Бюллетень по безопасности (Майкрософт) MS12-070 - Важное

Уязвимость в SQL Server делает возможным несанкционированное получение прав (2754849)

Дата публикации: 9 октября 2012 г.

Версия: 1.0

Общие сведения

Аннотация

Это обновление для системы безопасности устраняет обнаруженную пользователями уязвимость Microsoft SQL Server в системах, в которых выполняются службы SQL Server Reporting Services (SSRS). Это уязвимость межузловых сценариев (XSS), которая делает возможным несанкционированное получение прав, позволяя злоумышленнику выполнить произвольные команды на SSRS-сайте в контексте целевого пользователя. Злоумышленник может использовать эту уязвимость, отправив пользователю особым образом созданную ссылку и убедив его перейти по ней. Злоумышленник может также разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы или объявления, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости.

Это обновление безопасности имеет уровень "существенный" для Microsoft SQL Server 2000 Reporting Services с пакетом обновления 2 (SP2) и систем с SQL Server Reporting Services (SSRS) в Microsoft SQL Server 2005 с пакетом обновления 4 (SP4), Microsoft SQL Server 2008 с пакетом обновления 2 (SP2), Microsoft SQL Server 2008 с пакетом обновления 3 (SP3), Microsoft SQL Server 2008 R2 с пакетом обновления 1 (SP1) и Microsoft SQL Server 2012. Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости далее в этом разделе.

Это обновление для системы безопасности устраняет уязвимость, изменяя способ проверки входных параметров диспетчером отчетов SQL Server. Дополнительные сведения об этой уязвимости см. в подразделе "Часто задаваемые вопросы" для соответствующей уязвимости в следующем ниже разделе Сведения об уязвимости.

Рекомендация. Корпорация Майкрософт рекомендует установить это обновление при первой возможности.

Известные проблемы. В статье 2754849 базы знаний Майкрософт описаны известные на данный момент проблемы, с которыми пользователи могут столкнуться при установке этого обновления для системы безопасности. В этой статье также приводятся решения, рекомендованные для устранения этих проблем.

Подвержены и не подвержены уязвимости

Следующие продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.

Microsoft SQL Server

В зависимости от выпуска или версии ПО может потребоваться выбрать ссылку на обновление программного обеспечения GDR либо QFE, чтобы вручную установить его из Центра загрузки Майкрософт. Дополнительные сведения о том, какое обновление необходимо установить в системе, см. в подразделе Вопросы и ответы об этом обновлении для системы безопасности этого раздела.

^[1]Это обновление предлагается только пользователям SQL Server Reporting Services (SSRS).

Не подвержены уязвимости

Программное обеспечение Microsoft SQL Server
Microsoft SQL Server 2000 с пакетом обновления 4 (SP4)
Microsoft SQL Server 2000 для систем на базе процессоров Itanium с пакетом обновления 4 (SP4)
Службы анализа Microsoft SQL Server 2000 с пакетом обновления 4 (SP4)
Microsoft SQL Server 2000 Desktop Engine (MSDE) в Microsoft Windows Server 2003 с пакетом обновления 2 (SP2)
Microsoft SQL Server 2000 Desktop Engine (WMSDE 2000) в системе Windows 2000 с пакетом обновления 4 (SP4)
Microsoft SQL Server 2005 Express Edition с пакетом обновления 4 (SP4)
Microsoft SQL Server Management Studio Express (SSMSE) 2005
Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 2 (SP2)
Microsoft SQL Server 2008 R2 для 64-разрядных систем с пакетом обновления 2 (SP2)
Microsoft SQL Server 2008 R2 для систем на базе процессоров Itanium с пакетом обновления 2 (SP2)
Microsoft Data Engine (MSDE) 1.0
Microsoft Data Engine (MSDE) 1.0 с пакетом обновления 4 (SP4)
Microsoft Data Engine 1.0

Часто задаваемые вопросы о данном обновлении безопасности

Где находятся дополнительные сведения о файлах?
Местонахождение дополнительных сведений о файлах см. в справочных таблицах раздела Развертывание обновления для системы безопасности.

Где находятся хэши обновлений системы безопасности?
Хэши SHA1 и SHA2 обновлений для системы безопасности можно использовать для проверки подлинности загруженных пакетов обновлений для системы безопасности. Сведения о хэшах, относящиеся к данному обновлению, см. в статье 2754849 базы знаний Майкрософт.

Для установленной версии SQL предлагаются обновления GDR и QFE. Как определить, какое из них устанавливать?
Во-первых, выясните номер установленной версии SQL Server. Дополнительные сведения об определении номера версии SQL Server см. в статье 321185 базы знаний Майкрософт .

Во-вторых, в таблице ниже найдите диапазон, в который входит установленная версия SQL Server. Установите обновление, соответствующее этому диапазону.

Примечание. Если номер используемой версии SQL Server не входит ни в один из перечисленных ниже диапазонов, срок ее поддержки истек. Чтобы установить это и последующие обновления для системы безопасности, установите последнюю версию пакета обновления или продукта SQL Server.

Порядок действий для сервера SQL Server 2000.

Перечень версий SQL Server
Обновление для SQL Server
	8.0.1038.0-8.0.1076.0
Не применимо	Службы отчетов Microsoft SQL Server 2000 с пакетом обновления 2 (SP2) (KB983814)

Для SQL Server 2005:

Перечень версий SQL Server
Обновление для SQL Server
9.0.5000-9.0.5068	9.0.5200-9.0.5323
Обновление GDR для SQL Server 2005 с пакетом обновления 4 (SP4) (KB2716429)	Обновление QFE для SQL Server 2005 с пакетом обновления 4 (SP4) (KB2716427)

Для SQL Server 2008:

Перечень версий SQL Server
Обновление для SQL Server
10.00.4000-10.00.4066	10.00.4260-10.00.4370	10.00.5500-10.00.5511	10.00.5750-10.00.5825
Обновление GDR для SQL Server 2008 с пакетом обновления 2 (SP2) (KB2716434)	Обновление QFE для SQL Server 2005 с пакетом обновления 2 (SP2) (KB2716433)	Обновление GDR для SQL Server 2008 с пакетом обновления 3 (SP3) (KB2716436)	Обновление QFE для SQL Server 2005 с пакетом обновления 3 (SP3) (KB2716435)

Для SQL Server 2008 R2:

Перечень версий SQL Server
Обновление для SQL Server
10. 50.2500-10.50.2549	10.50.2750- 10.50.2860
Обновление GDR для SQL Server 2008 R2 с пакетом обновления 1 (SP1) (KB2716440)	Обновление QFE для SQL Server 2008 R2 с пакетом обновления 1 (SP1) (KB2716439)

Для SQL Server 2012:

Перечень версий SQL Server
Обновление для SQL Server
11.0.2100- 11.0.2217	11.0.2300-11.0.2375
SQL Server 2012 GDR (KB2716442)	SQL Server 2012 QFE (KB2716441)

Дополнительные инструкции по установке см. в подразделе сведений об обновлении для системы безопасности нужного выпуска SQL Server в разделе Сведения об обновлении.

