Бюллетень по безопасности Майкрософт MS14-044 — важно

Уязвимости в SQL Server могут разрешить повышение привилегий (2984340)

Опубликовано: 12 августа 2014 г. | Обновлено: 13 августа 2014 г.

Версия: 1.1

Общие сведения

Краткий обзор

Это обновление системы безопасности разрешает две частные уязвимости в Microsoft SQL Server (один в службах master Data Services SQL Server и другой в системе управления реляционными базами данных SQL Server). Более серьезные из этих уязвимостей, влияющие на службы master Data Services SQL Server, могут разрешить повышение привилегий, если пользователь посещает специально созданный веб-сайт, который внедряет клиентский скрипт в экземпляр интернет-Обозреватель пользователя. Во всех случаях злоумышленник не сможет заставить пользователей просматривать управляемое злоумышленником содержимое. Вместо этого злоумышленнику придется убедить пользователей принять меры, как правило, путем того, как получить ссылку в сообщении электронной почты или в сообщении мгновенного посланника, которое отправляет их на веб-сайт злоумышленника или получить их, чтобы открыть вложение, отправленное по электронной почте.

Это обновление системы безопасности оценивается как важное для поддерживаемых выпусков Microsoft SQL Server 2008 с пакетом обновления 3 (SP3), Microsoft SQL Server 2008 R2 с пакетом обновления 2 (SP2) и Microsoft SQL Server 2012 с пакетом обновления 1 (SP1); Он также оценивается как важный для Microsoft SQL Server 2014 для систем на основе x64. Дополнительные сведения см. в разделе "Затронутое и не затронутое программное обеспечение ".

Обновление безопасности устраняет уязвимости, исправляя кодирование выходных данных и способ обработки запросов T-SQL SQL Master Data Services (MDS). Дополнительные сведения об уязвимостях см. в подразделе часто задаваемых вопросов (часто задаваемых вопросов) для конкретной уязвимости далее в этом бюллетене.

Рекомендация. Большинство клиентов включили автоматическое обновление и не должны предпринимать никаких действий, так как это обновление безопасности будет загружено и установлено автоматически. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871. Для клиентов, не имеющих автоматического обновления, можно использовать шаги, описанные в разделе "Включение или отключение автоматического обновления" для включения автоматического обновления. Примечание. В некоторых сценариях клиенты, использующие службу основных данных Microsoft SQL Server (MDS), могут не получить это обновление с помощью автоматического обновления. Дополнительные сведения и обходные действия см. в статьях о известных проблемах в базе знаний Майкрософт 2969894 .

Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить это обновление вручную (включая клиентов, которые не включили автоматическое обновление), корпорация Майкрософт рекомендует пользователям применять обновление при первой возможности с помощью программного обеспечения управления обновлениями или проверка для обновлений с помощью службы центра обновления Майкрософт. Обновления также доступны с помощью ссылок на скачивание в таблице "Затронутые программы" далее в этом бюллетене.

См. также раздел, средства обнаружения и развертывания и рекомендации далее в этом бюллетене.

Статья базы знаний

  • Статьи базы знаний: 2984340, 2977315
  • Сведения о файле: Да
  • Хэши SHA1/SHA2: Да
  • Известные проблемы: Да

 

Затронутое и не затронутое программное обеспечение

Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.

