Бюллетень по безопасности Майкрософт MS16-136 — важно
Обновление системы безопасности для SQL Server (3199641)
Опубликовано: 8 ноября 2016 г.
Версия: 1.0
Краткий обзор
Это обновление безопасности устраняет уязвимости в Microsoft SQL Server. Наиболее серьезные уязвимости могут позволить злоумышленнику получить повышенные привилегии, которые можно использовать для просмотра, изменения или удаления данных; или создайте новые учетные записи. Обновление системы безопасности устраняет эти самые серьезные уязвимости, исправляя способ приведения указателя SQL Server.
Это обновление безопасности оценивается как важно для поддерживаемых выпусков Microsoft SQL Server 2012 с пакетом обновления 2 и 3, Microsoft SQL Server 2014 с пакетом обновления 1 и 2 и Microsoft SQL Server 2016. Дополнительные сведения см. в разделе "Затронутая программа ".
Дополнительные сведения об уязвимостях см. в разделе "Сведения об уязвимостях".
Дополнительные сведения об этом обновлении см. в статье базы знаний Майкрософт 3199641.
Затронутого программного обеспечения
Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
Затронутого программного обеспечения
Вопросы и ответы по обновлению
Для моей версии SQL Server предлагаются обновления GDR и/или CU (накопительного обновления). Разделы справки знать, какое обновление следует использовать?
Сначала определите номер версии SQL Server. Дополнительные сведения об определении номера версии SQL Server см. в статье базы знаний Майкрософт 321185.
Во-вторых, в таблице ниже найдите номер версии или диапазон версий, в который входит номер версии. Соответствующее обновление является тем, который необходимо установить.
Примечание. Если номер версии SQL Server не представлен в таблице ниже, версия SQL Server больше не поддерживается. Обновите до последней версии пакета обновления или продукта SQL Server, чтобы применить эти и будущие обновления системы безопасности.
| Номер обновления | Заголовок | Примените текущую версию продукта... | Это обновление системы безопасности также включает в себя выпуски обслуживания до... |
|---|---|---|---|
| 3194719 | MS16-136: описание обновления безопасности для SQL Server 2012 с пакетом обновления 2 (SP2) с пакетом обновления 2 (SP2) 8 ноября 2016 г. | 11.0.5058.0 - 11.0.5387.0 | MS15-058 |
| 3194725 | MS16-136: описание обновления безопасности для SQL Server 2012 с пакетом обновления 2 (SP2) с накопительным пакетом обновления 2 (SP2): 8 ноября 2016 г. | 11.0.5500.0 - 11.0.5675.0 | SQL Server 2012 с пакетом обновления 2 (SP2) CU15 |
| 3194721 | MS16-136: описание обновления безопасности для SQL Server 2012 с пакетом обновления 3 GDR: 8 ноября 2016 г. | 11.0.6020.0 - 11.0.6247.0 | SQL Server 2012 с пакетом обновления 3 (SP3) |
| 3194724 | MS16-136: описание обновления безопасности для SQL Server 2012 с пакетом обновления 3 с пакетом обновления 3 (CU): 8 ноября 2016 г. | 11.0.6300.0 - 11.0.6566.0 | SQL Server 2012 с пакетом обновления 3 (SP3) CU6 |
| 3194720 | MS16-136: описание обновления безопасности для SQL Server 2014 с пакетом обновления 1 GDR: 8 ноября 2016 г. | 12.0.4100.0 - 12.0.4231.0 | Важное обновление для SQL Server 2014 с пакетом обновления 1 (SP1) (КБ 3070446) |
| 3194722 | MS16-136: описание обновления системы безопасности для SQL Server 2014 с пакетом обновления 1 (CU): 8 ноября 2016 г. | 12.0.4400.0 - 12.0.4486.0 | SQL Server 2014 с пакетом обновления 1 (SP1) CU9 |
| 3194714 | MS16-136: описание обновления безопасности для SQL Server 2014 с пакетом обновления 2 GDR: 8 ноября 2016 г. | 12.0.5000.0 - 12.0.5202.0 | SQL Server 2014 SP2 |
| 3194718 | MS16-136: описание обновления системы безопасности для SQL Server 2014 с пакетом обновления 2 (CU): 8 ноября 2016 г. | 12.0.5400.0 - 12.0.5531.0 | SQL Server 2014 с пакетом обновления 2 (SP2) с накопительным пакетом обновления 2 (CU2) |
| 3194716 | MS16-136: описание обновления безопасности для SQL Server 2016 GDR: 8 ноября 2016 г. | 13.0.1605.0 - 13.0.1721.0 | Критическое обновление для служб SQL Server 2016 Analysis Services (KB3179258) |
| 3194717 | MS16-136: описание обновления безопасности для SQL Server 2016 CU: 8 ноября 2016 г. | 13.0.2100.0 - 13.0.2182.0 | SQL Server 2016 CU3 |
Дополнительные инструкции по установке см. в подразделе сведений об обновлении системы безопасности для выпуска SQL Server в разделе "Сведения об обновлении".