Будет ли это обновление предлагаться для кластеров SQL Server?
Да. Обновление также будет предлагаться для кластеризованных экземпляров SQL Server 2005, SQL Server 2008, SQL Server 2008 R2 и SQL Server 2012. Установка обновлений для кластеров SQL Server требует вмешательства пользователя. SQL Server 2000 Reporting Services не поддерживает кластеры SQL Server.

Если в кластере SQL Server 2005, SQL Server 2008, SQL Server 2008 R2 или SQL Server 2012 есть пассивный узел, Майкрософт рекомендует сначала найти и установить обновление для активного узла, а затем — для пассивного. После обновления всех компонентов пассивного узла обновление перестанет предлагаться.

Справочные таблицы для SQL Server 2000 Reporting Services в разделе сведений об обновлении для системы безопасности содержат сведения о необходимости перезагрузки компьютера после установки некоторых обновлений. Как определить, потребуется ли перезагрузка после установки обновления?
Для SQL Server 2000 Reporting Services возможно наличие зависимых служб. Они не перезагружаются после остановки или перезапуска службы, от которой зависят. По этой причине после установки требуется перезагрузить компьютер, чтобы убедиться, что зависимые службы запущены. Дополнительные сведения об определении наличия на компьютере зависимых службы см. в статье 953741 базы знаний Майкрософт.

Будут ли обновления применяться к отключенным экземплярам SQL Server 2005, SQL Server 2008, SQL Server 2008 R2 и SQL Server 2012?
Нет. Программа установки обновит только те экземпляры SQL Server 2005, SQL Server 2008, SQL Server 2008 R2 и SQL Server 2012, в поле "Тип запуска" которых не задано значение Отключено. Дополнительные сведения об отключенных службах см. в статье 953740 базы знаний Майкрософт.

На моем компьютере установлена более ранняя версия программного обеспечения, описанного в этом бюллетене по безопасности. Что мне нужно сделать?
Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных версиях. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Дополнительные сведения о жизненном цикле продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.

Пользователям более ранних версий программного обеспечения следует срочно перейти на поддерживаемые версии, чтобы снизить вероятность наличия в системе уязвимостей. Чтобы определить стадии жизненного цикла поддержки для вашего выпуска программного обеспечения, перейдите на веб-страницу Выберите продукт для отображения информации о стадиях жизненного цикла. Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см. на веб-странице политики по срокам поддержки продуктов Microsoft.

Для получения сведений о возможных вариантах обслуживания более ранних версий программного обеспечения свяжитесь с представителем группы по работе с заказчиками корпорации Майкрософт, ее техническим менеджером или представителем соответствующей партнерской компании Майкрософт. Пользователи, у которых нет договора типа Alliance, Premier или Authorized, могут обратиться в местное представительство корпорации Майкрософт. Для получения контактной информации посетите веб-сайт Microsoft Worldwide Information, выберите страну в списке "Контактная информация" и нажмите кнопку Go (Перейти), чтобы просмотреть список телефонных номеров. Дозвонившись, попросите связать вас с менеджером по продажам службы поддержки Premier. Дополнительные сведения см. в разделе Часто задаваемые вопросы о политике поддержки продуктов Майкрософт на разных стадиях жизненного цикла.

Сведения об уязвимости

Уровни серьезности и идентификаторы уязвимостей

Указанные ниже уровни серьезности подразумевают максимальное потенциальное воздействие уязвимости. Сведения о вероятности эксплуатации данной уязвимости в течение 30 дней с момента выпуска настоящего бюллетеня с указанием степени ее серьезности и воздействия на систему см. в индексе использования уязвимостей в октябрьском обзоре бюллетеней. Дополнительные сведения см. в индексе использования уязвимостей.

Уровень серьезности уязвимости и максимальное воздействие на систему безопасности
Подвержены уязвимости	Уязвимость, приводящая к отраженному межсайтовому выполнению сценариев (XSS) (CVE-2012-2552)	Общий уровень серьезности
SQL Server 2000
Службы отчетов Microsoft SQL Server 2000 с пакетом обновления 2 (SP2)	Существенный Несанкционированное получение прав	Существенный
SQL Server 2005
Microsoft SQL Server 2005 Express Edition с дополнительными службами и пакетом обновления 4 (SP4)	Существенный Несанкционированное получение прав	Существенный
Microsoft SQL Server 2005 для 32-разрядных систем с пакетом обновления 4 (SP4)	Существенный Несанкционированное получение прав	Существенный
Microsoft SQL Server 2005 для 64-разрядных систем с пакетом обновления 4 (SP4)	Существенный Несанкционированное получение прав	Существенный
Microsoft SQL Server 2005 для систем на базе процессоров Itanium с пакетом обновления 4 (SP4)	Существенный Несанкционированное получение прав	Существенный
SQL Server 2008
Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)	Существенный Несанкционированное получение прав	Существенный
Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 3 (SP3)	Существенный Несанкционированное получение прав	Существенный
Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)	Существенный Несанкционированное получение прав	Существенный
Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 3 (SP3)	Существенный Несанкционированное получение прав	Существенный
Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 2 (SP2)	Существенный Несанкционированное получение прав	Существенный
Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 3 (SP3)	Существенный Несанкционированное получение прав	Существенный
SQL Server 2008 R2
Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 1 (SP1)	Существенный Несанкционированное получение прав	Существенный
Microsoft SQL Server 2008 R2 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1)	Существенный Несанкционированное получение прав	Существенный
Microsoft SQL Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1)	Существенный Несанкционированное получение прав	Существенный
SQL Server 2012
Microsoft SQL Server 2012 для 32-разрядных систем	Существенный Несанкционированное получение прав	Существенный
Microsoft SQL Server 2012 для 64-разрядных систем	Существенный Несанкционированное получение прав	Существенный

Уязвимость, приводящая к отраженному межсайтовому выполнению сценариев (XSS) (CVE-2012-2552)

В диспетчере отчетов SQL Server существует уязвимость XSS, которая может позволить злоумышленнику внедрить сценарий на стороне клиента в пользовательском экземпляре Internet Explorer. Сценарий может подменить содержимое, раскрыть данные или предпринять любое действие, которое может осуществлять пользователь на сайте, от имени атакованного пользователя.