Затронутого программного обеспечения 

Обновления программного обеспечения GDR Программное обеспечение QFE Обновления Максимальное влияние на безопасность Оценка серьезности агрегата Обновления заменено
SQL Server 2008
Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 3 (2977321) Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 3 (2977322) Отказ в обслуживании Внимание GDR: 2977321 заменяет 2716436 в MS12-070 QFE: 2977322 заменяет 2716435 в MS12-070
Microsoft SQL Server 2008 для систем на основе x64 с пакетом обновления 3 (2977321) Microsoft SQL Server 2008 для систем на основе x64 с пакетом обновления 3 (2977322) Отказ в обслуживании Внимание GDR: 2977321 заменяет 2716436 в MS12-070 QFE: 2977322 заменяет 2716435 в MS12-070
Microsoft SQL Server 2008 для систем на основе Itanium с пакетом обновления 3 (2977321) Microsoft SQL Server 2008 для систем на основе Itanium с пакетом обновления 3 (2977322) Отказ в обслуживании Внимание GDR: 2977321 заменяет 2716436 в MS12-070 QFE: 2977322 заменяет 2716435 в MS12-070
SQL Server 2008 R2
Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 2 (2977320) Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 2 (2977319) Отказ в обслуживании Внимание нет
Microsoft SQL Server 2008 R2 для систем на основе x64 с пакетом обновления 2 (2977320) Microsoft SQL Server 2008 R2 для систем на основе x64 с пакетом обновления 2 (2977319) Отказ в обслуживании Внимание нет
Microsoft SQL Server 2008 R2 для систем на основе Itanium с пакетом обновления 2 (2977320) Microsoft SQL Server 2008 R2 для систем на основе Itanium с пакетом обновления 2 (2977319) Отказ в обслуживании Внимание нет
SQL Server 2012
Microsoft SQL Server 2012 для 32-разрядных систем с пакетом обновления 1 (2977326) Microsoft SQL Server 2012 для 32-разрядных систем с пакетом обновления 1 (2977325) Отказ в обслуживании Внимание нет
Microsoft SQL Server 2012 для систем на основе x64 с пакетом обновления 1 (2977326) Microsoft SQL Server 2012 для систем на основе x64 с пакетом обновления 1 (2977325) Несанкционированное получение привилегий Внимание нет
SQL Server 2014
Microsoft SQL Server 2014 для систем на основе x64 (2977315) Microsoft SQL Server 2014 для систем на основе x64 (2977316) Несанкционированное получение привилегий Внимание нет

 

Не затронутое программное обеспечение

Операционная система
Microsoft SQL Server 2005 Express Edition с расширенным пакетом обновления 4 (SP4)
Microsoft SQL Server 2005 Express Edition с пакетом обновления 4 (SP4)
Microsoft SQL Server 2005 для 32-разрядных систем с пакетом обновления 4 (SP4)
Microsoft SQL Server 2005 для систем на основе x64 с пакетом обновления 4 (SP4)
Microsoft SQL Server 2005 для систем на основе Itanium с пакетом обновления 4 (SP4)
Microsoft SQL Server Management Studio Express (SSMSE) 2005
Microsoft SQL Server 2012 для 32-разрядных систем с пакетом обновления 2
Microsoft SQL Server 2012 для систем на основе x64 с пакетом обновления 2 (SP2)
Microsoft SQL Server 2014 для 32-разрядных систем
Microsoft Data Engine (MSDE) 1.0
Microsoft Data Engine (MSDE) 1.0 с пакетом обновления 4 (SP4)
Microsoft Data Engine 1.0

 

Вопросы и ответы по обновлению

Существуют обновления GDR и/или QFE для моей версии SQL Server. Разделы справки знать, какое обновление следует использовать? 
Сначала определите номер версии SQL Server. Дополнительные сведения об определении номера версии SQL Server см. в статье базы знаний Майкрософт 321185.

Во-вторых, в таблице ниже найдите диапазон версий, в который входит номер версии SQL Server. Соответствующее обновление — это обновление, необходимое для установки.

Обратите внимание , что если номер версии SQL Server не входит в диапазоны в таблице ниже, версия SQL Server больше не поддерживается. Обновите до последней версии пакета обновления или продукта SQL Server, чтобы применить эти и будущие обновления системы безопасности.

