Bulletin de sécurité Microsoft MS15-058 - Important
Les vulnérabilités dans SQL Server peuvent autoriser l’exécution de code à distance (3065718)
Publication : 14 juillet 2015 | Mise à jour : 9 décembre 2015
Version : 1.2
Résumé
Cette mise à jour de sécurité résout les vulnérabilités dans Microsoft SQL Server. Les vulnérabilités les plus graves peuvent permettre l’exécution de code distant si un attaquant authentifié exécute une requête spécialement conçue pour exécuter une fonction virtuelle à partir d’une adresse incorrecte, ce qui entraîne un appel de fonction à une mémoire non initialisée. Pour exploiter cette vulnérabilité, un attaquant aurait besoin d’autorisations pour créer ou modifier une base de données.
Cette mise à jour de sécurité est évaluée comme importante pour les éditions prises en charge de Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2012 et Microsoft SQL Server 2014. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour de sécurité résout les vulnérabilités en corrigeant la façon dont SQL Server gère les appels de fonction internes et le cast de pointeur. Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3065718.
Logiciel affecté
Le logiciel suivant a été testé pour déterminer quelles versions ou éditions sont affectées. D’autres versions ou éditions dépassent leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
Logiciel affecté
Faq sur la mise à jour
Il existe des mises à jour GDR et/ou QFE proposées pour ma version de SQL Server. Comment faire savoir quelle mise à jour utiliser ?
Tout d’abord, déterminez votre numéro de version SQL Server. Pour plus d’informations sur la détermination de votre numéro de version SQL Server, consultez l’article 321185 de la Base de connaissances Microsoft.
Ensuite, dans le tableau ci-dessous, recherchez votre numéro de version ou la plage de versions dans laquelle votre numéro de version se trouve. La mise à jour correspondante est celle que vous devez installer.
Remarque Si votre numéro de version SQL Server n’est pas représenté dans le tableau ci-dessous, votre version de SQL Server n’est plus prise en charge. Effectuez une mise à niveau vers le produit Service Pack ou SQL Server le plus récent afin d’appliquer ces mises à jour de sécurité futures.
| Numéro de mise à jour | Titre | Appliquer si la version actuelle du produit est... | Cette mise à jour de sécurité inclut également les versions de maintenance jusqu’à... |
|---|---|---|---|
| 3045305 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2008 Service Pack 3 GDR : 14 juillet 2015 | 10.00.5500.00 ou 10.00.5520.00 | 2008 SP3 GDR (MS14-044) |
| 3045303 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2008 Service Pack 3 QFE : 14 juillet 2015 | 10.00.5750. - 10.00.5869.00 | 2008 SP3 CU17 |
| 3045311 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2008 Service Pack 4 GDR : 14 juillet 2015 | 10.0.6000.29 | 2008 SP4 |
| 3045308 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2008 Service Pack 4 QFE : 14 juillet 2015 | 10.0.6500.00 - 10.0.6526.0 | 2008 SP4 |
| 3045313 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2008 R2 Service Pack 2 GDR : 14 juillet 2015 | 10.50.4000.0 ou 10.50.4033.0 | 2008 R2 SP2 GDR (MS14-044) |
| 3045312 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2008 R2 Service Pack 2 QFE : 14 juillet 2015 | 10.50.4251.0 - 10.50.4331.0 | 2008 R2 SP2 CU13 |
| 3045316 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2008 R2 Service Pack 3 GDR : 14 juillet 2015 | 10.50.6000.34 | 2008 R2 SP3 |
| 3045314 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2008 R2 Service Pack 3 QFE : 14 juillet 2015 | 10.50.6500.0 - 10.50.6525.0 | 2008 R2 SP3 |
| 3045318 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2012 SP1 GDR : 14 juillet 2015 | 11.0.3000.0 ou 11.0.3153.0 | 2012 SP1 GDR (MS14-044) |
| 3045317 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2012 SP1 QFE : 14 juillet 2015 | 11.0.3300.0 - 11.0.3492.0 | 2012 SP1 CU16 |
| 3045321 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2012 Service Pack 2 GDR : 14 juillet 2015 | 11.0.5058.0 | 2012 SP2 |
| 3045319 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2012 Service Pack 2 QFE : 14 juillet 2015 | 11.0.5500.0 - 11.0.5592.0 | 2012 SP2 CU6 |
| 3045324 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2014 GDR : 14 juillet 2015 | 12.0.2000.8 ou 12.0.2254.0 | 2014 RTM GDR (MS14-044) |
| 3045323 | MS15-058 : Description de la mise à jour de sécurité pour SQL Server 2014 QFE : 14 juillet 2015 | 12.0.2300.0 - 12.0.2546.0 | 2014 RTM CU8 |
| 3070446 | MS15-058 : Description de la mise à jour non de sécurité pour SQL Server 2014 Service Pack 1 GDR : 14 juillet 2015 | 12.0.4100.1 | 2014 SP1 |
Remarque Pour la branche GDR, après avoir appliqué la mise à jour, vous ne verrez pas l’exécution du script de mise à niveau de la base de données. Il s’agit du comportement attendu, car le correctif remplace uniquement les fichiers binaires.
Pour obtenir des instructions d’installation supplémentaires, consultez la sous-section Informations de mise à jour de sécurité de votre édition SQL Server dans la section Informations de mise à jour.
Quelles sont les désignations de mise à jour du GDR et du QFE et comment diffèrent-elles ?
Les désignations GDR (General Distribution Release) et Quick Fix Engineering (QFE) correspondent aux deux branches de maintenance des mises à jour différentes en place pour SQL Server. La principale différence entre les deux est que les branches QFE incluent cumulativement toutes les mises à jour tandis que les branches GDR incluent uniquement les mises à jour de sécurité pour une base de référence donnée. Une base de référence peut être la version RTM initiale ou un Service Pack.
Pour une base de référence donnée, les mises à jour de la branche GDR ou QFE sont des options si vous êtes à la base de référence ou que vous avez installé une mise à jour GDR précédente pour cette ligne de base. La branche QFE est la seule option si vous avez installé un QFE précédent pour la base de référence sur laquelle vous êtes activé.
Ces mises à jour de sécurité seront-elles proposées aux clusters SQL Server ?
Oui. Les mises à jour seront également proposées aux instances SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 et SQL Server 2014 qui sont en cluster. Mises à jour pour les clusters SQL Server nécessite une interaction utilisateur.
Si le cluster SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 ou SQL Server 2014 a un nœud passif, pour réduire les temps d’arrêt, Microsoft vous recommande d’analyser et d’appliquer la mise à jour au nœud inactif en premier, puis de l’appliquer au nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée.
Les mises à jour de sécurité peuvent-elles être appliquées aux instances SQL Server sur Windows Azure (IaaS) ?
Oui. Les instances SQL Server sur Windows Azure (IaaS) peuvent être proposées aux mises à jour de sécurité via Microsoft Update, ou les clients peuvent télécharger les mises à jour de sécurité à partir du Centre de téléchargement Microsoft et les appliquer manuellement.
Cette mise à jour de sécurité contient-elle des modifications non liées à la sécurité apportées aux fonctionnalités ?
Oui. Outre les modifications liées à la sécurité décrites dans la section Détails des vulnérabilités de ce bulletin, la mise à jour de sécurité inclut également quelques correctifs importants non liés à la sécurité. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 3065718.
J’exécute Microsoft SQL Server 2014 Service Pack 1, qui n’est pas répertorié comme logiciel affecté. Pourquoi suis-je proposé une mise à jour ?
Microsoft SQL Server 2014 Service Pack 1 n’est pas affecté par les vulnérabilités décrites dans ce bulletin, mais est soumis à un correctif important non sécurisé publié avec cette mise à jour de sécurité. Par conséquent, les clients exécutant la branche GDR de Microsoft SQL Server 2014 Service Pack 1 sont proposés 3070446 de mise à jour non de sécurité. Pour obtenir une description générale de la mise à jour non liée à la sécurité, consultez l’article de la Base de connaissances Microsoft 3070446. Pour plus d’informations sur le correctif non sécurisé, consultez l’article 3067257 de la Base de connaissances Microsoft.
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de juillet.
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | ||||
|---|---|---|---|---|
| Logiciel affecté | Vulnérabilité d’élévation de privilèges SQL Server - CVE-2015-1761 | Vulnérabilité d’exécution de code à distance SQL Server - CVE-2015-1762 | Vulnérabilité d’exécution de code à distance SQL Server - CVE-2015-1763 | Évaluation de gravité agrégée |
| SQL Server 2008 Service Pack 3 | ||||
| Microsoft SQL Server 2008 pour systèmes 32 bits Service Pack 3 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| Microsoft SQL Server 2008 pour systèmes x64 Service Pack 3 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| Microsoft SQL Server 2008 pour les systèmes Itanium Service Pack 3 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| SQL Server 2008 Service Pack 4 | ||||
| Microsoft SQL Server 2008 pour systèmes 32 bits Service Pack 4 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| Microsoft SQL Server 2008 pour systèmes x64 Service Pack 4 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| SQL Server 2008 R2 Service Pack 2 | ||||
| Microsoft SQL Server 2008 R2 pour systèmes 32 bits Service Pack 2 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| Microsoft SQL Server 2008 R2 pour systèmes x64 Service Pack 2 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| Microsoft SQL Server 2008 R2 pour les systèmes Itanium Service Pack 2 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| SQL Server 2008 R2 Service Pack 3 | ||||
| Microsoft SQL Server 2008 R2 pour systèmes 32 bits Service Pack 3 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| Microsoft SQL Server 2008 R2 pour systèmes x64 Service Pack 3 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| SQL Server 2012 Service Pack 1 | ||||
| Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 1 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| Microsoft SQL Server 2012 pour systèmes x64 Service Pack 1 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| SQL Server 2012 Service Pack 2 | ||||
| Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 2 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| Microsoft SQL Server 2012 pour systèmes x64 Service Pack 2 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| SQL Server 2014 | ||||
| Microsoft SQL Server 2014 pour les systèmes 32 bits | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
| Microsoft SQL Server 2014 pour les systèmes x64 | Élévation de privilège importante | Exécution de code à distance importante | Exécution de code à distance importante | Important |
Informations sur la vulnérabilité
Vulnérabilité d’élévation de privilèges SQL Server - CVE-2015-1761
Une vulnérabilité d’élévation de privilèges existe dans Microsoft SQL Server lorsqu’elle convertit de manière incorrecte des pointeurs vers une classe incorrecte. Un attaquant peut exploiter la vulnérabilité si ses informations d’identification autorisent l’accès à une base de données SQL Server affectée. Un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir des privilèges élevés qui peuvent être utilisés pour afficher, modifier ou supprimer des données ; ou créez des comptes.
La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont SQL Server gère le cast de pointeur.
Microsoft a reçu des informations sur la vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- Nécessite des autorisations pour créer ou modifier un schéma ou des données de base de données
Pour exploiter cette vulnérabilité, un attaquant aurait besoin d’autorisations pour créer ou modifier une base de données.
Solutions de contournement
Les solutions de contournement suivantes peuvent être utiles dans votre situation :
Limiter les autorisations sur le serveur pour la création de bases de données et de schémas
Étant donné que la vulnérabilité est exploitable uniquement dans le contexte d’un schéma de base de données, des données et des requêtes très spécifiques, l’exploitation peut être empêchée en contrôlant strictement qui dispose des autorisations nécessaires pour créer des bases de données et un schéma sur le serveur. Notez que la vulnérabilité est exposée dans des cas de périphérie très spécifiques ; il est extrêmement difficile de définir le schéma et la requête qui exposeraient la vulnérabilité.Conseils supplémentaires : dans l’événement peu probable où SQL Server provoque une erreur de prévention de l’accès/ de l’exécution des données pendant une exécution de requête spécifique, réécrire la requête en le fractionnant en parties et/ou en ajoutant des indicateurs de requête.
Vulnérabilité d’exécution de code à distance SQL Server - CVE-2015-1762
Une vulnérabilité d’exécution de code à distance existe dans Microsoft SQL Server lorsqu’elle gère incorrectement les appels de fonction interne à la mémoire non initialisée. Un attaquant peut exploiter la vulnérabilité si un utilisateur privilégié exécute une requête spécialement conçue sur un serveur SQL affecté qui a des paramètres d’autorisation spéciaux (tels que VIEW SERVER STATE) activés. Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. Un attaquant peut ensuite installer des programmes ; afficher, modifier ou supprimer des données ; ou créez des comptes.
La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont SQL Server gère les appels de fonction interne à la mémoire non initialisée.
Microsoft a reçu des informations sur la vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- Nécessite une configuration spécifique
Pour exploiter cette réplication transactionnelle de vulnérabilité, vous devez activer et l’attaquant doit avoir des paramètres d’autorisation spéciaux (tels que VIEW SERVER STATE) activés.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Vulnérabilité d’exécution de code à distance SQL Server - CVE-2015-1763
Une vulnérabilité d’exécution de code à distance authentifiée existe dans Microsoft SQL Server lorsqu’elle gère incorrectement les appels de fonction interne à la mémoire non initialisée. Un attaquant peut exploiter la vulnérabilité si un utilisateur privilégié exécute une requête spécialement conçue pour exécuter une fonction virtuelle à partir d’une adresse incorrecte, ce qui entraîne un appel de fonction à une mémoire non initialisée. Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. Un attaquant peut ensuite installer des programmes ; afficher, modifier ou supprimer des données ; ou créez des comptes.
La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont SQL Server gère les appels de fonction interne à la mémoire non initialisée.
Microsoft a reçu des informations sur la vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Les solutions de contournement suivantes peuvent être utiles dans votre situation :
Limiter les autorisations sur le serveur pour la création de bases de données et de schémas
Étant donné que la vulnérabilité est exploitable uniquement dans le contexte d’un schéma de base de données, des données et des requêtes très spécifiques, l’exploitation peut être empêchée en contrôlant strictement qui dispose des autorisations nécessaires pour créer des bases de données et un schéma sur le serveur. Notez que la vulnérabilité est exposée dans des cas de périphérie très spécifiques ; il est extrêmement difficile de définir le schéma et la requête qui exposeraient la vulnérabilité.Conseils supplémentaires : dans l’événement peu probable où SQL Server provoque une erreur de prévention de l’accès/ de l’exécution des données pendant une exécution de requête spécifique, réécrire la requête en le fractionnant en parties et/ou en ajoutant des indicateurs de requête.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (14 juillet 2015) : Bulletin publié.
- V1.1 (22 juillet 2015) : Bulletin révisé pour améliorer la section Faq sur les mises à jour pour aider les clients à identifier plus facilement la mise à jour correcte à appliquer en fonction d’une version actuellement installée de SQL Server. Il s’agit d’une modification d’information uniquement. Les clients qui ont déjà installé la mise à jour n’ont pas besoin d’effectuer d’action.
- V1.2 (9 décembre 2015) : Bulletin révisé pour clarifier les instructions relatives à la version du produit dans la section Faq sur la mise à jour en l’alignant sur les conseils fournis dans les versions antérieures. Il s’agit d’une modification d’information uniquement. Les clients qui ont déjà installé la mise à jour n’ont pas besoin d’effectuer d’action.
Page générée 2015-12-09 11 :11Z-08 :00.