Чтобы просмотреть стандартную запись об этой уязвимости в списке "Common Vulnerabilities and Exposures", см. CVE-2012-2552.

Смягчающие факторы для уязвимости, приводящей к отраженному межсайтовому выполнению сценариев (XSS) (CVE-2012-2552)

К смягчающим факторам относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие смягчающие факторы могут снизить опасность использования уязвимости.

В случае атаки через Интернет злоумышленник может разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы или объявления, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости. Однако в любом случае злоумышленник не может заставить пользователей посетить эти веб-сайты. Вместо этого злоумышленник должен будет убедить пользователей посетить веб-сайт, обычно приглашая их перейти по соответствующей ссылке, ведущей на этот веб-сайт, в сообщении электронной почты или программы обмена мгновенными сообщениями.
XSS-фильтр в Internet Explorer 8, Internet Explorer 9 и Internet Explorer 10 предотвращает такие атаки для пользователей Internet Explorer 8, Internet Explorer 9 и Internet Explorer 10 при просмотре веб-сайтов в зоне Интернета. Обратите внимание, что XSS-фильтр в Internet Explorer 8, Internet Explorer 9 и Internet Explorer 10 включен по умолчанию в зоне "Интернет", но не включен по умолчанию в зоне "Интрасеть".

Временные решения для уязвимости, приводящей к отраженному межсайтовому выполнению сценариев (XSS) (CVE-2012-2552)

К временным решениям относятся изменения параметров или конфигурации, не приводящие к полному устранению уязвимости, но позволяющие блокировать известные направления атак до того, как будет установлено обновление. Корпорация Майкрософт проверила представленные ниже временные решения и сообщила, снижают ли они функциональные возможности.

Включит XSS-фильтр Internet Explorer 8, Internet Explorer 9 и Internet Explorer 10 для зоны интрасети
Вы можете защититься от использования уязвимости, включив XSS-фильтр в зоне безопасности локальной интрасети. (В зоне безопасности локальной интрасети XSS-фильтр по умолчанию включен.) Для этого необходимо выполнить следующие действия.
1. В Internet Explorer 8, Internet Explorer 9 или Internet Explorer 10 выберите пункт Свойства обозревателя в меню Сервис.
2. Перейдите на вкладку Безопасность.
3. Выберите Локальная интрасеть и нажмите Другой.
4. В пункте Настройки раздела Сценарии найдите пункт Включить XSS-фильтр, нажмите Включить, а затем ОК.
5. Нажмите дважды кнопку OK, чтобы вернуться в окно веб-браузера Internet Explorer.
Побочные эффекты использования временного решения. Внутренние сайты, ранее не отмеченные как имеющие риск XSS, будут отмечены.
Отмена изменений.
Чтобы отменить временное решение выполните указанные ниже действия.
1. В Internet Explorer 8, Internet Explorer 9 или Internet Explorer 10 выберите пункт Свойства обозревателя в меню Сервис.
2. Перейдите на вкладку Безопасность.
3. Выберите Локальная интрасеть и нажмите Другой.
4. В пункте Настройки раздела Сценарии найдите пункт Включить XSS-фильтр, нажмите Выключить, а затем ОК.
5. Нажмите дважды кнопку OK, чтобы вернуться в окно веб-браузера Internet Explorer.

Часто задаваемые вопросы об уязвимости, приводящей к отраженному межсайтовому выполнению сценариев (XSS) (CVE-2012-2552)

Какова область воздействия этой уязвимости?
Это отраженная уязвимость XSS, которая делает возможным несанкционированное получение прав.

В чем причина этой уязвимости?
Уязвимость возникает, когда диспетчер отчетов SQL Server неправильно проверяет параметры запроса на своем сайте SQL Server.

Что такое межсайтовые сценарии (XSS)?
Межсайтовые сценарии (XSS) — это класс уязвимостей системы безопасности, которые могут позволить злоумышленнику внедрить сценарий в ответ на запрос веб-страницы. Этот сценарий затем запускается давшим запрос приложением, часто веб-браузером. Затем сценарий может подменить содержимое, раскрыть данные или предпринять любое действие, которое может осуществлять пользователь на уязвимом веб-сайте, от имени атакованного пользователя.

Что может сделать злоумышленник, который воспользуется этой уязвимостью?
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может внедрить сценарий на стороне клиента в пользовательском экземпляре Internet Explorer. Сценарий может подменить содержимое, раскрыть данные или предпринять любое действие, которое может осуществлять пользователь на сайте, от имени атакованного пользователя.

Каким образом злоумышленник может воспользоваться этой уязвимостью?
Злоумышленник может использовать эту уязвимость, отправив пользователю особым образом созданную ссылку и убедив его перейти по ней. Злоумышленник может также разместить в сети веб-сайт, содержащий веб-страницу, предназначенную для использования данной уязвимости. Кроме того, веб-сайты, подвергшиеся атаке злоумышленников, равно как и веб-сайты, принимающие или размещающие пользовательские материалы или объявления, также могут иметь специальное содержимое, рассчитанное на использование данной уязвимости.

Какие системы в первую очередь подвержены риску?
В первую очередь риску подвержены серверы, на которых выполняются уязвимые выпуски Microsoft SQL Server. Системы с SQL Server, в которых не установлены службы SQL Server Reporting Services, не подвержены данной уязвимости и для них не предлагается это обновление.

Как действует обновление?
Это обновление устраняет уязвимость, изменяя способ кодирования входных параметров диспетчером отчетов SQL Server.

Была ли эта уязвимость опубликована до выпуска этого бюллетеня безопасности?
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из надежных источников.

На момент выпуска этого бюллетеня получала ли корпорация Майкрософт сообщения об использовании этой уязвимости?
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что до выпуска этого бюллетеня по безопасности данная уязвимость была открыто использована для организации атак на пользовательские компьютеры.

Сведения об обновлении

Руководство и средства по диагностике и развертыванию

В центре безопасности

Управление программным обеспечением и обновлениями для системы безопасности, которые развертываются на серверах, настольных и мобильных компьютерах организации. Дополнительные сведения см. на веб-сайте Центра управления обновлениями TechNet. Дополнительные сведения об обеспечении безопасности в продуктах Майкрософт см. на веб-сайте Microsoft TechNet Security.

Обновления для системы безопасности доступны в Центре обновления Майкрософт и Центре обновления Windows. Обновления для системы безопасности также доступны в Центре загрузки Майкрософт. Самый простой способ найти обновление — выполнить поиск по ключевому слову "security update".

Наконец, обновления для системы безопасности можно загрузить из каталога Центра обновления Майкрософт. Он обеспечивает возможность поиска содержимого (в том числе обновлений для системы безопасности, драйверов и пакетов обновления), которое предоставляется через Центр обновления Windows и Центр обновления Майкрософт. При поиске по номеру бюллетеня по безопасности (например, MS12-001) можно добавлять необходимые обновления (в том числе на различных языках) в корзину и загружать их в выбранную папку. Дополнительные сведения см. на веб-сайте каталога Центра обновления Майкрософт в разделе вопросов и ответов.

Руководство по диагностике и развертыванию

Корпорация Майкрософт предоставляет руководство по диагностике и развертыванию обновлений для системы безопасности. В этом руководстве содержатся рекомендации и сведения, позволяющие ИТ-специалистам оптимальнее использовать различные средства для диагностики и развертывания обновлений для системы безопасности. Дополнительные сведения см. в статье 961747 базы знаний Майкрософт.

Анализатор безопасности Microsoft Baseline Security Analyzer

Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности. Дополнительные сведения см. на веб-странице Microsoft Baseline Security Analyzer.

В следующей таблице приведены сведения об обнаружении данного обновления безопасности с помощью программы MBSA.

Программное обеспечение	Анализатор MBSA
Службы отчетов Microsoft SQL Server 2000 с пакетом обновления 2 (SP2)	Да
Microsoft SQL Server 2005 Express Edition с дополнительными службами и пакетом обновления 4 (SP4)	Да
Microsoft SQL Server 2005 для 32-разрядных систем с пакетом обновления 4 (SP4)	Да
Microsoft SQL Server 2005 для 64-разрядных систем с пакетом обновления 4 (SP4)	Да
Microsoft SQL Server 2005 для систем на базе процессоров Itanium с пакетом обновления 4 (SP4)	Да
Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)	Да
Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 3 (SP3)	Да
Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)	Да
Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 3 (SP3)	Да
Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 2 (SP2)	Да
Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 3 (SP3)	Да
Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 1 (SP1)	Да
Microsoft SQL Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1)	Да
Microsoft SQL Server 2008 R2 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1)	Да
Microsoft SQL Server 2012 для 32-разрядных систем	Да
Microsoft SQL Server 2012 для 64-разрядных систем	Да

Примечание. Пользователям старого программного обеспечения, не поддерживаемого последней версией анализатора MBSA, Центром обновления Майкрософт и службами WSUS: посетите веб-страницу анализатора безопасности Microsoft Baseline Security Analyzer и в разделе "Legacy Product Support" (Поддержка устаревших программных продуктов) прочтите инструкции по настройке комплексного обнаружения обновлений безопасности с помощью старых инструментов.

Службы Windows Server Update Services

Службы Windows Server Update Services (WSUS) позволяют ИТ-администраторам развертывать последние обновления продуктов Майкрософт на компьютерах под управлением операционной системы Windows. Дополнительные сведения о развертывании обновлений для системы безопасности с помощью служб Windows Server Update Services см. в статье TechNet Windows Server Update Services.

Сервер Systems Management Server

В следующей таблице приведены сведения об обнаружении и развертывании данного обновления для системы безопасности с помощью программы SMS.

Программное обеспечение	SMS 2003 со средством ITMU	System Center Configuration Manager
Службы отчетов Microsoft SQL Server 2000 с пакетом обновления 2 (SP2)	Да	Да
Microsoft SQL Server 2005 Express Edition с дополнительными службами и пакетом обновления 4 (SP4)	Да	Да
Microsoft SQL Server 2005 для 32-разрядных систем с пакетом обновления 4 (SP4)	Да	Да
Microsoft SQL Server 2005 для 64-разрядных систем с пакетом обновления 4 (SP4)	Да	Да
Microsoft SQL Server 2005 для систем на базе процессоров Itanium с пакетом обновления 4 (SP4)	Да	Да
Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)	Да	Да
Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 3 (SP3)	Да	Да
Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)	Да	Да
Microsoft SQL Server 2008 для 64-разрядных систем с пакетом обновления 3 (SP3)	Да	Да
Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 2 (SP2)	Да	Да
Microsoft SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 3 (SP3)	Да	Да
Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 1 (SP1)	Да	Да
Microsoft SQL Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1)	Да	Да
Microsoft SQL Server 2008 R2 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1)	Да	Да
Microsoft SQL Server 2012 для 32-разрядных систем	Да	Да
Microsoft SQL Server 2012 для 64-разрядных систем	Да	Да

Примечание. Корпорация Майкрософт прекратила поддержку SMS 2.0 12 апреля 2011 года. Для SMS 2003 корпорация Майкрософт также прекратила поддержку Security Update Inventory Tool (SUIT) 12 апреля 2011 года. Пользователям предлагается обновить систему до System Center Configuration Manager. Для пользователей, продолжающих использовать SMS 2003 пакетом обновления 3, вариантом является также Inventory Tool for Microsoft Updates (ITMU).

Сервер SMS 2003 может использовать средство SMS 2003 Inventory Tool for Microsoft Updates, чтобы обнаруживать обновления для системы безопасности, предлагаемые в Центре обновления Майкрософт и поддерживаемые службами Windows Server Update Services. Дополнительные сведения о SMS 2003 ITMU см. на веб-странице средства SMS 2003 ITMU. Дополнительные сведения о средствах сканирования SMS см. на веб-странице средств сканирования обновлений ПО для сервера SMS 2003. См. также веб-страницу загружаемых компонентов для сервера Systems Management Server 2003.

Диспетчер конфигураций System Center Configuration Manager использует службы WSUS 3.0 для обнаружения обновлений. Дополнительные сведения см. в статье о System Center.

Дополнительные сведения см. в статье 910723 базы знаний Майкрософт. Обзор ежемесячных статей руководства по диагностике и развертыванию.

