Launch Printer Friendly Page Security TechCenter > セキュリティ情報 > マイクロソフト セキュリティ情報 MS12-070

マイクロソフト セキュリティ情報 MS12-070 - 重要

SQL Server の脆弱性により、特権が昇格される (2754849)

公開日:

バージョン: 1.0

概説

概要

このセキュリティ更新プログラムは非公開で報告された SQL Server Reporting Services (SSRS) を実行しているシステム上の Microsoft SQL Server の脆弱性を解決します。この脆弱性は、クロスサイト スクリプティング (XSS) の脆弱性で、特権が昇格され、標的となるユーザーのコンテキストで、攻撃者が SSRS サイト上で任意のコマンドを実行することが可能になります。攻撃者は、特別に細工されたリンクをユーザーに送信し、ユーザーにそれをクリックさせることで、この脆弱性を悪用する可能性があります。攻撃者はこの脆弱性の悪用を意図した Web ページを含む Web サイトをホストする可能性があります。さらに、影響を受けた Web サイトおよびユーザー提供のコンテンツまたは広告を受け入れる、またはホストする Web サイトには、この脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれる可能性があります。

このセキュリティ更新プログラムは、Microsoft SQL Server 2000 Reporting Services Service Pack 2、および Microsoft SQL Server 2005 Service Pack 4、Microsoft SQL Server 2008 Service Pack 2、Microsoft SQL Server 2008 Service Pack 3、Microsoft SQL Server 2008 R2 Service Pack 1、Microsoft SQL Server 2012 上で SQL Server Reporting Services (SSRS) を実行しているシステムについて深刻度を「重要」に評価しています。詳細については、このセクションのサブセクション「影響を受けるソフトウェアと影響を受けないソフトウェア」を参照してください。

このセキュリティ更新プログラムは、SQL Server Report Manager が入力パラメーターを検証する方法を変更することにより、この脆弱性を解決します。この脆弱性に関する詳細については、次の「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」を参照してください。

推奨する対応策: マイクロソフトはお客様が、できるだけ早い機会にこの更新プログラムを適用することを推奨します。

既知の問題: マイクロソフト サポート技術情報 2754849 で、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明しています。また、これらの問題に対する推奨される解決策についても説明しています。

影響を受けるソフトウェアおよび影響を受けないソフトウェア

ここに記載されているソフトウェアをテストし、影響を受けるバージョンまたはエディションを確認しました。その他のバージョンまたはエディションはサポート ライフサイクルが終了したか、または影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、マイクロソフト サポート ライフサイクルの Web サイトを参照してください。

Microsoft SQL Server

ソフトウェアのバージョンまたはエディションにより、マイクロソフト ダウンロード センターから手動で更新プログラムをインストールする場合、下の GDR または QFE のソフトウェアのいずれかの更新プログラムのダウンロード先の選択が必要な場合があります。コンピューターにどちらの更新プログラムをインストールするかの確認については、このセクションの「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」をご覧ください。

GDR のソフトウェアの更新プログラムQFE のソフトウェアの更新プログラム最も深刻な脆弱性の影響総合的な深刻度置き換えられる更新プログラム
SQL Server 2000
対象外Microsoft SQL Server 2000 Reporting Services Service Pack 2
(KB983814)
特権の昇格重要MS09-062 の KB970899 は KB983814 に置き換えられます。
SQL Server 2005
Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 4[1]
(KB2716429)
Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 4[1]
(KB2716427)
特権の昇格重要MS11-049 の KB2494120 と KB2546869 は KB2716429 に置き換えられます。

MS11-049 の KB2494123 は KB2716427 に置き換えられます。
Microsoft SQL Server 2005 for 32-bit Systems Service Pack 4[1]
(KB2716429)
Microsoft SQL Server 2005 for 32-bit Systems Service Pack 4[1]
(KB2716427)
特権の昇格重要MS11-049 の KB2494120 と KB2546869 は KB2716429 に置き換えられます。

MS11-049 の KB2494123 は KB2716427 に置き換えられます。
Microsoft SQL Server 2005 for x64-based Systems Service Pack 4[1]
(KB2716429)
Microsoft SQL Server 2005 for x64-based Systems Service Pack 4[1]
(KB2716427)
特権の昇格重要MS11-049 の KB2494120 と KB2546869 は KB2716429 に置き換えられます。

MS11-049 の KB2494123 は KB2716427 に置き換えられます。
Microsoft SQL Server 2005 for Itanium-based Systems Service Pack 4[1]
(KB2716429)
Microsoft SQL Server 2005 for Itanium-based Systems Service Pack 4[1]
(KB2716427)
特権の昇格重要MS11-049 の KB2494120 と KB2546869 は KB2716429 に置き換えられます。