Для SQL Server 2008:

Диапазон версий SQL Server
10.00.5500-10.00.5512 10.00.5750-10.00.5867
Обновление SQL Server
SQL Server 2008 с пакетом обновления 3 GDR (2977321) SQL Server 2008 с пакетом обновления 3 QFE (2977322)

Для SQL Server 2008 R2:

Диапазон версий SQL Server
10. 50.4000-10.50.4017 10.50.4251-10.50.4319
Обновление SQL Server
SQL Server 2008 R2 с пакетом обновления 2 GDR (2977320) SQL Server 2008 R2 с пакетом обновления 2 QFE (2977319)

Для SQL Server 2012:

Диапазон версий SQL Server
11.0.3000-11.0.3129 11.0.3300-11.0.3447
Обновление SQL Server
SQL Server 2012 с пакетом обновления 1 GDR (2977326) SQL Server 2012 с пакетом обновления 1 (QFE) (2977325)

Для SQL Server 2014:

12.0.2000 и выше
12.0.2000.8 и более поздних версий 12.0.2300-12.0.2370
Обновление SQL Server
SQL Server 2014 GDR (2977315) QFE SQL Server 2014 (2977316)

Дополнительные инструкции по установке см. в подразделе сведений об обновлении системы безопасности для выпуска SQL Server в разделе "Сведения об обновлении".

Будут ли эти обновления безопасности предлагаться кластерам SQL Server?
Да. Обновления также будут предлагаться экземплярам SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 и SQL Server 2014, которые кластеризованы. Обновления для кластеров SQL Server потребуется взаимодействие с пользователем.

Если в кластере SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 или SQL Server 2014 есть пассивный узел, корпорация Майкрософт рекомендует сначала проверять и применять обновление к неактивным узлу, а затем проверять и применять его к активному узлу. Когда все компоненты были обновлены на всех узлах, обновление больше не будет предложено.

Можно ли применять обновления безопасности к экземплярам SQL Server в Windows Azure (IaaS)?
Да. Экземпляры SQL Server в Windows Azure (IaaS) можно предлагать обновления безопасности через Центр обновления Майкрософт, или клиенты могут скачать обновления безопасности из Центра загрузки Майкрософт и применить их вручную.

Я использую старый выпуск программного обеспечения, рассмотренного в этом бюллетене по безопасности. Что делать?
Затронутое программное обеспечение, указанное в этом бюллетене, было проверено, чтобы определить, какие выпуски затронуты. Другие выпуски прошли жизненный цикл поддержки. Дополнительные сведения о жизненном цикле продукта см. на веб-сайте жизненного цикла служба поддержки Майкрософт.

Это должно быть приоритетом для клиентов, имеющих старые выпуски программного обеспечения для миграции на поддерживаемые выпуски, чтобы предотвратить потенциальное воздействие уязвимостей. Чтобы определить жизненный цикл поддержки для выпуска программного обеспечения, см. раздел "Выбор продукта для сведений о жизненном цикле". Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см . в политике поддержки жизненного цикла пакета обновления.

Клиенты, которым требуется пользовательская поддержка более старого программного обеспечения, должны обратиться к своему представителю группы учетных записей Майкрософт, менеджеру технической учетной записи или соответствующему представителю партнера Майкрософт для пользовательских вариантов поддержки. Клиенты без альянса, Premier или авторизованного контракта могут связаться со своим местным офисом продаж Майкрософт. Контактные данные см. на веб-сайте Microsoft Worldwide Information , выберите страну в списке контактных данных и нажмите кнопку " Перейти ", чтобы просмотреть список телефонных номеров. При вызове попросите поговорить с местным менеджером по продажам в службу поддержки Premier. Дополнительные сведения см. в разделе "Часто задаваемые вопросы о политике жизненного цикла служба поддержки Майкрософт".

Оценки серьезности и идентификаторы уязвимостей

Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в августовом бюллетене. Дополнительные сведения см. в разделе "Индекс эксплойтации Майкрософт".

Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения
Затронутого программного обеспечения Уязвимость XSS служб SQL Master Data Services — CVE-2014-1820 Уязвимость Microsoft SQL Server Stack Overrun — CVE-2014-4061 Оценка серьезности агрегата
SQL Server 2008
Microsoft SQL Server 2008 для 32-разрядных систем с пакетом обновления 3 Нет данных Важное отказ в обслуживании Важно!
Microsoft SQL Server 2008 для систем на основе x64 с пакетом обновления 3 Нет данных Важное отказ в обслуживании Важно!
Microsoft SQL Server 2008 для систем на основе Itanium с пакетом обновления 3 (SP3) Нет данных Важное отказ в обслуживании Важно!
SQL Server 2008 R2
Microsoft SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 2 (SP2) Нет данных Важное отказ в обслуживании Важно!
Microsoft SQL Server 2008 R2 для систем на основе x64 с пакетом обновления 2 (SP2) Нет данных Важное отказ в обслуживании Важно!
Microsoft SQL Server 2008 R2 для систем на основе Itanium с пакетом обновления 2 (SP2) Нет данных Важное отказ в обслуживании Важно!
SQL Server 2012
Microsoft SQL Server 2012 для 32-разрядных систем с пакетом обновления 1 (SP1) Нет данных Важное отказ в обслуживании Важно!
Microsoft SQL Server 2012 для систем на основе x64 с пакетом обновления 1 (SP1) Важное повышение привилегий Важное отказ в обслуживании Важно!
SQL Server 2014
Microsoft SQL Server 2014 для систем на основе x64 Важное повышение привилегий Нет данных Важно!

 

Уязвимость XSS служб SQL Master Data Services — CVE-2014-1820

Уязвимость XSS существует в службах SQL Master Data Services (MDS), которая может позволить злоумышленнику внедрить клиентский скрипт в экземпляр Обозреватель пользователя. Скрипт может спуфинировать содержимое, раскрыть информацию или предпринять какие-либо действия, которые пользователь мог предпринять на сайте от имени целевого пользователя.

Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2014-1820.

Смягчающие факторы

Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:

  • В сценарии атаки на веб-основе злоумышленник может разместить специально созданный веб-сайт, предназначенный для использования этих уязвимостей через Интернет Обозреватель, а затем убедить пользователя просмотреть веб-сайт. Злоумышленник также может воспользоваться скомпрометированных веб-сайтов и веб-сайтов, которые принимают или размещают предоставленное пользователем содержимое или рекламу. Эти веб-сайты могут содержать специально созданное содержимое, которое может использовать эти уязвимости. Однако во всех случаях злоумышленник не сможет заставить пользователей просматривать управляемое злоумышленником содержимое. Вместо этого злоумышленнику придется убедить пользователей принять меры, как правило, путем того, как получить ссылку в сообщении электронной почты или в сообщении мгновенного посланника, которое отправляет их на веб-сайт злоумышленника или получить их, чтобы открыть вложение, отправленное по электронной почте.
  • Фильтр XSS в Интернете Обозреватель 8, Интернет Обозреватель 9, Интернет Обозреватель 10 и Интернет Обозреватель 11 предотвращает эту атаку для пользователей при просмотре веб-сайтов в зоне Интернета. Обратите внимание, что фильтр XSS в Интернете Обозреватель 8, Интернет Обозреватель 9, Интернет Обозреватель 10 и Интернет Обозреватель 11 включен по умолчанию в зоне Интернета, но по умолчанию не включен в зоне интрасети.

Методы обхода проблемы

Решение относится к изменению параметра или конфигурации, которое не исправляет базовую уязвимость, но поможет заблокировать известные векторы атак перед применением обновления. Корпорация Майкрософт проверила следующие обходные пути и состояния в обсуждении, сокращает ли решение функциональные возможности:

Включение Обозреватель Интернета 8,Обозреватель 9, Интернет Обозреватель 10 и фильтр "Интернет Обозреватель 11XSS" для зоны интрасети

Вы можете защититься от эксплуатации этой уязвимости, изменив параметры, чтобы включить фильтр XSS в зоне безопасности локальной интрасети. (По умолчанию фильтр XSS включен в зоне безопасности Интернета.) Для этого выполните следующие действия.