Средство оценки совместимости обновлений и набор средств для обеспечения совместимости приложений

Часто обновления записываются в одни те же файлы, а для запуска приложений требуется настроить параметры реестра. Это приводит к возникновению несовместимостей и увеличивает время, затрачиваемое на развертывание обновлений для системы безопасности. Облегчить тестирование и проверку обновлений Windows для установленных приложений можно с помощью компонентов оценки совместимости обновлений, входящих в состав набора средств для обеспечения совместимости приложений.

Набор средств для обеспечения совместимости приложений содержит необходимые средства и документацию для выявления проблем совместимости приложений и уменьшения степени воздействия этих проблем перед развертыванием системы Windows Vista, обновлений из Центра обновления Windows, обновлений с веб-сайта безопасности Майкрософт или новой версии проводника.

Развертывание обновления для системы безопасности


Включение в будущие пакеты обновления	Выпуск новых пакетов обновления не планируется
Развертывание
Установка обновления без участия пользователя	Для служб отчетов SQL Server 2000 с пакетом обновления 2 (SP2): SQL2000.RS-KB983814-v8.00.1077.00-ENG.exe /quiet
Установка обновления без перезагрузки компьютера	Для служб отчетов SQL Server 2000 с пакетом обновления 2 (SP2): SQL2000.RS-KB983814-v8.00.1077.00-ENG.exe /norestart
Установка единичного экземпляра	Для служб отчетов SQL Server 2000 с пакетом обновления 2 (SP2): SQL2000.RS-KB983814-v8.00.1077.00-ENG.exe /quiet /InstanceName={экземпляр}
Обновление файла журнала	SQL2000.RS-KB983814-v8.00.1077.00-<язык>.log
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка	Для служб отчетов SQL Server 2000 с пакетом обновления 2 (SP2): После установки обновления рекомендуется перезагрузить компьютер, чтобы также перезапустить все зависимые от этого службы. Дополнительные сведения см. в статье "Как определить, потребуется ли перезагрузка после установки обновления?" в разделе вопросов и ответов об обновлении этого бюллетеня. Если требуется перезагрузка, программа установки выведет запрос или вернет код выхода 3010.
Функция Hotpatching	Не применимо
Сведения об удалении	Используйте средство Установка и удаление программ панели управления.
Сведения о файлах	См. статью 983814 базы знаний Майкрософт

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/help	Отображает параметры командной строки
Режимы установки
/passive	Режим автоматической установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о том, что перезагрузка компьютера будет выполнена через 30 секунд.
/quiet	Тихий режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках.
Параметры перезагрузки
/norestart	После окончания установки перезагрузка компьютера не выполняется
/forcerestart	Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов.
/warnrestart[:x]	Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через x секунд. (Значение по умолчанию: 30 секунд.) Используется с параметрами /quiet или /passive.
/promptrestart	Отображает диалоговое окно с запросом на перезагрузку
Специальные параметры
/overwriteoem	Заменяет файлы OEM без вывода соответствующего запроса
/nobackup	Не создает резервных копий файлов на случай удаления
/forceappsclose	Принудительно завершает работу других программ перед выключением компьютера
/log:путь	Разрешает переадресацию файлов журнала установки
/integrate:путь	Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре.


Включение в будущие пакеты обновления	Выпуск новых пакетов обновления не планируется
Развертывание
Установка обновления без участия пользователя	Для обновления GDR выпуска SQL Server 2005 Express Edition с дополнительными службами и пакетом обновления 4 (SP4): SQLServer2005-KB2716429-x86-ENU.exe /quiet /allinstances
	Для обновления GDR версии SQL Server 2005 для 32-разрядных систем c пакетом обновления 4 (SP4): SQLServer2005-KB2716429-x86-ENU.exe /quiet /allinstances
	Для обновления GDR версии SQL Server 2005 для 64-разрядных систем c пакетом обновления 4 (SP4): SQLServer2005-KB2716429-x64-ENU.exe /quiet /allinstances
	Для обновления GDR версии SQL Server 2005 для систем на базе процессоров Itanium с пакетом обновления 4 (SP4): SQLServer2005-KB2716429-IA64-ENU.exe /quiet /allinstances
	Для обновления QFE выпуска SQL Server 2005 Express Edition с дополнительными службами и пакетом обновления 4 (SP4): SQLServer2005-KB2716427-x86-ENU.exe /quiet /allinstances
	Для обновления QFE версии SQL Server 2005 для 32-разрядных систем c пакетом обновления 4 (SP4): SQLServer2005-KB2716427-x86-ENU.exe /quiet /allinstances
	Для обновления QFE версии SQL Server 2005 для 64-разрядных систем c пакетом обновления 4 (SP4): SQLServer2005-KB2716427-x64-ENU.exe /quiet /allinstances
	Для обновления QFE для SQL Server 2005 for Itanium-based Systems с пакетом обновления 4 (SP4): SQLServer2005-KB2716427-IA64-ENU.exe /quiet /allinstances
Установка единичного экземпляра	Для обновления GDR выпуска SQL Server 2005 Express Edition с дополнительными службами и пакетом обновления 4 (SP4): SQLServer2005-KB2716429-x86-ENU.exe /quiet /InstanceName={экземпляр}
	Для обновления GDR версии SQL Server 2005 для 32-разрядных систем c пакетом обновления 4 (SP4): SQLServer2005-KB2716429-x86-ENU.exe /quiet /InstanceName={экземпляр}
	Для обновления GDR версии SQL Server 2005 для 64-разрядных систем c пакетом обновления 4 (SP4): SQLServer2005-KB2716429-x64-ENU.exe /quiet /InstanceName={экземпляр}
	Для обновления GDR версии SQL Server 2005 для систем на базе процессоров Itanium с пакетом обновления 4 (SP4): SQLServer2005-KB2716429-IA64-ENU.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE выпуска SQL Server 2005 Express Edition с дополнительными службами и пакетом обновления 4 (SP4): SQLServer2005-KB2716427-x86-ENU.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE версии SQL Server 2005 для 32-разрядных систем c пакетом обновления 4 (SP4): SQLServer2005-KB2716427-x86-ENU.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE версии SQL Server 2005 для 64-разрядных систем c пакетом обновления 4 (SP4): SQLServer2005-KB2716427-x64-ENU.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE для SQL Server 2005 for Itanium-based Systems с пакетом обновления 4 (SP4): SQLServer2005-KB2716427-IA64-ENU.exe /quiet /quiet /InstanceName={экземпляр}
Обновление файла журнала	%programfiles%\Microsoft SQL Server\90\Setup Bootstrap\LOG\Hotfix\Summary.log
Специальные инструкции	Обновление также будет предлагаться для кластеризованных экземпляров SQL Server 2005. Установка обновлений для кластеров SQL Server 2005 требует вмешательства пользователя. Если в кластере SQL Server 2005 имеется пассивный узел, сначала найдите и установите обновление для активного узла, а затем — для пассивного. После обновления всех компонентов пассивного узла обновление перестанет предлагаться.
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	Если требуется перезагрузка, программа установки выведет запрос или вернет код выхода 3010.
Функция Hotpatching	Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching см. в статье 897341 базы знаний Майкрософт.
Сведения об удалении	Для всех поддерживаемых версий SQL Server 2005 за исключением SQL Server 2005 для 64-разрядных систем с пакетом обновления 4 (SP4): Используйте средство Установка и удаление программ панели управления. Примечание. Имеется проблема, связанная с удалением SQL Server 2005 для 64-разрядных систем с пакетом обновления 4 (SP4). Дополнительные сведения см. в статье 2754849 базы знаний Майкрософт.
Сведения о файлах	Для обновления GDR для SQL Server 2005 с пакетом обновления 4 (SP4): См. статью 2716429 базы знаний Майкрософт
	Для обновления QFE для SQL Server 2005 с пакетом обновления 4 (SP4): См. статью 2716427 базы знаний Майкрософт

