji w usługach SQL Analysis Services CVE-2016-7252 Nie Nie.

Czynniki korygujące

Firma Microsoft nie zidentyfikowała żadnych czynników korygujących tę lukę w zabezpieczeniach

Obejścia

Firma Microsoft nie zidentyfikowała żadnych obejść tej luki w zabezpieczeniach .

Luka w zabezpieczeniach dotycząca podniesienia uprawnień agenta programu SQL Server — CVE-2016-7253

Luka w zabezpieczeniach dotycząca podniesienia uprawnień istnieje w a aparatu programu Microsoft SQL Server, gdy program SQL Server Agent niepoprawnie sprawdza listy ACL w atxcore.dll. Osoba atakująca może wykorzystać tę lukę w zabezpieczeniach, jeśli ich poświadczenia zezwalają na dostęp do bazy danych programu SQL Server, której dotyczy problem. Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może uzyskać podwyższony poziom uprawnień, który może służyć do wyświetlania, zmieniania lub usuwania danych; lub utwórz nowe konta.

Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach, poprawiając sposób obsługi list ACL przez aparat programu SQL Server.

Poniższa tabela zawiera link do standardowego wpisu luki w zabezpieczeniach na liście Typowe luki w zabezpieczeniach i ekspozycji:

Tytuł luki w zabezpieczeniach Numer CVE Ujawnione publicznie Wykorzystać
Luka w zabezpieczeniach dotycząca podniesienia uprawnień agenta programu SQL Server CVE-2016-7253 Nie Nie.

Czynniki korygujące

Firma Microsoft nie zidentyfikowała żadnych czynników korygujących tę lukę w zabezpieczeniach.

Obejścia

Firma Microsoft nie zidentyfikowała żadnych obejść tej luki w zabezpieczeniach .

Podziękowania

Firma Microsoft uznaje wysiłki osób w społeczności zabezpieczeń, które pomagają nam chronić klientów poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Aby uzyskać więcej informacji, zobacz Potwierdzenie .

Zastrzeżenie

Informacje podane w bazie wiedzy Microsoft Knowledge Base są dostarczane "tak, jak to jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.

Poprawki

  • Wersja 1.0 (8 listopada 2016 r.): Opublikowano biuletyn.

Strona wygenerowana 2016-11-09 08:02-08:00.