マイクロソフトセキュリティ情報 MS12-070 - 重要

SQL Server の脆弱性により、特権が昇格される (2754849)

公開日: 2012年10月10日

バージョン: 1.0

概説

概要

このセキュリティ更新プログラムは非公開で報告された SQL Server Reporting Services (SSRS) を実行しているシステム上の Microsoft SQL Server の脆弱性を解決します。この脆弱性は、クロスサイトスクリプティング (XSS) の脆弱性で、特権が昇格され、標的となるユーザーのコンテキストで、攻撃者が SSRS サイト上で任意のコマンドを実行することが可能になります。攻撃者は、特別に細工されたリンクをユーザーに送信し、ユーザーにそれをクリックさせることで、この脆弱性を悪用する可能性があります。攻撃者はこの脆弱性の悪用を意図した Web ページを含む Web サイトをホストする可能性があります。さらに、影響を受けた Web サイトおよびユーザー提供のコンテンツまたは広告を受け入れる、またはホストする Web サイトには、この脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれる可能性があります。

このセキュリティ更新プログラムは、Microsoft SQL Server 2000 Reporting Services Service Pack 2、および Microsoft SQL Server 2005 Service Pack 4、Microsoft SQL Server 2008 Service Pack 2、Microsoft SQL Server 2008 Service Pack 3、Microsoft SQL Server 2008 R2 Service Pack 1、Microsoft SQL Server 2012 上で SQL Server Reporting Services (SSRS) を実行しているシステムについて深刻度を「重要」に評価しています。詳細については、このセクションのサブセクション「影響を受けるソフトウェアと影響を受けないソフトウェア」を参照してください。

このセキュリティ更新プログラムは、SQL Server Report Manager が入力パラメーターを検証する方法を変更することにより、この脆弱性を解決します。この脆弱性に関する詳細については、次の「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」を参照してください。

推奨する対応策: マイクロソフトはお客様が、できるだけ早い機会にこの更新プログラムを適用することを推奨します。

既知の問題: マイクロソフトサポート技術情報 2754849 で、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明しています。また、これらの問題に対する推奨される解決策についても説明しています。

影響を受けるソフトウェアおよび影響を受けないソフトウェア

ここに記載されているソフトウェアをテストし、影響を受けるバージョンまたはエディションを確認しました。その他のバージョンまたはエディションはサポートライフサイクルが終了したか、または影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポートライフサイクルを確認するには、マイクロソフトサポートライフサイクルの Web サイトを参照してください。

Microsoft SQL Server

ソフトウェアのバージョンまたはエディションにより、マイクロソフトダウンロードセンターから手動で更新プログラムをインストールする場合、下の GDR または QFE のソフトウェアのいずれかの更新プログラムのダウンロード先の選択が必要な場合があります。コンピューターにどちらの更新プログラムをインストールするかの確認については、このセクションの「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」をご覧ください。

[1]この更新プログラムは、SQL Server Reporting Services (SSRS) を実行しているお客様にのみ提供されます。

影響を受けないソフトウェア

Microsoft SQL Server ソフトウェア
Microsoft SQL Server 2000 Service Pack 4
Microsoft SQL Server 2000 Itanium Edition Service Pack 4
Microsoft SQL Server 2000 Analysis Services Service Pack 4
Microsoft Windows Server 2003 Service Pack 2 上の Microsoft SQL Server 2000 Desktop Engine (MSDE)
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4
Microsoft SQL Server 2005 Express Edition Service Pack 4
Microsoft SQL Server Management Studio Express (SSMSE) 2005
Microsoft SQL Server 2008 R2 for 32-bit Systems Service Pack 2
Microsoft SQL Server 2008 R2 for x64-based Systems Service Pack 2
Microsoft SQL Server 2008 R2 for Itanium-based Systems Service Pack 2
Microsoft Data Engine (MSDE) 1.0
Microsoft Data Engine (MSDE) 1.0 Service Pack 4
Microsoft Data Engine 1.0

このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)

ファイル情報の詳細はどこにありますか?
ファイル情報の詳細の場所については、「セキュリティ更新プログラムの展開」の参照表を参照してください。

セキュリティ更新プログラムのハッシュはどこにありますか?
セキュリティ更新プログラムの SHA1 および SHA2 ハッシュを使用して、ダウンロードされたセキュリティ更新プログラムパッケージの信頼性を確認することができます。この更新プログラムに関するハッシュの詳細については、サポート技術情報 2754849 を参照してください。

GDRおよびQFE の更新プログラムが、所有している SQL のバージョンに提供されています。どちらの更新プログラムを使用すればよいのか、確認方法を教えてください。
まず、お客様の SQL Server のバージョン番号を確認します。使用している SQL Server のバージョン番号を確認する方法の詳細については、サポート技術情報 321185 を参照してください。

次に、下の表で、お客様の SQL Server のバージョン番号が含まれているバージョンの範囲を確認してください。該当する更新プログラムをインストールする必要があります。

注: 下の表に、お客様の SQL Server のバージョン番号が含まれていない場合、その SQL Server のバージョンのサポートは終了しています。この更新プログラムおよび今後リリースされるセキュリティ更新プログラムを適用するために、セキュリティ最新のサービスパックまたは SQL Server 製品へアップグレードしてください。

SQL Server 2000:

SQL Server のバージョンの範囲
SQL Server の更新プログラム
	8.0.1038.0-8.0.1076.0
対象外	Microsoft SQL Server 2000 Reporting Services Service Pack 2 (KB983814)

SQL Server 2005:

SQL Server のバージョンの範囲
SQL Server の更新プログラム
9.0.5000-9.0.5068	9.0.5200-9.0.5323
SQL Server 2005 Service Pack 4 GDR (KB2716429)	SQL Server 2005 Service Pack 4 QFE (KB2716427)

SQL Server 2008:

SQL Server のバージョンの範囲
SQL Server の更新プログラム
10.00.4000-10.00.4066	10.00.4260-10.00.4370	10.00.5500-10.00.5511	10.00.5750-10.00.5825
SQL Server 2008 Service Pack 2 GDR (KB2716434)	SQL Server 2005 Service Pack 2 QFE (KB2716433)	SQL Server 2008 Service Pack 3 GDR (KB2716436)	SQL Server 2005 Service Pack 3 QFE (KB2716435)

SQL Server 2008 R2:

SQL Server のバージョンの範囲
SQL Server の更新プログラム
10. 50.2500-10.50.2549	10.50.2750- 10.50.2860
SQL Server 2008 R2 Service Pack 1 GDR (KB2716440)	SQL Server 2008 R2 Service Pack 1 QFE (KB2716439)

SQL Server 2012:

SQL Server のバージョンの範囲
SQL Server の更新プログラム
11.0.2100- 11.0.2217	11.0.2300-11.0.2375
SQL Server 2012GDR (KB2716442)	SQL Server 2012 QFE (KB2716441)

その他のインストールの手順については、「更新プログラムに関する情報」の「セキュリティ更新プログラムに関する情報」でお客様の SQL Server のエディションについてご確認ください。

この更新プログラムは、SQL Server クラスターに提供されますか?
はい。この更新プログラムはクラスター化された SQL Server 2005、SQL Server 2008、SQL Server 2008 R2、および SQL Server 2012 にも提供されます。SQL Server クラスター用の更新プログラムはユーザー対話が必要です。SQL Server 2000 Reporting Services は、SQL Server クラスターをサポートしません。

SQL Server 2005、SQL Server 2008、SQL Server 2008 R2、または SQL Server 2012 クラスターにパッシブノードが含まれている場合、まずアクティブノードの修正プログラムをスキャンおよび適用してから、パッシブノードのスキャンおよび適用を実行することを推奨します。すべてのコンポーネントがパッシブノードで更新されると、この更新プログラムは提供されなくなります。

「セキュリティ更新プログラムに関する情報」のセクションの SQL Server 2000 Reporting Services の参照表には、再起動が必要ないくつかの更新プログラムが含まれています。更新プログラムを再起動する必要があるかどうかは、どのように確認できますか?
SQL Server 2000 Reporting Services には、関連するサービスが含まれている場合があります。依存するサービスが停止し、再起動した後でも、関連のサービスは再起動しません。そのため、関連のサービスを確実に開始するために、インストールの成功後、再起動が必要です。関連のサービスを実行しているかどうかを確認するには、サポート技術情報 953741 を参照してください。

この更新プログラムは、 SQL Server 2005、SQL Server 2008、SQL Server 2008 R2、および SQL Server 2012 の無効にされたインスタンスに適用されますか?
いいえ。スタートアップの種類が [無効] 以外の SQL Server 2005、SQL Server 2008、SQL Server 2008 R2、および SQL Server 2012 のインスタンスのみ、インストーラーで更新されます。無効にされたサービスの詳細については、「サポート技術情報 953740 を参照してください。

このセキュリティ情報で説明しているソフトウェアの旧バージョンを使用しています。どうすればよいですか?
このセキュリティ情報に記載されている影響を受けるソフトウェアのテストを行い、影響を受けるリリースを確認しました。その他のリリースは、サポートライフサイクルが終了しました。製品のライフサイクルに関する詳細については、マイクロソフトサポートライフサイクルの Web サイトを参照してください。

今後、脆弱性の影響を受けないようにするため、旧リリースのソフトウェアを使用しているお客様は、サポート対象のリリースに移行することを強く推奨します。使用するソフトウェアのサポートライフサイクルを確認するには、プロダクトサポートライフサイクル - 製品一覧を参照してください。これらのソフトウェアのリリースのサービスパックの詳細については、プロダクトサポートライフサイクル - 製品一覧を参照してください。

以前のソフトウェアに関するカスタムサポートが必要なお客様は、担当営業、またはマイクロソフトアカウントチームの担当者、担当テクニカルアカウントマネージャー (TAM)、またはカスタムサポートオプションのマイクロソフトパートナー担当者までご連絡ください。プレミア契約をお持ちでないお客様は、マイクロソフトサポート契約センター (営業時間 9:30-12:00 13:00-19:00 土日祝祭日を除く TEL:0120-17-0196 FAX:03-5388-8253) までお問い合わせください。連絡先の情報は、Microsoft Worldwide Information Web サイトの Contact Information のプルダウンリストから国を選択し、[Go] ボタンをクリックすると、連絡先の電話番号が表示されます。お問い合わせの際、お住まいの地域のプレミアサポート営業担当にご連絡ください。詳細については、マイクロソフトサポートライフサイクルポリシー FAQ を参照してください。

脆弱性の情報

深刻度および脆弱性識別番号

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日間でこの脆弱性が悪用される可能性に関する情報については、10 月のセキュリティ情報の概要の Exploitability Index を参照してください。詳細については、Microsoft Exploitability Index (悪用可能性指標) を参照してください。

影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響
影響を受けるソフトウェア	折り返し型 XSS の脆弱性 - CVE-2012-2552	総合的な深刻度
SQL Server 2000
Microsoft SQL Server 2000 Reporting Services Service Pack 2	重要特権の昇格	重要
SQL Server 2005
Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 4	重要特権の昇格	重要
Microsoft SQL Server 2005 for 32-bit Systems Service Pack 4	重要特権の昇格	重要
Microsoft SQL Server 2005 for x64-based Systems Service Pack 4	重要特権の昇格	重要
Microsoft SQL Server 2005 for Itanium-Based Systems Service Pack 4	重要特権の昇格	重要
SQL Server 2008
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 2	重要特権の昇格	重要
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 3	重要特権の昇格	重要
Microsoft SQL Server 2008 for x64-based Systems Service Pack 2	重要特権の昇格	重要
Microsoft SQL Server 2008 for x64-based Systems Service Pack 3	重要特権の昇格	重要
Microsoft SQL Server 2008 for Itanium-Based Systems Service Pack 2	重要特権の昇格	重要
Microsoft SQL Server 2008 for Itanium-Based Systems Service Pack 3	重要特権の昇格	重要
SQL Server 2008 R2
Microsoft SQL Server 2008 R2 for 32-bit Systems Service Pack 1	重要特権の昇格	重要
Microsoft SQL Server 2008 R2 for Itanium-Based Systems Service Pack 1	重要特権の昇格	重要
Microsoft SQL Server 2008 R2 for x64-based Systems Service Pack 1	重要特権の昇格	重要
SQL Server 2012
Microsoft SQL Server 2012 for 32-bit Systems	重要特権の昇格	重要
Microsoft SQL Server 2012 for x64-based Systems	重要特権の昇格	重要

