Bulletin de sécurité Microsoft MS16-136 - Important

Mise à jour de sécurité pour SQL Server (3199641)

Date de publication : 8 novembre 2016

Version : 1.0

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft SQL Server. Les plus graves de ces vulnérabilités pourraient permettre à un attaquant d'obtenir des privilèges élevés qui lui permettraient d'afficher, de modifier ou de supprimer des données, ou encore de créer des comptes. La mise à jour de sécurité corrige les plus graves de ces vulnérabilités en modifiant la manière dont SQL Server gère les conversions de pointeur.

Cette mise à jour de sécurité est de niveau « Important » pour les éditions prises en charge de Microsoft SQL Server 2012 Service Packs 2 et 3, Microsoft SQL Server 2014 Service Packs 1 et 2 et Microsoft SQL Server 2016. Pour plus d'informations, consultez la section Logiciels concernés.

Pour plus d'informations sur les vulnérabilités, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur cette mise à jour, consultez l'article 3199641 de la Base de connaissances Microsoft.

Microsoft a testé les logiciels suivants afin de déterminer quelles versions ou éditions sont concernées. Toute autre version ou édition a atteint la fin de son cycle de vie ou n'est pas affectée. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Logiciels concernés 

Mises à jour logicielles « General Distribution Release » - GDR

Mises à jour logicielles cumulatives

Impact de sécurité maximal

Indice de gravité cumulée

SQL Server 2012 Service Pack 2

Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 2
(3194719)

Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 2
(3194725)

Élévation de privilèges

Important

Microsoft SQL Server 2012 pour systèmes x64 Service Pack 2
(3194719)

Microsoft SQL Server 2012 pour systèmes x64 Service Pack 2
(3194725)

Élévation de privilèges

Important

SQL Server 2012 Service Pack 3

Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 3
(3194721)

Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 3
(3194724)

Élévation de privilèges

Important

Microsoft SQL Server 2012 pour systèmes x64 Service Pack 3
(3194721)

Microsoft SQL Server 2012 pour systèmes x64 Service Pack 3
(3194724)

Élévation de privilèges

Important

SQL Server 2014 Service Pack 1

Microsoft SQL Server 2014 Service Pack 1 pour systèmes 32 bits
(3194720)

Microsoft SQL Server 2014 Service Pack 1 pour systèmes 32 bits
(3194722)

Élévation de privilèges

Important

Microsoft SQL Server 2014 Service Pack 1 pour systèmes x64
(3194720)

Microsoft SQL Server 2014 Service Pack 1 pour systèmes x64
(3194722)

Élévation de privilèges

Important

SQL Server 2014 Service Pack 2

Microsoft SQL Server 2014 Service Pack 2 pour systèmes 32 bits
(3194714)

Microsoft SQL Server 2014 Service Pack 2 pour systèmes 32 bits
(3194718)

Élévation de privilèges

Important

Microsoft SQL Server 2014 Service Pack 2 pour systèmes x64
(3194714)

Microsoft SQL Server 2014 Service Pack 2 pour systèmes x64
(3194718)

Élévation de privilèges

Important

SQL Server 2016

Microsoft SQL Server 2016 pour systèmes x64
(3194716)

Microsoft SQL Server 2016 pour systèmes x64
(3194717)

Élévation de privilèges

Important

Des mises à jour GDR (General Distribution Release) et/ou CU (Cumulative Update) sont proposées pour ma version de SQL Server. Comment puis-je savoir quelle mise à jour utiliser ? 
Tout d'abord, déterminez votre numéro de version de SQL Server. Pour plus d'informations sur la manière de déterminer votre numéro de version de SQL Server, consultez l'article 321185 de la Base de connaissances Microsoft.

Ensuite, dans le tableau ci-dessous, recherchez votre numéro de version ou la plage de versions dans laquelle votre numéro de version se trouve. La mise à jour correspondante est celle que vous devez installer.

Remarque Si votre numéro de version de SQL Server ne figure pas dans le tableau ci-dessous, votre version de SQL Server n'est plus prise en charge. Mettez à niveau vers le Service Pack ou produit SQL Server le plus récent pour appliquer cette mise à jour et les mises à jour de sécurité futures.

Numéro de la mise à jour

Titre

Appliquer si la version actuelle du produit est...

Cette mise à jour de sécurité contient également les versions de maintenance jusqu'à...