  1. В Internet Обозреватель 8, Internet Обозреватель 9, Internet Обозреватель 10 или Internet Обозреватель 11 щелкните "Параметры браузера" в меню "Сервис".
  2. Перейдите на вкладку Безопасность .
  3. Щелкните "Локальная интрасеть" и выберите "Пользовательский уровень".
  4. В разделе Параметры в разделе "Скрипты" в разделе "Включить фильтр XSS" нажмите кнопку "Включить" и нажмите кнопку "ОК".
  5. Нажмите кнопку "ОК", чтобы вернуться в Интернет Обозреватель.

Влияние обходного решения. Внутренние сайты, которые ранее не помечены как риски XSS, могут быть помечены.

Как отменить обходное решение.

Чтобы отменить это обходное решение, выполните следующие действия.

  1. В Internet Обозреватель 8, Internet Обозреватель 9, Internet Обозреватель 10 или Internet Обозреватель 11 щелкните "Параметры браузера" в меню "Сервис".
  2. Перейдите на вкладку Безопасность .
  3. Щелкните "Локальная интрасеть" и выберите "Пользовательский уровень".
  4. В разделе Параметры в разделе "Скрипты" в разделе "Включить фильтр XSS" нажмите кнопку "Отключить" и нажмите кнопку "ОК".
  5. Нажмите кнопку "ОК", чтобы вернуться в Интернет Обозреватель.

Вопросы и ответы

Что такое область уязвимости?
Это уязвимость с повышением привилегий.

Что вызывает уязвимость?
Уязвимость возникает, когда службы Master Data Services SQL (MDS) неправильно кодируют выходные данные.

Что такое межсайтовый скрипт (XSS)?
Межсайтовый скрипт (XSS) — это класс уязвимости безопасности, который позволяет злоумышленнику внедрять скрипт в ответ на веб-запрос. Затем этот скрипт запускается запрашивающим приложением, часто в веб-браузере. Затем скрипт может спуфинировать содержимое, раскрыть информацию или предпринять какие-либо действия, которые пользователь может предпринять на затронутом веб-сайте от имени целевого пользователя.

Что такое службы Master Data Services SQL (MDS)?
Службы Master Data Services (MDS) — это решение SQL Server для управления основными данными. Управление основными данными (master data management, MDM) включает в себя действия, предпринимаемые организацией для нахождения и определения нетранзакционных списков данных с целью компиляции управляемых главных списков. 

Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может внедрить клиентский скрипт в экземпляр Обозреватель пользователя. Скрипт может спуфинировать содержимое, раскрыть информацию или предпринять какие-либо действия, которые пользователь мог предпринять на сайте от имени целевого пользователя.

Как злоумышленник может воспользоваться уязвимостью?
Злоумышленник может использовать уязвимость, отправив специально созданную ссылку пользователю и убедив пользователя щелкнуть ссылку. Злоумышленник также может разместить веб-сайт, содержащий веб-страницу, предназначенную для использования этой уязвимости. Кроме того, скомпрометированные веб-сайты и веб-сайты, которые принимают или размещают предоставленные пользователем контент или объявления, могут содержать специально созданное содержимое, которое может использовать эту уязвимость.

Какие системы в первую очередь подвергаются риску от уязвимости?
Серверы, работающие под управлением затронутых выпусков Microsoft SQL Server, в основном подвержены риску. Серверы SQL, на которых не установлены службы Master Data Services SQL, не подвержены риску этой уязвимости и не будут предлагаться в этом обновлении.

Что делает обновление?
Обновление устраняет уязвимость, исправляя кодирование выходных данных служб Master Data Services (MDS) SQL.

Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.

Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.

Уязвимость Microsoft SQL Server Stack Overrun — CVE-2014-4061

Уязвимость типа "отказ в обслуживании" существует в SQL Server. Злоумышленник, который успешно воспользовался этой уязвимостью, может привести к тому, что сервер перестанет отвечать, пока не будет инициирована перезагрузка вручную.

Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2014-4061.

Смягчающие факторы

Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.

Методы обхода проблемы

Корпорация Майкрософт не определила обходные пути для этой уязвимости.

Вопросы и ответы

Что такое область уязвимости?
Это уязвимость типа "отказ в обслуживании".