折り返し型 XSS の脆弱性 - CVE-2012-2552

SQL Server Report Manager には折り返し型 XSS の脆弱性が存在し、攻撃者がユーザーの Internet Explorer インスタンスにクライアント側スクリプトを挿入する可能性があります。スクリプトはサイトでコンテンツのなりすまし、情報の漏えい、または標的となるユーザーに代わって任意の操作を行う可能性があります。

Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性を確認するには、CVE-2012-2552 を参照してください。

「折り返し型 XSS の脆弱性」の問題を緩和する要素 - CVE-2012-2552

「折り返し型 XSS の脆弱性」の回避策 - CVE-2012-2552

回避策は、根本的な脆弱性を正すものではありませんが、更新プログラムを適用するまでの間、既知の攻撃方法の阻止に役立つ設定または構成の変更を示します。マイクロソフトは次の回避策をテストし、回避策が機能性を低下させるかどうかの情報を提供しています。

Internet Explorer 8、Internet Explorer 9、おおび Internet Explorer 10 の XSS フィルターをイントラネットゾーンで有効にする
ローカルイントラネットセキュリティゾーンで XSS フィルターを有効にするよう設定を変更することにより、この脆弱性が悪用されないよう保護できます。(XSS フィルターは、インターネットセキュリティゾーンでは既定で有効になっています。) これを行うためには、次のステップを実行します。
1. Internet Explorer 8、Internet Explorer 9、または Internet Explorer 10 の [ツール] メニューの[インターネットオプション]をクリックします。
2. [セキュリティ] タブをクリックします。
3. [ローカルイントラネット] をクリックし、[レベルのカスタマイズ] をクリックします。
4. [設定] の [スクリプト] セクションの [XSS フィルターを有効にする] で [有効にする] をクリックします。次に [OK] をクリックします。
5. [OK] を 2 回クリックし、Internet Explorer に戻ります。
回避策の影響:以前はフラグがなかった社内サイトに、XSS の危険性に関するフラグを付けることができます。
回避策の解除方法:
本回避策を解除するには、以下のステップを行ってください。
1. Internet Explorer 8、Internet Explorer 9、または Internet Explorer 10 の [ツール] メニューの[インターネットオプション]をクリックします。
2. [セキュリティ] タブをクリックします。
3. [ローカルイントラネット] をクリックし、[レベルのカスタマイズ] をクリックします。
4. [設定] の [スクリプト] セクションの [XSS フィルターを有効にする] で [無効にする] をクリックします。次に [OK] をクリックします。
5. [OK] を 2 回クリックし、Internet Explorer に戻ります。

「折り返し型 XSS の脆弱性」のよく寄せられる質問 - CVE-2012-2552

この脆弱性により、どのようなことが起こる可能性がありますか?
これは折り返し型 XSS の脆弱性で、特権が昇格される可能性があります。

何が原因で起こりますか?
この脆弱性は、SQL Server Report Manager が Report Manager SQL Server サイトで要求のパラメーターを正しく検証しないことが原因で起こります。

クロスサイトスクリプティング (XSS) とは何ですか?
クロスサイトスクリプティング (XSS) とは攻撃者により Web ページのリクエストへの応答にスクリプトが挿入されるセキュリティの脆弱性の種類です。このスクリプトは要求元のアプリケーション (多くの場合 Web ブラウザー) によって実行されます。スクリプトは影響を受ける Web サイトでコンテンツのなりすまし、情報の漏えい、または標的となるユーザーに代わって任意の操作を行う可能性があります。

この脆弱性により、攻撃者は何を行う可能性がありますか?
攻撃者によってこの脆弱性が悪用された場合、ユーザーの Internet Explorer インスタンスにクライアント側スクリプトが挿入される可能性があります。スクリプトはサイトでコンテンツのなりすまし、情報の漏えい、または標的となるユーザーに代わって任意の操作を行う可能性があります。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
攻撃者は、特別に細工されたリンクをユーザーに送信し、ユーザーにそれをクリックさせることで、この脆弱性を悪用する可能性があります。攻撃者はこの脆弱性の悪用を意図した Web ページを含む Web サイトをホストする可能性があります。さらに、影響を受けた Web サイトおよびユーザー提供のコンテンツまたは広告を受け入れる、またはホストする Web サイトには、この脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれる可能性があります。

主にどのコンピューターがこの脆弱性による危険にさらされますか?
影響を受けるエディションの Microsoft SQL Server を実行しているサーバーが主にこの脆弱性による危険にさらされます。SQL Server Reporting Services がインストールされていない SQL Server システムは、この脆弱性による影響は受けません。このため、この更新プログラムは提供されません。

この更新プログラムはどのように問題を修正しますか?
この更新プログラムは、SQL Server Report Manager が入力パラメーターをエンコードする方法を変更することにより、この脆弱性を解決します。

このセキュリティ情報の公開時に、この脆弱性は一般に知られていましたか?
いいえ。マイクロソフトは協調的な脆弱性の公開を通して、この脆弱性に関する情報を受けました。

このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?
いいえ。マイクロソフトは、このセキュリティ情報が最初に公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。

更新プログラムに関する情報

検出および展開ツールとガイダンス

セキュリティセントラル

組織のサーバー、デスクトップ、モバイルコンピューターに適用する必要があるソフトウェアおよびセキュリティ更新プログラムを管理してください。詳細については、TechNet 更新プログラム管理センターを参照してください。Microsoft TechNet セキュリティセンターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