Каковы обозначения обновлений GDR и CU и как они отличаются?
Обозначения общего выпуска дистрибутива (GDR) и накопительного обновления (CU) соответствуют двум разным ветвям обслуживания обновлений на месте для SQL Server. Основное различие между двумя заключается в том, что ветви CU совокупно включают все обновления для заданного базового плана, в то время как ветви GDR включают только накопительные критические обновления для заданного базового плана. Базовые показатели могут быть начальным выпуском RTM или пакетом обновления.
Для любой базовой конфигурации обновления GDR или CU — это параметры, если вы находитесь на базовом уровне или установили только предыдущее обновление GDR для этого базового плана. Ветвь CU является единственным вариантом, если вы установили предыдущий накопительный пакет обновления SQL Server для базовой конфигурации.
Будут ли эти обновления безопасности предлагаться кластерам SQL Server?
Да. Обновления также будут предложены экземплярам SQL Server 2012 с пакетом обновления 2 (SP3), SQL Server 2014 с пакетом обновления 2 (SP1) и SQL Server 2016 RTM, которые кластеризованы. Обновления для кластеров SQL Server потребуется взаимодействие с пользователем.
Если в SQL Server 2012 с пакетом обновления 2 (SP3), SQL Server 2014 с пакетом обновления 2 (SP1) и кластере RTM SQL Server 2016 есть пассивный узел, корпорация Майкрософт рекомендует сначала проверять и применять обновление к неактивным узлу, а затем проверять и применять его к активному узлу. Когда все компоненты были обновлены на всех узлах, обновление больше не будет предложено.
Можно ли применять обновления безопасности к экземплярам SQL Server в Windows Azure (IaaS)?
Да. Экземпляры SQL Server в Windows Azure (IaaS) можно предлагать обновления безопасности через Центр обновления Майкрософт, или клиенты могут скачать обновления безопасности из Центра загрузки Майкрософт и применить их вручную.
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в ноябрьских бюллетенях.
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||||||
|---|---|---|---|---|---|---|
| Затронутого программного обеспечения | Уязвимость подсистемы EoP для ЯДРА RDBMS SQL — CVE-2016-7249 | Уязвимость ядра EOP для ЯДРА RDBMS SQL — CVE-2016-7250 | Уязвимость ядра EOP для ЯДРА RDBMS SQL — CVE-2016-7254 | Уязвимость API MDS XSS — CVE-2016-7251 | Уязвимость раскрытия информации в службах SQL Analysis Services — CVE-2016-7252 | уязвимость агент SQL Server повышения привилегий — CVE-2016-7253 |
| SQL Server 2012 с пакетом обновления 2 (SP2) | ||||||
| Microsoft SQL Server 2012 для 32-разрядных систем с пакетом обновления 2 | Неприменимо | Неприменимо | Важное повышение привилегий | Неприменимо | Неприменимо | Важное повышение привилегий |
| Microsoft SQL Server 2012 для систем на основе x64 с пакетом обновления 2 (SP2) | Неприменимо | Неприменимо | Важное повышение привилегий | Неприменимо | Неприменимо | Важное повышение привилегий |
| SQL Server 2012 с пакетом обновления 3 | ||||||
| Microsoft SQL Server 2012 для 32-разрядных систем с пакетом обновления 3 | Неприменимо | Неприменимо | Важное повышение привилегий | Неприменимо | Неприменимо | Важное повышение привилегий |
| Microsoft SQL Server 2012 для систем на основе x64 с пакетом обновления 3 (SP3) | Неприменимо | Неприменимо | Важное повышение привилегий | Неприменимо | Неприменимо | Важное повышение привилегий |
| SQL Server 2014 с пакетом обновления 1 (SP1) | ||||||
| Microsoft SQL Server 2014 с пакетом обновления 1 (SP1) для 32-разрядных систем | Нет данных | Важное повышение привилегий | Неприменимо | Нет данных | Неприменимо | Важное повышение привилегий |
| Microsoft SQL Server 2014 с пакетом обновления 1 (SP1) для систем на основе x64 | Нет данных | Важное повышение привилегий | Неприменимо | Нет данных | Неприменимо | Важное повышение привилегий |
| SQL Server 2014 с пакетом обновления 2 (SP2) | ||||||
| Microsoft SQL Server 2014 с пакетом обновления 2 (SP2) для 32-разрядных систем | Нет данных | Важное повышение привилегий | Неприменимо | Нет данных | Неприменимо | Важное повышение привилегий |
| Microsoft SQL Server 2014 с пакетом обновления 2 (SP2) для систем на основе x64 | Нет данных | Важное повышение привилегий | Неприменимо | Нет данных | Неприменимо | Важное повышение привилегий |
| SQL Server 2016 | ||||||
| Microsoft SQL Server 2016 для систем на основе x64 | Важное повышение привилегий | Важное повышение привилегий | Нет данных | Важное повышение привилегий | Важно \ Раскрытие информации | Нет данных |
Сведения об уязвимостях
Несколько уязвимостей ядра RDBMS для повышения привилегий
При неправильной обработке приведения указателя на наличие уязвимостей привилегий существуют в Microsoft SQL Server. Злоумышленник может использовать уязвимости, если их учетные данные разрешают доступ к затронутой базе данных SQL Server. Злоумышленник, успешно использующий уязвимости, может получить повышенные привилегии, которые можно использовать для просмотра, изменения или удаления данных; или создайте новые учетные записи.
Обновление безопасности устраняет уязвимости, исправляя способ приведения указателя SQL Server
В следующей таблице содержатся ссылки на стандартную запись для каждой уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Уязвимость ядра RDBMS с повышением привилегий | CVE-2016-7249 | No | No |
| Уязвимость ядра RDBMS с повышением привилегий | CVE-2016-7250 | No | No |
| Уязвимость ядра RDBMS с повышением привилегий | CVE-2016-7254 | No | No |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этих уязвимостей.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этих уязвимостей.
Уязвимость API MDS XSS— CVE-2016-7251
Уязвимость с повышением привилегий XSS существует в SQL Server MDS, которая может позволить злоумышленнику внедрить клиентский скрипт в экземпляр интернет-Обозреватель пользователя. Уязвимость возникает, когда SQL Server MDS неправильно проверяет параметр запроса на сайте SQL Server. Скрипт может спуфинировать содержимое, раскрыть информацию или предпринять какие-либо действия, которые пользователь мог предпринять на сайте от имени целевого пользователя.
Обновление безопасности устраняет уязвимость, исправляя способ проверки параметра запроса SQL Server MDS.
В следующей таблице содержится ссылка на стандартную запись уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Уязвимость XSS API MDS | CVE-2016-7251 | No | No |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Уязвимость раскрытия информации в службах SQL Analysis Services— CVE-2016-7252
Уязвимость раскрытия информации существует в Службах Microsoft SQL Analysis Services, когда она неправильно проверка пути FILESTREAM. Злоумышленник может воспользоваться уязвимостью, если учетные данные разрешают доступ к затронутой базе данных SQL Server. Злоумышленник, который успешно воспользовался уязвимостью, может получить дополнительные сведения о базе данных и файлах.
Обновление безопасности устраняет уязвимость, исправляя способ обработки пути FILESTREAM SQL Server.
В следующей таблице содержится ссылка на стандартную запись уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| Уязвимость раскрытия информации в службах SQL Analysis Services | CVE-2016-7252 | No | No |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
уязвимость агент SQL Server повышения привилегий— CVE-2016-7253
Уязвимость с повышением привилегий существует в подсистеме Microsoft SQL Server, когда агент SQL Server неправильно проверка списки управления доступом на atxcore.dll. Злоумышленник может воспользоваться уязвимостью, если учетные данные разрешают доступ к затронутой базе данных SQL Server. Злоумышленник, успешно использующий уязвимость, может получить повышенные привилегии, которые можно использовать для просмотра, изменения или удаления данных; или создайте новые учетные записи.
Обновление безопасности устраняет уязвимость, исправляя способ обработки списков управления доступом ядра SQL Server.
В следующей таблице содержится ссылка на стандартную запись уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Использованы |
|---|---|---|---|
| агент SQL Server уязвимость с повышением привилегий | CVE-2016-7253 | No | No |
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Благодарности
Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (8 ноября 2016 г.): Бюллетень опубликован.
Страница создана 2016-11-09 08:02-08:00.