Что вызывает уязвимость?
Уязвимость возникает, когда SQL Server обрабатывает неправильно отформатированный запрос T-SQL.

Что такое T-SQL?
Transact-SQL (T-SQL) — это язык, используемый для запроса ядра СУБД SQL Server. Дополнительные сведения см. в разделе "Обзор Transact-SQL".

Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался уязвимостью, может привести к остановке реагирования целевой системы. Для восстановления нормальной работы потребуется перезагрузка вручную.

Как злоумышленник может воспользоваться уязвимостью?
Локальный злоумышленник может воспользоваться этой уязвимостью, создав специально созданную инструкцию T-SQL, которая приводит к остановке реагирования Microsoft SQL Server.

Какие системы в первую очередь подвергаются риску от уязвимости?
Рабочие станции и серверы под управлением Microsoft SQL Server подвержены риску.

Что делает обновление?
Обновление устраняет уязвимость, исправляя способ обработки запросов T-SQL Server в Microsoft SQL Server.

Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.

Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.

Средства обнаружения и развертывания и рекомендации

Несколько ресурсов помогают администраторам развертывать обновления системы безопасности. 

  • Анализатор безопасности Microsoft Base (МБ SA) позволяет администраторам проверять локальные и удаленные системы для отсутствия обновлений безопасности и распространенных ошибок в настройке безопасности. 
  • Службы обновления Windows Server (WSUS), сервер управления системами (SMS) и System Center Configuration Manager помогают администраторам распространять обновления безопасности. 
  • Компоненты средства оценки совместимости обновлений, включенные в состав набор средств совместимости приложений, упрощают тестирование и проверку обновлений Windows в установленных приложениях. 

Сведения об этих и других средствах, доступных, см. в разделе "Средства безопасности для ИТ-специалистов". 

Развертывание обновлений безопасности

SQL Server 2008

Справочная таблица

В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.

Имена файлов обновления системы безопасности Обновление SQL Server 2008 для 32-разрядных систем с пакетом обновления 3:\ SQLServer2008-КБ 2977321-x86.exe
\ Обновление SQL Server 2008 для систем на основе x64 с пакетом обновления 3:\ SQLServer2008-КБ 2977321-x64.exe
\ Для обновления GDR SQL Server 2008 для систем на основе Itanium с пакетом обновления 3:\ SQLServer2008-КБ 2977321-IA64.exe
\ Обновление QFE SQL Server 2008 для 32-разрядных систем с пакетом обновления 3:\ SQLServer2008-КБ 2977322-x86.exe
\ Обновление QFE SQL Server 2008 для систем на основе x64 с пакетом обновления 3:\ SQLServer2008-КБ 2977322-x64.exe
\ Обновление QFE SQL Server 2008 для систем на основе Itanium с пакетом обновления 3:\ SQLServer2008-КБ 2977322-IA64.exe
Параметры установки См. статью базы знаний Майкрософт 934307
Обновление файла журнала %programfiles%\Microsoft SQL Server\100\Setup Bootstrap\LOG\ <TimeStamp\MSSQLServer\Summary_<MachineName>_<Timestamp>>.txt
Специальные инструкции Обновление также будет предложено экземплярам SQL Server 2008, которые кластеризованы.\ Если кластер SQL Server 2008 имеет пассивный узел, чтобы сократить время простоя, корпорация Майкрософт рекомендует сначала проверять и применять обновление к неактивным узлу, а затем проверять и применять к активному узлу. Когда все компоненты были обновлены на всех узлах, обновление больше не будет предложено.
Требование перезапуска Требуется перезапуск экземпляра SQL Server.\ Если требуется перезагрузка системы, установщик предложит или возвратит код выхода 3010.
Сведения об удалении Для всех поддерживаемых выпусков SQL Server 2008:\ Используйте надстройку или удаление программ в панель управления.
Сведения о файле Сведения об обновлении SQL Server 2008 с пакетом обновления 3(SP3):\ См. в статье базы знаний Майкрософт 2977321\ \ Для обновления QFE SQL Server 2008 с пакетом обновления 3:\ См. статью базы знаний Майкрософт 2977322

 

SQL Server 2008 R2

Справочная таблица

В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.

Имена файлов обновления системы безопасности Для обновления GDR SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 2:\ SQLServer2008R2-КБ 2977320-x86.exe
\ Для обновления GDR SQL Server 2008 R2 для систем на основе x64 с пакетом обновления 2:\ SQLServer2008R2-КБ 2977320-x64.exe
\ Обновление SQL Server 2008 R2 для систем на основе Itanium с пакетом обновления 2:\ SQLServer2008R2-КБ 2977320-IA64.exe
\ Для обновления QFE SQL Server 2008 R2 для 32-разрядных систем с пакетом обновления 2:\ SQLServer2008R2-КБ 2977319-x86.exe
\ Для обновления QFE SQL Server 2008 R2 для систем на основе x64 с пакетом обновления 2:\ SQLServer2008R2-КБ 2977319-x64.exe
\ Обновление QFE SQL Server 2008 R2 для систем на основе Itanium с пакетом обновления 2:\ SQLServer2008R2-КБ 2977319-IA64.exe
Параметры установки См. статью базы знаний Майкрософт 934307
Обновление файла журнала %programfiles%\Microsoft SQL Server\100\Setup Bootstrap\LOG\ <TimeStamp\MSSQLServer\Summary_<MachineName>_<Timestamp>>.txt
Специальные инструкции Обновление также будет предложено экземплярам SQL Server 2008 R2, кластеризованным.\ Если кластер SQL Server 2008 R2 имеет пассивный узел, чтобы сократить время простоя, корпорация Майкрософт рекомендует сначала проверять и применять обновление к неактивным узлу, а затем проверять и применять к активному узлу. Когда все компоненты были обновлены на всех узлах, обновление больше не будет предложено.
Требование перезапуска Требуется перезапуск экземпляра SQL Server.\ Если требуется перезагрузка системы, установщик предложит или возвратит код выхода 3010.
Сведения об удалении Для всех поддерживаемых выпусков SQL Server 2008 R2:\ Используйте надстройку или удаление программ в панель управления.
Сведения о файле Сведения об обновлении SQL Server 2008 R2 с пакетом обновления 2(SP2): см. в статье базы знаний Майкрософт 2977320\ \ Для обновления QFE SQL Server 2008 R2 с пакетом обновления 2:\ См. статью базы знаний Майкрософт 2977319

 

SQL Server 2012

Справочная таблица

В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.

Имена файлов обновления системы безопасности Обновление SQL Server 2012 для 32-разрядных систем с пакетом обновления 1:\ SQLServer2012-КБ 2977326-x86.exe
\ Для обновления GDR SQL Server 2012 для систем на основе x64 с пакетом обновления 1:\ SQLServer2012-КБ 2977326-x64.exe
\ Обновление QFE SQL Server 2012 для 32-разрядных систем с пакетом обновления 1:\ SQLServer2012-КБ 2977325-x86.exe
\ Обновление QFE SQL Server 2012 для систем на основе x64 с пакетом обновления 1:\ SQLServer2012-КБ 2977325-x64.exe
Параметры установки См. статью базы знаний Майкрософт 934307
Обновление файла журнала %programfiles%\Microsoft SQL Server\110\Setup Bootstrap\LOG\ <TimeStamp\MSSQLServer\Summary_<MachineName>_<Timestamp>>.txt
Специальные инструкции Обновление также будет предложено экземплярам SQL Server 2012, кластеризованным.\ Если кластер SQL Server 2012 имеет пассивный узел, чтобы сократить время простоя, корпорация Майкрософт рекомендует сначала проверять и применять обновление к неактивным узлу, а затем проверять и применять к активному узлу. Когда все компоненты были обновлены на всех узлах, обновление больше не будет предложено.
Требование перезапуска Требуется перезапуск экземпляра SQL Server.\ Если требуется перезагрузка системы, установщик предложит или возвратит код выхода 3010.
Сведения об удалении Для всех поддерживаемых выпусков SQL Server 2012:\ Процедура удаления обновлений отличается по следующему сценарию:\ \ Сценарий 1. Если подсистема SQL Server установлена без основных служб данных SQL Server (MDS) на одном компьютере, можно удалить обновление с помощью элемента "Добавить или удалить программы" в панель управления. Не нужно удалять подсистему SQL Server.\ Сценарий 2. Если подсистема SQL Server установлена вместе с MDS на том же компьютере, выполните следующие действия. Удалите обновление ядра SQL Server с помощью элемента "Добавление или удаление программ" в панель управления. Не нужно удалять подсистему SQL Server. Резервное копирование базы данных MDS. Удалите компонент MDS. Переустановите компонент MDS. Примените все необходимые пакеты обновления SQL Server или обновления службы, чтобы перенести MDS в свою версию предварительного обновления системы безопасности.Сценарий 3. Если MDS установлен на компьютере, на котором не установлена подсистема SQL Server, выполните следующие действия: резервное копирование базы данных MDS. Удалите компонент MDS. Переустановите компонент MDS. Примените все необходимые пакеты обновления SQL Server или обновления службы, чтобы перенести MDS в свою версию предварительного обновления системы безопасности.
Сведения о файле Сведения об обновлении SQL Server 2012 с пакетом обновления 1(SP1):\ См. статью базы знаний Майкрософт 2977326\ \ Для обновления QFE sql Server 2012 с пакетом обновления 1(SP1):\ См. статью базы знаний Майкрософт 2977325

 

SQL Server 2014

Справочная таблица

В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.

Имена файлов обновления системы безопасности Для обновления GDR SQL Server 2014 для систем на основе x64:\ SQLServer2014-КБ 2977315-x64-ENU.exe
\ Для обновления QFE SQL Server 2014 для систем на основе x64:\ SQLServer2014-КБ 2977316-x64.exe
Параметры установки См. статью базы знаний Майкрософт 934307
Обновление файла журнала %programfiles%\Microsoft SQL Server\12\Setup Bootstrap\LOG\<TimeStamp\MSSQLServer\Summary_<MachineName>_<Timestamp>>.txt
Специальные инструкции Обновление также будет предложено экземплярам SQL Server 2014, которые кластеризованы.\ Если кластер SQL Server 2014 имеет пассивный узел, чтобы сократить время простоя, корпорация Майкрософт рекомендует сначала проверять и применять обновление к неактивным узлу, а затем проверять и применять к активному узлу. Когда все компоненты были обновлены на всех узлах, обновление больше не будет предложено.
Требование перезапуска Если требуется перезагрузка системы, установщик предложит или возвратит код выхода 3010.
Сведения об удалении Для всех поддерживаемых выпусков SQL Server 2014 выполните следующие действия: резервное копирование базы данных MDS. Удалите компонент MDS. Переустановите компонент MDS. Примените все необходимые пакеты обновления SQL Server или обновления службы, чтобы перенести MDS в свою версию предварительного обновления системы безопасности.
Сведения о файле Сведения об обновлении SQL Server 2014:\ См. статью базы знаний Майкрософт 2977315\ \ Обновление QFE SQL Server 2014:\ См. статью базы знаний Майкрософт 2977316

 

Другие сведения

Программа Microsoft Active Protections (MAPP)

Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, перейдите на веб-сайты активных защиты, предоставляемые партнерами программы, перечисленными в программе Microsoft Active Protections Program (MAPP).

Поддержка

Получение справки и поддержки для этого обновления системы безопасности

Заявление об отказе

Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

  • V1.0 (12 августа 2014 г.): бюллетень опубликован.
  • Версия 1.1 (13 августа 2014 г.): изменен бюллетень по исправлению вопросов и ответов об обновлении, которые рассматривают вопрос, будут ли эти обновления безопасности предлагаться кластерам SQL Server?

Страница создана 2014-08-20 15:12Z-07:00.