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/?	Вывод диалогового окна справки
/quiet	Запуск установки в тихом режиме
/reportonly	Вывод сведений о функциях, обновляемых этим пакетом
/allinstances	Обновление всех экземпляров SQL Server и всех общих компонентов
/instancename	Обновление определенного экземпляра SQL Server и всех общих компонентов
/sapwd	Пароль учетной записи SQL Server sa для запуска сценариев
/user	Учетная запись пользователя для подключения к удаленному узлу кластера
/password	Пароль для учетной записи пользователя для подключения к удаленному узлу кластера
/rsupgradedatabaseaccount	Учетная запись для обновления служб отчетов
/rsupgradepassword	Пароль для учетной записи пользователя для обновления служб отчетов
/rsupgradedatabase	Предотвращение обновления базы данных служб отчетов при значении параметра, равном 0
/allinstances	Применяет обновление ко всем экземплярам
/InstanceName={экземпляр}	Применяет обновление к указанному экземпляру


Включение в будущие пакеты обновления	SQL Server 2008 с пакетом обновления 4 (SP4)
Развертывание
Установка обновления без участия пользователя	Для обновления GDR версии SQL Server 2008 для 32-разрядных систем c пакетом обновления 2 (SP2): SQLServer2008-KB2716434-x86.exe /quiet /allinstances
	Для обновления GDR версии SQL Server 2008 для 64-разрядных систем c пакетом обновления 2 (SP2): SQLServer2008-KB2716434-x64.exe /quiet /allinstances
	Для обновления GDR для SQL Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2): SQLServer2008-KB2716434-IA64.exe /quiet /allinstances
	Для обновления QFE версии SQL Server 2008 для 32-разрядных систем c пакетом обновления 2 (SP2): SQLServer2008-KB2716433-x86.exe /quiet /allinstances
	Для обновления QFE версии SQL Server 2008 для 64-разрядных систем c пакетом обновления 2 (SP2): SQLServer2008-KB2716433-x64.exe /quiet /allinstances
	Для обновления QFE для SQL Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2): SQLServer2008-KB2716433-IA64.exe /quiet /allinstances
	Для обновления GDR версии SQL Server 2008 для 32-разрядных систем c пакетом обновления 3 (SP3): SQLServer2008-KB2716436-x86.exe /quiet /allinstances
	Для обновления GDR версии SQL Server 2008 для 64-разрядных систем c пакетом обновления 3 (SP3): SQLServer2008-KB2716436-x64.exe /quiet /allinstances
	Для обновления GDR версии SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 3 (SP3): SQLServer2008-KB2716436-IA64.exe /quiet /allinstances
	Для обновления QFE версии SQL Server 2008 для 32-разрядных систем c пакетом обновления 3 (SP3): SQLServer2008-KB2716435-x86.exe /quiet /allinstances
	Для обновления QFE версии SQL Server 2008 для 64-разрядных систем c пакетом обновления 3 (SP3): SQLServer2008-KB2716435-x64.exe /quiet /allinstances
	Для обновления QFE для SQL Server 2008 for Itanium-based Systems с пакетом обновления 3 (SP3): SQLServer2008-KB2716435-IA64.exe /quiet /allinstances
Установка единичного экземпляра	Для обновления GDR версии SQL Server 2008 для 32-разрядных систем c пакетом обновления 2 (SP2): SQLServer2008-KB2716434-x86.exe /quiet /InstanceName={экземпляр}
	Для обновления GDR версии SQL Server 2008 для 64-разрядных систем c пакетом обновления 2 (SP2): SQLServer2008-KB2716434-x64.exe /quiet /InstanceName={экземпляр}
	Для обновления GDR для SQL Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2): SQLServer2008-KB2716434-IA64.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE версии SQL Server 2008 для 32-разрядных систем c пакетом обновления 2 (SP2): SQLServer2008-KB2716433-x86.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE версии SQL Server 2008 для 64-разрядных систем c пакетом обновления 2 (SP2): SQLServer2008-KB2716433-x64.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE для SQL Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2): SQLServer2008-KB2716433-IA64.exe /quiet /InstanceName={экземпляр}
	Для обновления GDR версии SQL Server 2008 для 32-разрядных систем c пакетом обновления 3 (SP3): SQLServer2008-KB2716436-x86.exe /quiet /InstanceName={экземпляр}
	Для обновления GDR версии SQL Server 2008 для 64-разрядных систем c пакетом обновления 3 (SP3): SQLServer2008-KB2716436-x64.exe /quiet /InstanceName={экземпляр}
	Для обновления GDR версии SQL Server 2008 для систем на базе процессоров Itanium с пакетом обновления 3 (SP3): SQLServer2008-KB2716436-IA64.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE для SQL Server 2008 с пакетом обновления 3 (SP3): SQLServer2008-KB2716435-x86.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE версии SQL Server 2008 для 64-разрядных систем c пакетом обновления 3 (SP3): SQLServer2008-KB2716435-x64.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE для SQL Server 2008 for Itanium-based Systems с пакетом обновления 3 (SP3): SQLServer2008-KB2716435-IA64.exe /quiet /InstanceName={экземпляр}
Обновление файла журнала	%programfiles%\Microsoft SQL Server\90\Setup Bootstrap\LOG\Hotfix\Summary.log
Специальные инструкции	Обновление также будет предлагаться для кластеризованных экземпляров SQL Server 2008. Если в кластере SQL Server 2008 имеется пассивный узел, сначала найдите и установите обновление для активного узла, а затем — для пассивного. После обновления всех компонентов пассивного узла обновление перестанет предлагаться.
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	Если требуется перезагрузка, программа установки выведет запрос или вернет код выхода 3010.
Функция Hotpatching	Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching см. в статье 897341 базы знаний Майкрософт.
Сведения об удалении	Для всех поддерживаемых выпусков SQL Server 2008: Используйте средство Установка и удаление программ панели управления.
Сведения о файлах	Для обновления GDR для SQL Server 2008 с пакетом обновления 2 (SP2): См. статью 2716434 базы знаний Майкрософт
	Для обновления QFE для SQL Server 2008 с пакетом обновления 2 (SP2): См. статью 2716433 базы знаний Майкрософт
	Для обновления GDR для SQL Server 2008 с пакетом обновления 3 (SP3): См. статью 2716436 базы знаний Майкрософт
	Для обновления QFE для SQL Server 2008 с пакетом обновления 3 (SP3): См. статью 2494094 базы знаний Майкрософт