3194719

MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 SP2 GDR datée du 8 novembre 2016

11.0.5058.0 - 11.0.5387.0

MS15-058

3194725

MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 SP2 CU datée du 8 novembre 2016

11.0.5500.0 - 11.0.5675.0

SQL Server 2012 SP2 CU15

3194721

MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 Service Pack 3 GDR datée du 8 novembre 2016

11.0.6020.0 - 11.0.6247.0

SQL Server 2012 SP3

3194724

MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 Service Pack 3 CU datée du 8 novembre 2016

11.0.6300.0 - 11.0.6566.0

SQL Server 2012 SP3 CU6

3194720

MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 1 GDR datée du 8 novembre 2016

12.0.4100.0 - 12.0.4231.0

Mise à jour importante pour SQL Server 2014 SP1 (KB3070446)

3194722

MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 1 CU datée du 8 novembre 2016

12.0.4400.0 - 12.0.4486.0

SQL Server 2014 SP1 CU9

3194714

MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 2 GDR datée du 8 novembre 2016

12.0.5000.0 - 12.0.5202.0

SQL Server 2014 SP2

3194718

MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 2 CU datée du 8 novembre 2016

12.0.5400.0 - 12.0.5531.0

SQL Server 2014 SP2 CU2

3194716

MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2016 GDR datée du 8 novembre 2016

13.0.1605.0 - 13.0.1721.0

Mise à jour critique pour SQL Server 2016 Analysis Services (KB3179258)

3194717

MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2016 CU datée du 8 novembre 2016

13.0.2100.0 - 13.0.2182.0

SQL Server 2016 CU3


Pour obtenir des instructions d'installation supplémentaires, consultez la sous-section « Informations sur la mise à jour de sécurité » pour votre édition de SQL Server dans la section Informations sur la mise à jour.

Que sont les désignations de mise à jour GDR et CU, et en quoi diffèrent-elles ? 
Les désignations GDR (General Distribution Release, correctif logiciel grand public) et CU (Cumulative Update, mise à jour cumulative) correspondent aux deux dossiers de mise à jour mis en place pour SQL Server. La principale différence entre ces deux désignations est que les dossiers CU cumulent toutes les mises à jour pour une base donnée, tandis que les dossiers GDR contiennent uniquement les mises à jour critiques cumulatives pour une base donnée. Une base peut être la version RTM initiale ou un Service Pack.

Pour une base donnée, les mises à jour des dossiers GDR ou CU sont facultatives si vous êtes sur la base ou si vous avez installé uniquement une mise à jour GDR précédente pour cette base. Le dossier CU est la seule option possible si vous avez installé une mise à jour CU précédente de SQL Server pour la base actuelle.

Ces mises à jour de sécurité seront-elles proposées aux clusters SQL Server ? 
Oui. Ces mises à jour seront également proposées aux instances de SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 et SQL Server 2016 RTM en clusters. Les mises à jour pour les clusters SQL Server nécessiteront une action de l'utilisateur.

Si le cluster SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 ou SQL Server 2016 RTM possède un nœud passif, afin de réduire les temps morts, Microsoft recommande que vous analysiez et appliquiez d'abord la mise à jour sur le nœud passif, puis l'analysiez et l'appliquiez sur le nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée.

Les mises à jour de sécurité peuvent-elles être appliquées aux instances de SQL Server sur Microsoft Azure (IaaS) ? 
Oui. Les instances de SQL Server sur Microsoft Azure (IaaS) peuvent obtenir les mises à jour de sécurité via Microsoft Update ou les clients peuvent télécharger les mises à jour de sécurité depuis le Centre de téléchargement Microsoft et les appliquer manuellement.

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de novembre.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité EoP dans le moteur SQL RDBMS - CVE-2016-7249

Vulnérabilité EoP dans le moteur SQL RDBMS - CVE-2016-7250

Vulnérabilité EoP dans le moteur SQL RDBMS - CVE-2016-7254

Vulnérabilité de script inter-sites (XSS) dans l'API MDS - CVE-2016-7251

Vulnérabilité de divulgation d'informations dans SQL Analysis Services - CVE-2016-7252