セキュリティ更新プログラムは、Microsoft Update および Windows Update から入手できます。セキュリティ更新プログラムは、Microsoft ダウンロードセンターからもダウンロードできます。「セキュリティ更新プログラム」のキーワード探索で容易に見つけられます。

さらに、セキュリティ更新プログラムは、Microsoft Update カタログからダウンロードできます。Microsoft Update カタログは、セキュリティ更新プログラム、ドライバーおよび Service Pack などが含まれるコンテンツを検索するカタログで、Windows Update および Microsoft Update でご利用になれます。セキュリティ情報番号 (たとえば「MS12-001」など) を使用して検索することで、バスケットに適用可能な更新プログラムをすべて追加でき (異なる言語の更新プログラムを含む)、選択しているフォルダーにダウンロードできます。「Microsoft Update カタログ」の詳細については、Microsoft Update Catalog FAQ (英語情報) を参照してください。

検出および展開のガイダンス

マイクロソフトは、セキュリティ更新プログラムの検出および展開に関して、ガイダンスを提供しています。このガイダンスには、IT プロフェッショナルがセキュリティ更新プログラムの検出および展開のための多様なツールの使用方法を理解するのに役立つ推奨策および情報が含まれています。詳細については、サポート技術情報 961747 を参照してください。

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) を使用して、管理者はローカルおよびリモートで、一般的な誤ったセキュリティ構成と不足しているセキュリティ更新プログラムをスキャンできます。詳細については、Microsoft Baseline Security Analyzer を参照してください。

次の表にこのセキュリティ更新プログラムについての MBSA の検出の概要を記載します。

ソフトウェア	MBSA
Microsoft SQL Server 2000 Reporting Services Service Pack 2	可
Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 4	可
Microsoft SQL Server 2005 for 32-bit Systems Service Pack 4	可
Microsoft SQL Server 2005 for x64-based Systems Service Pack 4	可
Microsoft SQL Server 2005 for Itanium-Based Systems Service Pack 4	可
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 2	可
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 3	可
Microsoft SQL Server 2008 for x64-based Systems Service Pack 2	可
Microsoft SQL Server 2008 for x64-based Systems Service Pack 3	可
Microsoft SQL Server 2008 for Itanium-Based Systems Service Pack 2	可
Microsoft SQL Server 2008 for Itanium-Based Systems Service Pack 3	可
Microsoft SQL Server 2008 R2 for 32-bit Systems Service Pack 1	可
Microsoft SQL Server 2008 R2 for x64-based Systems Service Pack 1	可
Microsoft SQL Server 2008 R2 for Itanium-Based Systems Service Pack 1	可
Microsoft SQL Server 2012 for 32-bit Systems	可
Microsoft SQL Server 2012 for x64-based Systems	可

注: MBSA、Microsoft Update および Windows Server Update Services でサポートされていないレガシ製品をご使用のお客様は、Microsoft Baseline Security Analyzer (MBSA) をご覧のうえ、レガシ製品のサポートセクションのレガシツールで包括的にセキュリティ更新プログラムを検出する方法を参照してください。

Windows Server Update Services

Microsoft Windows Server Update Services (WSUS) により、情報技術の管理者は最新のマイクロソフト製品の更新プログラムを Windows オペレーティングシステムを実行しているコンピューターに適用できます。Windows Server Update Services を使用して、セキュリティ更新プログラムを展開する方法の詳細については、TechNet の記事 Windows Server Update Services (WSUS) を参照してください。

Systems Management Server

次の表は、このセキュリティ更新プログラムに関する SMS の検出および展開についての概要です。

ソフトウェア	SMS 2003 with ITMU	System Center Configuration Manager
Microsoft SQL Server 2000 Reporting Services Service Pack 2	可	可
Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 4	可	可
Microsoft SQL Server 2005 for 32-bit Systems Service Pack 4	可	可
Microsoft SQL Server 2005 for x64-based Systems Service Pack 4	可	可
Microsoft SQL Server 2005 for Itanium-Based Systems Service Pack 4	可	可
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 2	可	可
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 3	可	可
Microsoft SQL Server 2008 for x64-based Systems Service Pack 2	可	可
Microsoft SQL Server 2008 for x64-based Systems Service Pack 3	可	可
Microsoft SQL Server 2008 for Itanium-Based Systems Service Pack 2	可	可
Microsoft SQL Server 2008 for Itanium-Based Systems Service Pack 3	可	可
Microsoft SQL Server 2008 R2 for 32-bit Systems Service Pack 1	可	可
Microsoft SQL Server 2008 R2 for x64-based Systems Service Pack 1	可	可
Microsoft SQL Server 2008 R2 for Itanium-Based Systems Service Pack 1	可	可
Microsoft SQL Server 2012 for 32-bit Systems	可	可
Microsoft SQL Server 2012 for x64-based Systems	可	可

注: マイクロソフトは 2011 年 4 月 12 日付で SMS 2.0 のサポートを終了しました。また SMS 2003 についても、マイクロソフトは 2011 年 4 月 12 日付で Security Update Inventory Tool (SUIT) のサポートを終了しました。マイクロソフトはお客様に System Center Configuration Manager にアップグレードすることを推奨します。また、SMS 2003 Service Pack 3 を引き続きご使用のお客様は、Microsoft 更新プログラム用 SMS 2003 インベントリツール (ITMU) の使用もご検討ください。

SMS 2003 では、SMS 2003 Inventory Tool for Microsoft Updates (ITMU) を SMS で使用すると、Microsoft Update によって提供され Windows Server Update Service によってサポートされるセキュリティ更新プログラムを検出できます。SMS 2003 ITMU の詳細については、Microsoft 更新プログラム用 SMS 2003 インベントリツールを参照してください。SMS のスキャンニングツールの詳細については、SMS 2003 Software Update Scanning Tools を参照してください。Systems Management Server 2003 ダウンロードも参照してください。

System Center Configuration Manager は WSUS 3.0 を使用して更新プログラムを検出します。詳細については、System Center を参照してください。

詳細については、サポート技術情報 910723 「毎月リリースされる検出と展開の手引きの一覧」を参照してください。

Update Compatibility Evaluator および Application Compatibility Toolkit

更新プログラムはアプリケーションを実行させるために、たびたび同じファイルやレジストリ構成に書き込みをすることがあります。これにより、非互換性が起こったり、セキュリティ更新プログラムの適用時間が長くなったりする可能性があります。Application Compatibility Toolkit (英語情報) に含まれている Update Compatibility Evaluator (英語情報) コンポーネントでインストールされているアプリケーションに対し、Windows の更新プログラムのテストおよび確認を効率化することができます。

Application Compatibility Toolkit (ACT) には、お客様の環境に Windows Vista、Windows Update、Microsoft Security Update または Windows Internet Explorer の新しいバージョンを適用する前に、アプリケーションの互換性問題を評価し、緩和するために必要なツールやドキュメントが含まれています。


この修正を含む予定のサービスパック	今後のサービスパックのリリース予定はありません。
適用
ユーザーの操作なしでインストールする	SQL Server 2000 Reporting Services Service Pack 2 SQL2000.RS-KB983814-v8.00.1077.00-jpn.exe /quiet
再起動しないでインストールする	SQL Server 2000 Reporting Services Service Pack 2 SQL2000.RS-KB983814-v8.00.1077.00-jpn.exe /norestart
単一インスタンスをインストールする	SQL Server 2000 Reporting Services Service Pack 2 SQL2000.RS-KB983814-v8.00.1077.00-jpn.exe /quiet /InstanceName={instance}
ログファイル	SQL2000.RS-KB983814-v8.00.1077.00-<言語>.log
詳細情報	サブセクション「検出および展開ツールとガイダンス」を参照してください。
再起動の必要性
再起動の必要性:	SQL Server 2000 Reporting Services Service Pack 2 関連するすべてのサービスを再起動するため、この更新プログラムのインストール後、再起動することを推奨します。追加情報は、このセキュリティ情報の「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」の欄の、「更新プログラムを再起動する必要があるかどうかは、どのように確認できますか?」をご覧ください。再起動が必要な場合、インストーラーは、メッセージを表示または終了コード 3010 を返します。
ホットパッチ	対象外
削除に関する情報	[コントロールパネル] の [プログラムの追加と削除] を使用します。
ファイルに関する情報:	サポート技術情報 983814 を参照してください。

スイッチ	説明
/help	インストールメッセージの一覧を表示します。
セットアップモード
/passive	無人モード (進行状況バーのみ) です。ユーザーの操作は必要ありませんが、インストールの状態は表示されます。もし、セットアップの終わりで再起動が必要な場合は、コンピューターが 30 秒で再起動するという、タイマーの警告とともにダイアログボックスが表示されます。
/quiet	QUIET モード (ユーザー入力を必要としません。表示もしません。) バックグラウンドモードと同じです。しかし、ステータスまたは、エラーメッセージは表示されません。
再起動オプション
/norestart	インストールの完了後、再起動しません
/forcerestart	インストール後、コンピューターを再起動し、シャットダウン時に開いているファイルを保存せずに強制的にその他のアプリケーションを閉じます。
/warnrestart[:<秒数>]	必要な場合に自動的に警告を表示し再起動します (既定のタイムアウト時間は x 秒)。(既定のタイムアウト時間は 30 秒)。/quiet または /passive スイッチと共に使用します。
/promptrestart	再起動が必要なときに確認メッセージを表示します。
特別なオプション
/overwriteoem	確認メッセージを表示せずに OEM ファイルを上書きします。
/nobackup	アンインストールに必要なファイルのバックアップを作成しません。
/forceappsclose	シャットダウン時に他のプログラムを強制終了します。
/log:<完全なパス>	ログファイルを <完全なパス> に作成します。
/integrate:<完全なパス>	このソフトウェア更新を <完全なパス> に統合します。これらのファイルはスイッチの指定されたパスにあります。


この修正を含む予定のサービスパック	今後のサービスパックのリリース予定はありません。
適用
ユーザーの操作なしでインストールする	SQL Server 2005 Express Edition with Advanced Services Service Pack 4 の GDR 用の更新プログラム: SQLServer2005-KB2716429-x86-ENU.exe /quiet /allinstances
	SQL Server 2005 for 32-bit Systems Service Pack 4 の GDR 用の更新プログラム: SQLServer2005-KB2716429-x86-ENU.exe /quiet /allinstances
	SQL Server 2005 for x64-based Systems Service Pack 4 の GDR 用の更新プログラム: SQLServer2005-KB2716429-x64-ENU.exe /quiet /allinstances
	SQL Server 2005 for Itanium-based Systems Service Pack 4 の GDR 用の更新プログラム: SQLServer2005-KB2716429-IA64-ENU.exe /quiet /allinstances
	SQL Server 2005 Express Edition with Advanced Services Service Pack 4 の QFE 用の更新プログラム: SQLServer2005-KB2716427-x86-ENU.exe /quiet /allinstances
	SQL Server 2005 for 32-bit Systems Service Pack 4 の QFE 用の更新プログラム: SQLServer2005-KB2716427-x86-ENU.exe /quiet /allinstances
	SQL Server 2005 for x64-based Systems Service Pack 4 の QFE 用の更新プログラム: SQLServer2005-KB2716427-x64-ENU.exe /quiet /allinstances
	SQL Server 2005 for Itanium-based Systems Service Pack 4 の QFE 用の更新プログラム: SQLServer2005-KB2716427-IA64-ENU.exe /quiet /allinstances
単一インスタンスをインストールする	SQL Server 2005 Express Edition with Advanced Services Service Pack 4 の GDR 用の更新プログラム: SQLServer2005-KB2716429-x86-ENU.exe /quiet /InstanceName={instance}
	SQL Server 2005 for 32-bit Systems Service Pack 4 の GDR 用の更新プログラム: SQLServer2005-KB2716429-x86-ENU.exe /quiet /InstanceName={instance}
	SQL Server 2005 for x64-based Systems Service Pack 4 の GDR 用の更新プログラム: SQLServer2005-KB2716429-x64-ENU.exe /quiet /InstanceName={instance}
	SQL Server 2005 for Itanium-based Systems Service Pack 4 の GDR 用の更新プログラム: SQLServer2005-KB2716429-IA64-ENU.exe /quiet /InstanceName={instance}
	SQL Server 2005 Express Edition with Advanced Services Service Pack 4 の QFE 用の更新プログラム: SQLServer2005-KB2716427-x86-ENU.exe /quiet /InstanceName={instance}
	SQL Server 2005 for 32-bit Systems Service Pack 4 の QFE 用の更新プログラム: SQLServer2005-KB2716427-x86-ENU.exe /quiet /InstanceName={instance}
	SQL Server 2005 for x64-based Systems Service Pack 4 の QFE 用の更新プログラム: SQLServer2005-KB2716427-x64-ENU.exe /quiet /InstanceName={instance}
	SQL Server 2005 for Itanium-based Systems Service Pack 4 の QFE 用の更新プログラム: SQLServer2005-KB2716427-IA64-ENU.exe /quiet /quiet /InstanceName={instance}
ログファイル	%programfiles%\Microsoft SQL Server\90\Setup Bootstrap\LOG\Hotfix\Summary.log
特記事項	この更新プログラムはクラスター化された SQL Server 2005 にも提供されます。SQL Server 2005 クラスター用の更新プログラムはユーザー操作が必要です。 SQL Server 2005 クラスターにパッシブノードが含まれている場合は、先にアクティブノードの更新プログラムをスキャンまたは適用してから、パッシブノードのスキャンと適用を実行することをお勧めします。すべてのコンポーネントがパッシブノードで更新されると、この更新プログラムは提供されなくなります。
詳細情報	サブセクション「検出および展開ツールとガイダンス」を参照してください。
再起動の必要性
再起動の必要性:	再起動が必要な場合、インストーラーは、メッセージを表示または終了コード 3010 を返します。
ホットパッチ	このセキュリティ更新プログラムはホットパッチをサポートしません。ホットパッチの詳細については、マイクロソフトサポート技術情報 897341 を参照してください。
削除に関する情報	SQL Server 2005 for x64-based Systems Service Pack 4 以外のすべてのサポートされているエディションの SQL Server 2005: [コントロールパネル]の [プログラムの追加と削除] を使用します。注 SQL Server 2005 for x64-based Systems Service Pack 4 にはアンインストールの問題があります。詳細については、サポート技術情報 2754849 を参照してください。
ファイルに関する情報:	SQL Server 2005 Service Pack 4 の GDR 用の更新プログラム: サポート技術情報 2716429 を参照してください。
	SQL Server 2005 Service Pack 4 の QFE 用の更新プログラム: サポート技術情報 2716427 を参照してください。

スイッチ	説明
/?	Help のダイアログを表示します。
/quiet	QUIET モードでセットアップを実行します。
/reportonly	このパッケージが更新可能な機能を表示します。
/allinstances	すべての SQL Server のインスタンスと共有のコンポーネントを更新します。
/instancename	特定の SQL Server のインスタンスとすべての共有のコンポーネントを更新します。
/sapwd	スクリプトを実行するための SQL Server の sa アカウント用のパスワード
/user	リモートのクラスターノードへ接続するためのユーザーアカウント
/password	リモートのクラスターノードへ接続するためのユーザーアカウント用のパスワード
/rsupgradedatabaseaccount	報告サービスの更新用のユーザーアカウント
/rsupgradepassword	報告サービスの更新のためのユーザーアカウント用のパスワード
/rsupgradedatabase	パラメーターが 0 である場合、報告サービスのデータベースがアップグレードするのを阻止します。
/allinstances	更新プログラムをすべてのインスタンスに適用します。
/InstanceName={instance}	更新プログラムを指定したインスタンスに適用します。


この修正を含む予定のサービスパック	SQL Server 2008 Service Pack 4
適用
ユーザーの操作なしでインストールする	SQL Server 2008 for 32-bit Systems Service Pack 2 の GDR 用の更新プログラム: SQLServer2008-KB2716434-x86.exe /quiet /allinstances
	SQL Server 2008 for x64-based Systems Service Pack 2 の GDR 用の更新プログラム: SQLServer2008-KB2716434-x64.exe /quiet /allinstances
	SQL Server 2008 for Itanium-based Systems Service Pack 2 の GDR 用の更新プログラム: SQLServer2008-KB2716434-IA64.exe /quiet /allinstances
	SQL Server 2008 for 32-bit Systems Service Pack 2 の QFE 用の更新プログラム: SQLServer2008-KB2716433-x86.exe /quiet /allinstances
	SQL Server 2008 for x64-based Systems Service Pack 2 の QFE 用の更新プログラム: SQLServer2008-KB2716433-x64.exe /quiet /allinstances
	SQL Server 2008 for Itanium-based Systems Service Pack 2 の QFE 用の更新プログラム: SQLServer2008-KB2716433-IA64.exe /quiet /allinstances
	SQL Server 2008 for 32-bit Systems Service Pack 3 の GDR 用の更新プログラム: SQLServer2008-KB2716436-x86.exe /quiet /allinstances
	SQL Server 2008 for x64-based Systems Service Pack 3 の GDR 用の更新プログラム: SQLServer2008-KB2716436-x64.exe /quiet /allinstances
	SQL Server 2008 for Itanium-based Systems Service Pack 3 の GDR 用の更新プログラム: SQLServer2008-KB2716436-IA64.exe /quiet /allinstances
	SQL Server 2008 for 32-bit Systems Service Pack 3 の QFE 用の更新プログラム: SQLServer2008-KB2716435-x86.exe /quiet /allinstances
	SQL Server 2008 for x64-based Systems Service Pack 3 の QFE 用の更新プログラム: SQLServer2008-KB2716435-x64.exe /quiet /allinstances
	SQL Server 2008 for Itanium-based Systems Service Pack 3 の QFE 用の更新プログラム: SQLServer2008-KB2716435-IA64.exe /quiet /allinstances
単一インスタンスをインストールする	SQL Server 2008 for 32-bit Systems Service Pack 2 の GDR 用の更新プログラム: SQLServer2008-KB2716434-x86.exe /quiet /InstanceName={instance}
	SQL Server 2008 for x64-based Systems Service Pack 2 の GDR 用の更新プログラム: SQLServer2008-KB2716434-x64.exe /quiet /InstanceName={instance}
	SQL Server 2008 for Itanium-based Systems Service Pack 2 の GDR 用の更新プログラム: SQLServer2008-KB2716434-IA64.exe /quiet /InstanceName={instance}
	SQL Server 2008 for 32-bit Systems Service Pack 2 の QFE 用の更新プログラム: SQLServer2008-KB2716433-x86.exe /quiet /InstanceName={instance}
	SQL Server 2008 for x64-based Systems Service Pack 2 の QFE 用の更新プログラム: SQLServer2008-KB2716433-x64.exe /quiet /InstanceName={instance}
	SQL Server 2008 for Itanium-based Systems Service Pack 2 の QFE 用の更新プログラム: SQLServer2008-KB2716433-IA64.exe /quiet /InstanceName={instance}
	SQL Server 2008 for 32-bit Systems Service Pack 3 の GDR 用の更新プログラム: SQLServer2008-KB2716436-x86.exe /quiet /InstanceName={instance}
	SQL Server 2008 for x64-based Systems Service Pack 3 の GDR 用の更新プログラム: SQLServer2008-KB2716436-x64.exe /quiet /InstanceName={instance}
	SQL Server 2008 for Itanium-based Systems Service Pack 3 の GDR 用の更新プログラム: SQLServer2008-KB2716436-IA64.exe /quiet /InstanceName={instance}
	SQL Server 2008 Service Pack 3 の QFE 用の更新プログラム: SQLServer2008-KB2716435-x86.exe /quiet /InstanceName={instance}
	SQL Server 2008 for x64-based Systems Service Pack 3 の QFE 用の更新プログラム: SQLServer2008-KB2716435-x64.exe /quiet /InstanceName={instance}
	SQL Server 2008 for Itanium-based Systems Service Pack 3 の QFE 用の更新プログラム: SQLServer2008-KB2716435-IA64.exe /quiet /InstanceName={instance}
ログファイル	%programfiles%\Microsoft SQL Server\90\Setup Bootstrap\LOG\Hotfix\Summary.log
特記事項	この更新プログラムはクラスター化された SQL Server 2008 にも提供されます。 SQL Server 2008 クラスターにパッシブノードが含まれている場合は、先にアクティブノードの更新プログラムをスキャンまたは適用してから、パッシブノードのスキャンと適用を実行することをお勧めします。すべてのコンポーネントがパッシブノードで更新されると、この更新プログラムは提供されなくなります。
詳細情報	サブセクション「検出および展開ツールとガイダンス」を参照してください。
再起動の必要性
再起動の必要性:	再起動が必要な場合、インストーラーは、メッセージを表示または終了コード 3010 を返します。
ホットパッチ	このセキュリティ更新プログラムはホットパッチをサポートしません。ホットパッチの詳細については、マイクロソフトサポート技術情報 897341 を参照してください。
削除に関する情報	すべてのサポートされているエディションの SQL Server 2008: [コントロールパネル]の [プログラムの追加と削除] を使用します。
ファイルに関する情報:	SQL Server 2008 Service Pack 2 の GDR 用の更新プログラム: サポート技術情報 2716434 を参照してください。
	SQL Server 2008 Service Pack 2 の QFE 用の更新プログラム: サポート技術情報 2716433 を参照してください。
	SQL Server 2008 Service Pack 3 の GDR 用の更新プログラム: サポート技術情報 2716436 を参照してください。
	SQL Server 2008 Service Pack 3 の QFE 用の更新プログラム: サポート技術情報 2494094 を参照してください。

マイクロソフトセキュリティ情報 MS12-070 - 重要

SQL Server の脆弱性により、特権が昇格される (2754849)

概説

概要

影響を受けるソフトウェアおよび影響を受けないソフトウェア

このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)

脆弱性の情報

深刻度および脆弱性識別番号

折り返し型 XSS の脆弱性 - CVE-2012-2552

「折り返し型 XSS の脆弱性」の問題を緩和する要素 - CVE-2012-2552

「折り返し型 XSS の脆弱性」の回避策 - CVE-2012-2552

「折り返し型 XSS の脆弱性」のよく寄せられる質問 - CVE-2012-2552

更新プログラムに関する情報

検出および展開ツールとガイダンス

セキュリティ更新プログラムの展開

SQL Server 2000 Reporting Services

展開に関する情報

SQL Server 2005 (すべてのエディション)

展開に関する情報

SQL Server 2008 (すべてのエディション)

展開に関する情報

SQL Server 2008 R2

展開に関する情報

SQL Server 2012

展開に関する情報

関連情報

Microsoft Active Protections Program (MAPP)

サポート

免責

更新履歴


この修正を含む予定のサービスパック	SQL Server 2008 R2 Service Pack 2
適用
ユーザーの操作なしでインストールする	SQL Server 2008 R2 for 32-bit Systems Service Pack 1 の GDR 用の更新プログラム: SQLServer2008R2-KB2716440-x86.exe /quiet /allinstances
	SQL Server 2008 R2 for x64-based Systems Service Pack 1 の GDR 用の更新プログラム: SQLServer2008R2-KB2716440-x64.exe /quiet /allinstances
	SQL Server 2008 R2 for Itanium-based Systems Service Pack 1 の GDR 用の更新プログラム: SQLServer2008R2-KB2716440-IA64.exe /quiet /allinstances
	SQL Server 2008 R2 for 32-bit Systems Service Pack 1 の QFE 用の更新プログラム: SQLServer2008R2-KB2716439-x86.exe /quiet /allinstances
	SQL Server 2008 R2 for x64-based Systems Service Pack 1 の QFE 用の更新プログラム: SQLServer2008R2-KB2716439-x64.exe /quiet /allinstances
	SQL Server 2008 R2 for Itanium-based Systems Service Pack 1 の QFE 用の更新プログラム: SQLServer2008R2-KB2716439-IA64.exe /quiet /allinstances
単一インスタンスをインストールする	SQL Server 2008 R2 for 32-bit Systems Service Pack 1 の GDR 用の更新プログラム: SQLServer2008R2-KB2716440-x86.exe /quiet /InstanceName={instance}
	SQL Server 2008 R2 for x64-based Systems Service Pack 1 の GDR 用の更新プログラム: SQLServer2008R2-KB2716440-x64.exe /quiet /InstanceName={instance}
	SQL Server 2008 R2 for Itanium-based Systems Service Pack 1 の GDR 用の更新プログラム: SQLServer2008R2-KB2716440-IA64.exe /quiet /InstanceName={instance}
	SQL Server 2008 R2 for 32-bit Systems Service Pack 1 の QFE 用の更新プログラム: SQLServer2008R2-KB2716439-x86.exe /quiet /InstanceName={instance}
	SQL Server 2008 R2 for x64-based Systems Service Pack 1 の QFE 用の更新プログラム: SQLServer2008R2-KB2716439-x64.exe /quiet /InstanceName={instance}
	SQL Server 2008 R2 for Itanium-based Systems Service Pack 1 の QFE 用の更新プログラム: SQLServer2008R2-KB2716439-IA64.exe /quiet /InstanceName={instance}
ログファイル	%programfiles%\Microsoft SQL Server\90\Setup Bootstrap\LOG\Hotfix\Summary.log
特記事項	この更新プログラムはクラスター化された SQL Server 2008 R2 にも提供されます。 SQL Server 2008 R2 クラスターにパッシブノードが含まれている場合は、先にアクティブノードの更新プログラムをスキャンまたは適用してから、パッシブノードのスキャンと適用を実行することをお勧めします。すべてのコンポーネントがパッシブノードで更新されると、この更新プログラムは提供されなくなります。
詳細情報	サブセクション「検出および展開ツールとガイダンス」を参照してください。
再起動の必要性
再起動の必要性:	再起動が必要な場合、インストーラーは、メッセージを表示または終了コード 3010 を返します。
ホットパッチ	このセキュリティ更新プログラムはホットパッチをサポートしません。ホットパッチの詳細については、マイクロソフトサポート技術情報 897341 を参照してください。
削除に関する情報	すべてのサポートされているエディションの SQL Server 2008 R2: [コントロールパネル]の [プログラムの追加と削除] を使用します。
ファイルに関する情報:	SQL Server 2008 R2 Service Pack 1 の GDR 用の更新プログラム: サポート技術情報 2716440 を参照してください。
	SQL Server 2008 R2 Service Pack 1 の QFE 用の更新プログラム: サポート技術情報 2716439 を参照してください。


この修正を含む予定のサービスパック	SQL Server 2012 Service Pack 1
適用
ユーザーの操作なしでインストールする	SQL Server 2012 for 32-bit Systems の GDR 用の更新プログラム: SQLServer2012-KB2716442-x86.exe /quiet /allinstances
	SQL Server 2012 for x64-based Systems の GDR 用の更新プログラム: SQLServer2012-KB2716442-x64.exe /quiet /allinstances
	SQL Server 2012 for 32-bit Systems の QFE 用の更新プログラム: SQLServer2012-KB2716441-x86.exe /quiet /allinstances
	SQL Server 2012 for x64-based Systems の QFE 用の更新プログラム: SQLServer2012-KB2716441-x64.exe /quiet /allinstances
単一インスタンスをインストールする	SQL Server 2012 for 32-bit Systems の GDR 用の更新プログラム: SQLServer2012-KB2716442-x86.exe /quiet /InstanceName={instance}
	SQL Server 2012 for x64-based Systems の GDR 用の更新プログラム: SQLServer2012-KB2716442-x64.exe /quiet /InstanceName={instance}
	SQL Server 2012 for 32-bit Systems の QFE 用の更新プログラム: SQLServer2012-KB2716441-x86.exe /quiet /InstanceName={instance}
	SQL Server 2012 for x64-based Systems の QFE 用の更新プログラム: SQLServer2012-KB2716441-x64.exe /quiet /InstanceName={instance}
ログファイル	%programfiles%\Microsoft SQL Server\90\Setup Bootstrap\LOG\Hotfix\Summary.log
特記事項	この更新プログラムはクラスター化された SQL Server 2012 にも提供されます。 SQL Server 2012 クラスターにパッシブノードが含まれている場合、まずアクティブノードの更新プログラムをスキャンまたは適用した後、パッシブノードのスキャンと適用を実行することを推奨します。すべてのコンポーネントがパッシブノードで更新されると、この更新プログラムは提供されなくなります。
詳細情報	サブセクション「検出および展開ツールとガイダンス」を参照してください。
再起動の必要性
再起動の必要性:	再起動が必要な場合、インストーラーは、メッセージを表示または終了コード 3010 を返します。
ホットパッチ	このセキュリティ更新プログラムはホットパッチをサポートしません。ホットパッチの詳細については、マイクロソフトサポート技術情報 897341 を参照してください。
削除に関する情報	すべてのサポートされているエディションの SQL Server 2008 R2: [コントロールパネル]の [プログラムの追加と削除] を使用します。
ファイルに関する情報:	SQL Server 2012 の GDR 用の更新プログラム: サポート技術情報 2716442 を参照してください。
	SQL Server 2012 の QFE 用の更新プログラム: サポート技術情報 2716441 を参照してください。

マイクロソフト セキュリティ情報 MS12-070 - 重要

SQL Server の脆弱性により、特権が昇格される (2754849)

マイクロソフトセキュリティ情報 MS12-070 - 重要