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/?	Вывод диалогового окна справки
/quiet	Запуск установки в тихом режиме
/reportonly	Вывод сведений о функциях, обновляемых этим пакетом
/allinstances	Обновление всех экземпляров SQL Server и всех общих компонентов
/instancename	Обновление определенного экземпляра SQL Server и всех общих компонентов
/sapwd	Пароль учетной записи SQL Server sa для запуска сценариев
/user	Учетная запись пользователя для подключения к удаленному узлу кластера
/password	Пароль для учетной записи пользователя для подключения к удаленному узлу кластера
/rsupgradedatabaseaccount	Учетная запись для обновления служб отчетов
/rsupgradepassword	Пароль для учетной записи пользователя для обновления служб отчетов
/rsupgradedatabase	Предотвращение обновления базы данных служб отчетов при значении параметра, равном 0
/allinstances	Применяет обновление ко всем экземплярам
/InstanceName={экземпляр}	Применяет обновление к указанному экземпляру


Включение в будущие пакеты обновления	Microsoft SQL Server 2008 R2 с пакетом обновления 2 (SP2)
Развертывание
Установка обновления без участия пользователя	Для обновления GDR версии SQL Server 2008 R2 для 32-разрядных систем c пакетом обновления 1 (SP1): SQLServer2008R2-KB2716440-x86.exe /quiet /allinstances
	Для обновления GDR версии SQL Server 2008 R2 для 64-разрядных систем c пакетом обновления 1 (SP1): SQLServer2008R2-KB2716440-x64.exe /quiet /allinstances
	Для обновления GDR версии SQL Server 2008 R2 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1): SQLServer2008R2-KB2716440-IA64.exe /quiet /allinstances
	Для обновления QFE версии SQL Server 2008 R2 для 32-разрядных систем c пакетом обновления 1 (SP1): SQLServer2008R2-KB2716439-x86.exe /quiet /allinstances
	Для обновления QFE версии SQL Server 2008 R2 для 64-разрядных систем c пакетом обновления 1 (SP1): SQLServer2008R2-KB2716439-x64.exe /quiet /allinstances
	Для обновления QFE версии SQL Server 2008 R2 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1): SQLServer2008R2-KB2716439-IA64.exe /quiet /allinstances
Установка единичного экземпляра	Для обновления GDR версии SQL Server 2008 R2 для 32-разрядных систем c пакетом обновления 1 (SP1): SQLServer2008R2-KB2716440-x86.exe /quiet /InstanceName={экземпляр}
	Для обновления GDR версии SQL Server 2008 R2 для 64-разрядных систем c пакетом обновления 1 (SP1): SQLServer2008R2-KB2716440-x64.exe /quiet /InstanceName={экземпляр}
	Для обновления GDR версии SQL Server 2008 R2 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1): SQLServer2008R2-KB2716440-IA64.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE версии SQL Server 2008 R2 для 32-разрядных систем c пакетом обновления 1 (SP1): SQLServer2008R2-KB2716439-x86.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE версии SQL Server 2008 R2 для 64-разрядных систем c пакетом обновления 1 (SP1): SQLServer2008R2-KB2716439-x64.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE версии SQL Server 2008 R2 для систем на базе процессоров Itanium с пакетом обновления 1 (SP1): SQLServer2008R2-KB2716439-IA64.exe /quiet /InstanceName={экземпляр}
Обновление файла журнала	%programfiles%\Microsoft SQL Server\90\Setup Bootstrap\LOG\Hotfix\Summary.log
Специальные инструкции	Обновление также будет предлагаться для кластеризованных экземпляров SQL Server 2008 R2. Если в кластере SQL Server 2008 R2 имеется пассивный узел, сначала найдите и установите обновление для активного узла, а затем — для пассивного. После обновления всех компонентов пассивного узла обновление перестанет предлагаться.
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	Если требуется перезагрузка, программа установки выведет запрос или вернет код выхода 3010.
Функция Hotpatching	Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching см. в статье 897341 базы знаний Майкрософт.
Сведения об удалении	Все поддерживаемые выпуски SQL Server 2008 R2: Используйте средство Установка и удаление программ панели управления.
Сведения о файлах	Для обновления GDR для SQL Server 2008 R2 с пакетом обновления 1 (SP1): См. статью 2716440 базы знаний Майкрософт
	Для обновления QFE для SQL Server 2008 R2 с пакетом обновления 1 (SP1): См. статью 2716439 базы знаний Майкрософт

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/?	Вывод диалогового окна справки
/quiet	Запуск установки в тихом режиме
/reportonly	Вывод сведений о функциях, обновляемых этим пакетом
/allinstances	Обновление всех экземпляров SQL Server и всех общих компонентов
/instancename	Обновление определенного экземпляра SQL Server и всех общих компонентов
/sapwd	Пароль учетной записи SQL Server sa для запуска сценариев
/user	Учетная запись пользователя для подключения к удаленному узлу кластера
/password	Пароль для учетной записи пользователя для подключения к удаленному узлу кластера
/rsupgradedatabaseaccount	Учетная запись для обновления служб отчетов
/rsupgradepassword	Пароль для учетной записи пользователя для обновления служб отчетов
/rsupgradedatabase	Предотвращение обновления базы данных служб отчетов при значении параметра, равном 0
/allinstances	Применяет обновление ко всем экземплярам
/InstanceName={экземпляр}	Применяет обновление к указанному экземпляру


Включение в будущие пакеты обновления	SQL Server 2012 с пакетом обновления 1 (SP1)
Развертывание
Установка обновления без участия пользователя	Для обновления GDR версии SQL Server 2012 для 32-разрядных систем: SQLServer2012-KB2716442-x86.exe /quiet /allinstances
	Для обновления GDR версии SQL Server 2012 для 64-разрядных систем: SQLServer2012-KB2716442-x64.exe /quiet /allinstances
	Для обновления QFE версии SQL Server 2012 для 32-разрядных систем: SQLServer2012-KB2716441-x86.exe /quiet /allinstances
	Для обновления QFE версии SQL Server 2012 для 64-разрядных систем: SQLServer2012-KB2716441-x64.exe /quiet /allinstances
Установка единичного экземпляра	Для обновления GDR версии SQL Server 2012 для 32-разрядных систем: SQLServer2012-KB2716442-x86.exe /quiet /InstanceName={экземпляр}
	Для обновления GDR версии SQL Server 2012 для 64-разрядных систем: SQLServer2012-KB2716442-x64.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE версии SQL Server 2012 для 32-разрядных систем: SQLServer2012-KB2716441-x86.exe /quiet /InstanceName={экземпляр}
	Для обновления QFE версии SQL Server 2012 для 64-разрядных систем: SQLServer2012-KB2716441-x64.exe /quiet /InstanceName={экземпляр}
Обновление файла журнала	%programfiles%\Microsoft SQL Server\90\Setup Bootstrap\LOG\Hotfix\Summary.log
Специальные инструкции	Обновление также будет предлагаться для кластеризованных экземпляров SQL Server 2012. Если в кластере SQL Server 2012 имеется пассивный узел, сначала найдите и установите обновление для активного узла, а затем — для пассивного. После обновления всех компонентов пассивного узла обновление перестанет предлагаться.
Дополнительные сведения	См. подраздел Руководство и средства по диагностике и развертыванию
Необходимость перезагрузки
Требуется перезагрузка?	Если требуется перезагрузка, программа установки выведет запрос или вернет код выхода 3010.
Функция Hotpatching	Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching см. в статье 897341 базы знаний Майкрософт.
Сведения об удалении	Все поддерживаемые выпуски SQL Server 2008 R2: Используйте средство Установка и удаление программ панели управления.
Сведения о файлах	Для обновления GDR версии SQL Server 2012: См. статью 2716442 базы знаний Майкрософт
	Для обновления QFE версии SQL Server 2012: См. статью 2716441 базы знаний Майкрософт

Поддерживаемые параметры установки обновления для системы безопасности
Параметр	Описание
/?	Вывод диалогового окна справки
/quiet	Запуск установки в тихом режиме
/reportonly	Вывод сведений о функциях, обновляемых этим пакетом
/allinstances	Обновление всех экземпляров SQL Server и всех общих компонентов
/instancename	Обновление определенного экземпляра SQL Server и всех общих компонентов
/sapwd	Пароль учетной записи SQL Server sa для запуска сценариев
/user	Учетная запись пользователя для подключения к удаленному узлу кластера
/password	Пароль для учетной записи пользователя для подключения к удаленному узлу кластера
/rsupgradedatabaseaccount	Учетная запись для обновления служб отчетов
/rsupgradepassword	Пароль для учетной записи пользователя для обновления служб отчетов
/rsupgradedatabase	Предотвращение обновления базы данных служб отчетов при значении параметра, равном 0
/allinstances	Применяет обновление ко всем экземплярам
/InstanceName={экземпляр}	Применяет обновление к указанному экземпляру

Прочие сведения

Программа Microsoft Active Protections Program (MAPP)

Чтобы повысить уровень защиты пользователей, корпорация Майкрософт предоставляет сведения об уязвимостях крупным поставщикам программного обеспечения безопасности перед ежемесячным выпуском обновлений. Эта информация необходима им для усовершенствования программного обеспечения и оборудования для защиты пользователей (антивирусных программ, сетевых систем обнаружения вторжений, а также индивидуальных систем предотвращения вторжений). Сведения о средствах защиты, предоставляемых поставщиками программного обеспечения безопасности, доступны на соответствующих веб-сайтах партнеров, перечисленных в списке партнеров MAPP.

Поддержка

Получение справки и поддержки по данному обновлению для системы безопасности

Справка по установке обновлений: Поддержка Центра обновления Майкрософт
Решения безопасности для ИТ-специалистов: Устранение неполадок и поддержка на веб-сайте TechNet
Защита компьютера с установленной ОС Windows от вирусов и вредоносных программ: Центр решений по антивирусам и безопасности
Местная поддержка в зависимости от страны: Международная поддержка

Заявление об отказе

Сведения в статьях базы знаний Майкрософт предоставляются без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.

Редакции

Вер. 1.0 (9 октября 2012 г.): Бюллетень опубликован.

Бюллетень по безопасности (Майкрософт) MS12-070 - Важное

Уязвимость в SQL Server делает возможным несанкционированное получение прав (2754849)

Общие сведения

Аннотация

Подвержены и не подвержены уязвимости

Часто задаваемые вопросы о данном обновлении безопасности

Сведения об уязвимости

Уровни серьезности и идентификаторы уязвимостей

Уязвимость, приводящая к отраженному межсайтовому выполнению сценариев (XSS) (CVE-2012-2552)

Смягчающие факторы для уязвимости, приводящей к отраженному межсайтовому выполнению сценариев (XSS) (CVE-2012-2552)

Временные решения для уязвимости, приводящей к отраженному межсайтовому выполнению сценариев (XSS) (CVE-2012-2552)

Часто задаваемые вопросы об уязвимости, приводящей к отраженному межсайтовому выполнению сценариев (XSS) (CVE-2012-2552)

Сведения об обновлении

Руководство и средства по диагностике и развертыванию

Развертывание обновления для системы безопасности

Службы отчетов SQL Server 2000

Сведения о развертывании

Windows Server 2005 (все выпуски)

Сведения о развертывании

SQL Server 2008 (все выпуски)

Сведения о развертывании

SQL Server 2008 R2

Сведения о развертывании

SQL Server 2012

Сведения о развертывании

Прочие сведения

Программа Microsoft Active Protections Program (MAPP)

Поддержка

Заявление об отказе

Редакции