MS11-049 の KB2494123 は KB2716427 に置き換えられます。
SQL Server 2008
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 2[1]
(KB2716434)
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 2[1]
(KB2716433)
特権の昇格重要MS11-049 の KB2494089 は KB2716434 に置き換えられます。

MS11-049 の KB2494094 は KB2716433 に置き換えられます。
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 3[1]
(KB2716436)
Microsoft SQL Server 2008 for 32-bit Systems Service Pack 3[1]
(KB2716435)
特権の昇格重要なし
Microsoft SQL Server 2008 for x64-based Systems Service Pack 2[1]
(KB2716434)
Microsoft SQL Server 2008 for x64-based Systems Service Pack 2[1]
(KB2716433)
特権の昇格重要MS11-049 の KB2494089 は KB2716434 に置き換えられます。

MS11-049 の KB2494094 は KB2716433 に置き換えられます。
Microsoft SQL Server 2008 for x64-based Systems Service Pack 3[1]
(KB2716436)
Microsoft SQL Server 2008 for x64-based Systems Service Pack 3[1]
(KB2716435)
特権の昇格重要なし
Microsoft SQL Server 2008 for Itanium-based Systems Service Pack 2[1]
(KB2716434)
Microsoft SQL Server 2008 for Itanium-based Systems Service Pack 2[1]
(KB2716433)
特権の昇格重要MS11-049 の KB2494089 は KB2716434 に置き換えられます。

MS11-049 の KB2494094 は KB2716433 に置き換えられます。
Microsoft SQL Server 2008 for Itanium-based Systems Service Pack 3[1]
(KB2716436)
Microsoft SQL Server 2008 for Itanium-based Systems Service Pack 3[1]
(KB2716435)
特権の昇格重要なし
SQL Server 2008 R2
Microsoft SQL Server 2008 R2 for 32-bit Systems Service Pack 1[1]
(KB2716440)
Microsoft SQL Server 2008 R2 for 32-bit Systems Service Pack 1[1]
(KB2716439)
特権の昇格重要なし
Microsoft SQL Server 2008 R2 for x64-based Systems Service Pack 1[1]
(KB2716440)
Microsoft SQL Server 2008 R2 for x64-based Systems Service Pack 1[1]
(KB2716439)
特権の昇格重要なし
Microsoft SQL Server 2008 R2 for Itanium-based Systems Service Pack 1[1]
(KB2716440)
Microsoft SQL Server 2008 R2 for Itanium-based Systems Service Pack 1[1]
(KB2716439)
特権の昇格重要なし
SQL Server 2012
Microsoft SQL Server 2012 for 32-bit Systems[1]
(KB2716442)
Microsoft SQL Server 2012 for 32-bit Systems[1]
(KB2716441)
特権の昇格重要なし
Microsoft SQL Server 2012 for x64-based Systems[1]
(KB2716442)*
Microsoft SQL Server 2012 for x64-based Systems[1]
(KB2716441)
特権の昇格重要なし

[1]この更新プログラムは、SQL Server Reporting Services (SSRS) を実行しているお客様にのみ提供されます。

影響を受けないソフトウェア

Microsoft SQL Server ソフトウェア
Microsoft SQL Server 2000 Service Pack 4
Microsoft SQL Server 2000 Itanium Edition Service Pack 4
Microsoft SQL Server 2000 Analysis Services Service Pack 4
Microsoft Windows Server 2003 Service Pack 2 上の Microsoft SQL Server 2000 Desktop Engine (MSDE)
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4
Microsoft SQL Server 2005 Express Edition Service Pack 4
Microsoft SQL Server Management Studio Express (SSMSE) 2005
Microsoft SQL Server 2008 R2 for 32-bit Systems Service Pack 2
Microsoft SQL Server 2008 R2 for x64-based Systems Service Pack 2
Microsoft SQL Server 2008 R2 for Itanium-based Systems Service Pack 2
Microsoft Data Engine (MSDE) 1.0
Microsoft Data Engine (MSDE) 1.0 Service Pack 4
Microsoft Data Engine 1.0

このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)

脆弱性の情報

深刻度および脆弱性識別番号

折り返し型 XSS の脆弱性 - CVE-2012-2552

更新プログラムに関する情報

検出および展開ツールとガイダンス

セキュリティ更新プログラムの展開

関連情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

サポート

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2012/10/10):このセキュリティ情報ページを公開しました。