Vulnérabilité d'élévation de privilèges dans SQL Server Agent - CVE-2016-7253

SQL Server 2012 Service Pack 2

Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 2

Non applicable

Non applicable

Important 
Élévation de privilèges

Non applicable

Non applicable

Important 
Élévation de privilèges

Microsoft SQL Server 2012 pour systèmes x64 Service Pack 2

Non applicable

Non applicable

Important 
Élévation de privilèges

Non applicable

Non applicable

Important 
Élévation de privilèges

SQL Server 2012 Service Pack 3

Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 3

Non applicable

Non applicable

Important 
Élévation de privilèges

Non applicable

Non applicable

Important 
Élévation de privilèges

Microsoft SQL Server 2012 pour systèmes x64 Service Pack 3

Non applicable

Non applicable

Important 
Élévation de privilèges

Non applicable

Non applicable

Important 
Élévation de privilèges

SQL Server 2014 Service Pack 1

Microsoft SQL Server 2014 Service Pack 1 pour systèmes 32 bits

Non applicable

Important 
Élévation de privilèges

Non applicable

Non applicable

Non applicable

Important 
Élévation de privilèges

Microsoft SQL Server 2014 Service Pack 1 pour systèmes x64

Non applicable

Important 
Élévation de privilèges

Non applicable

Non applicable

Non applicable

Important 
Élévation de privilèges

SQL Server 2014 Service Pack 2

Microsoft SQL Server 2014 Service Pack 2 pour systèmes 32 bits

Non applicable

Important 
Élévation de privilèges

Non applicable

Non applicable

Non applicable

Important 
Élévation de privilèges

Microsoft SQL Server 2014 Service Pack 2 pour systèmes x64

Non applicable

Important 
Élévation de privilèges

Non applicable

Non applicable

Non applicable

Important 
Élévation de privilèges

SQL Server 2016

Microsoft SQL Server 2016 pour systèmes x64

Important 
Élévation de privilèges

Important 
Élévation de privilèges

Non applicable

Important 
Élévation de privilèges

Important
Divulgation d'informations

Non applicable

Vulnérabilités d'élévation de privilèges dans le moteur SQL RDBMS

Il existe des vulnérabilités d'élévation de privilèges dans Microsoft SQL Server lorsque celui-ci gère de manière incorrecte les conversions de pointeur. Un attaquant pourrait exploiter ces vulnérabilités si ses informations d'identification l'autorisaient à accéder à une base de données SQL Server concernée. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir des privilèges élevés qui lui permettraient d'afficher, de modifier ou de supprimer des données, ou encore de créer des comptes.

La mise à jour de sécurité corrige ces vulnérabilités en modifiant la manière dont SQL Server gère les conversions de pointeur.

La description doit être mise au pluriel pour le Bulletin.

Le tableau suivant contient des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité d'élévation de privilèges dans le moteur SQL RDBMS

CVE-2016-7249

Non

Non

Vulnérabilité d'élévation de privilèges dans le moteur SQL RDBMS

CVE-2016-7250

Non

Non

Vulnérabilité d'élévation de privilèges dans le moteur SQL RDBMS

CVE-2016-7254

Non

Non


Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour ces vulnérabilités.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour ces vulnérabilités.

Vulnérabilité de script inter-sites (XSS) dans l'API MDS - CVE-2016-7251

Il existe une vulnérabilité d'élévation de privilèges pour XSS dans SQL Server MDS qui pourrait permettre à un attaquant d'injecter un script côté client dans l'instance d'Internet Explorer de l'utilisateur. Cette vulnérabilité est présente lorsque SQL Server MDS ne valide pas correctement un paramètre de requête sur le site SQL Server. Le script pourrait usurper du contenu, divulguer des informations ou entreprendre toute action autorisée pour cet utilisateur sur le site au nom de l'utilisateur ciblé.

La mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont SQL Server MDS valide le paramètre de requête.

Le tableau suivant contient un lien vers l'entrée standard correspondant à la vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité d'élévation de privilèges dans le moteur SQL RDBMS

CVE-2016-7251

Non

Non


Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour ces vulnérabilités.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Vulnérabilité de divulgation d'informations dans SQL Analysis Services - CVE-2016-7252

Il existe une vulnérabilité de divulgation d'informations dans Microsoft SQL Analysis Services lorsque celui-ci vérifie de manière incorrecte un chemin d'accès FILESTREAM. Un attaquant pourrait exploiter cette vulnérabilité si ses informations d'identification l'autorisaient à accéder à une base de données SQL Server concernée. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait accéder à des informations supplémentaires sur la base de données et les fichiers.

La mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont SQL Server gère le chemin d'accès FILESTREAM.

Le tableau suivant contient un lien vers l'entrée standard correspondant à la vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité de divulgation d'informations dans SQL Analysis Services

CVE-2016-7252

Non

Non


Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Vulnérabilité d'élévation de privilèges dans SQL Server Agent - CVE-2016-7253

Il existe une vulnérabilité d'élévation de privilèges dans le moteur Microsoft SQL Server lorsque SQL Server Agent vérifie de manière incorrecte les ACL dans atxcore.dll. Un attaquant pourrait exploiter cette vulnérabilité si ses informations d'identification l'autorisaient à accéder à une base de données SQL Server concernée. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges élevés qui lui permettraient d'afficher, de modifier ou de supprimer des données, ou encore de créer des comptes.

La mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont le moteur SQL Server gère les ACL.

Le tableau suivant contient un lien vers l'entrée standard correspondant à la vulnérabilité dans la liste de CVE (Common Vulnerabilities and Exposures) :

Titre de la vulnérabilité

Numéro CVE

Révélée publiquement

Exploitée

Vulnérabilité d'élévation de privilèges dans SQL Server Agent

CVE-2016-7253

Non

Non


Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation des responsabilités pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

  • V1.0 (8 novembre 2016) : Bulletin publié.

Page générée le 07/11/2016 10:06Z-08:00.
Afficher: