Bulletin de sécurité Microsoft MS16-136 - Important
Mise à jour de sécurité pour SQL Server (3199641)
Publication : 8 novembre 2016
Version : 1.0
Résumé
Cette mise à jour de sécurité résout les vulnérabilités dans Microsoft SQL Server. Les vulnérabilités les plus graves peuvent permettre à un attaquant d’obtenir des privilèges élevés qui peuvent être utilisés pour afficher, modifier ou supprimer des données ; ou créez des comptes. La mise à jour de sécurité résout ces vulnérabilités les plus graves en corrigeant la façon dont SQL Server gère le cast des pointeurs.
Cette mise à jour de sécurité est classée Importante pour les éditions prises en charge de Microsoft SQL Server 2012 Service Packs 2 et 3, Microsoft SQL Server 2014 Service Packs 1 et 2 et Microsoft SQL Server 2016. Pour plus d’informations, consultez la section Logiciels affectés.
Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3199641.
Logiciel affecté
Le logiciel suivant a été testé pour déterminer quelles versions ou éditions sont affectées. D’autres versions ou éditions dépassent leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
Logiciel affecté
Faq sur la mise à jour
Il existe des mises à jour GDR et/ou CU (Mise à jour cumulative) proposées pour ma version de SQL Server. Comment faire savoir quelle mise à jour utiliser ?
Tout d’abord, déterminez votre numéro de version SQL Server. Pour plus d’informations sur la détermination de votre numéro de version SQL Server, consultez l’article 321185 de la Base de connaissances Microsoft.
Ensuite, dans le tableau ci-dessous, recherchez votre numéro de version ou la plage de versions dans laquelle votre numéro de version se trouve. La mise à jour correspondante est celle que vous devez installer.
Remarque Si votre numéro de version SQL Server n’est pas représenté dans le tableau ci-dessous, votre version de SQL Server n’est plus prise en charge. Effectuez une mise à niveau vers le produit Service Pack ou SQL Server le plus récent afin d’appliquer ces mises à jour de sécurité futures.
| Numéro de mise à jour | Titre | Appliquer si la version actuelle du produit est... | Cette mise à jour de sécurité inclut également les versions de maintenance jusqu’à... |
|---|---|---|---|
| 3194719 | MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 SP2 GDR : 8 novembre 2016 | 11.0.5058.0 - 11.0.5387.0 | MS15-058 |
| 3194725 | MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 SP2 CU : 8 novembre 2016 | 11.0.5500.0 - 11.0.5675.0 | SQL Server 2012 SP2 CU15 |
| 3194721 | MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 Service Pack 3 GDR : 8 novembre 2016 | 11.0.6020.0 - 11.0.6247.0 | SQL Server 2012 SP3 |
| 3194724 | MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2012 Service Pack 3 CU : 8 novembre 2016 | 11.0.6300.0 - 11.0.6566.0 | SQL Server 2012 SP3 CU6 |
| 3194720 | MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 1 GDR : 8 novembre 2016 | 12.0.4100.0 - 12.0.4231.0 | Mise à jour importante pour SQL Server 2014 SP1 (Ko 3070446) |
| 3194722 | MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 1 CU : 8 novembre 2016 | 12.0.4400.0 - 12.0.4486.0 | SQL Server 2014 SP1 CU9 |
| 3194714 | MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 2 GDR : 8 novembre 2016 | 12.0.5000.0 - 12.0.5202.0 | SQL Server 2014 SP2 |
| 3194718 | MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2014 Service Pack 2 CU : 8 novembre 2016 | 12.0.5400.0 - 12.0.5531.0 | SQL Server 2014 SP2 CU2 |
| 3194716 | MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2016 GDR : 8 novembre 2016 | 13.0.1605.0 - 13.0.1721.0 | Mise à jour critique pour SQL Server 2016 Analysis Services (KB3179258) |
| 3194717 | MS16-136 : Description de la mise à jour de sécurité pour SQL Server 2016 CU : 8 novembre 2016 | 13.0.2100.0 - 13.0.2182.0 | SQL Server 2016 CU3 |
Pour obtenir des instructions d’installation supplémentaires, consultez la sous-section Informations de mise à jour de sécurité de votre édition SQL Server dans la section Informations de mise à jour.
Quelles sont les désignations de mise à jour de GDR et CU et comment diffèrent-elles ?
Les désignations de mise à jour cumulative (GDR) et de mise à jour cumulative (CU) correspondent aux deux branches de maintenance des mises à jour différentes en place pour SQL Server. La principale différence entre les deux est que les branches CU incluent cumulativement toutes les mises à jour d’une base de référence donnée, tandis que les branches GDR incluent uniquement les mises à jour critiques cumulatives pour une base de référence donnée. Une base de référence peut être la version RTM initiale ou un Service Pack.
Pour une base de référence donnée, les mises à jour de la branche GDR ou CU sont des options si vous êtes à la base de référence ou que vous n’avez installé qu’une mise à jour GDR précédente pour cette ligne de base. La branche CU est la seule option si vous avez installé une cu SQL Server précédente pour la base de référence sur laquelle vous êtes activé.
Ces mises à jour de sécurité seront-elles proposées aux clusters SQL Server ?
Oui. Les mises à jour seront également proposées aux instances SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 et SQL Server 2016 RTM qui sont en cluster. Mises à jour pour les clusters SQL Server nécessite une interaction utilisateur.
Si le cluster SQL Server 2012 SP2/SP3, SQL Server 2014 SP1/SP2 et SQL Server 2016 RTM dispose d’un nœud passif, pour réduire les temps d’arrêt, Microsoft vous recommande d’analyser et d’appliquer la mise à jour au nœud inactif, puis de l’appliquer au nœud actif. Lorsque tous les composants ont été mis à jour sur tous les nœuds, la mise à jour ne sera plus proposée.
Les mises à jour de sécurité peuvent-elles être appliquées aux instances SQL Server sur Windows Azure (IaaS) ?
Oui. Les instances SQL Server sur Windows Azure (IaaS) peuvent être proposées aux mises à jour de sécurité via Microsoft Update, ou les clients peuvent télécharger les mises à jour de sécurité à partir du Centre de téléchargement Microsoft et les appliquer manuellement.
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de novembre.
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | ||||||
|---|---|---|---|---|---|---|
| Logiciel affecté | Vulnérabilité EoP du moteur SGBDR SQL - CVE-2016-7249 | Vulnérabilité EoP du moteur SGBDR SQL - CVE-2016-7250 | Vulnérabilité EoP du moteur SGBDR SQL - CVE-2016-7254 | Vulnérabilité XSS de l’API MDS - CVE-2016-7251 | Vulnérabilité de divulgation d’informations SQL Analysis Services - CVE-2016-7252 | Vulnérabilité d’élévation de privilèges de l’agent SQL Server - CVE-2016-7253 |
| SQL Server 2012 Service Pack 2 | ||||||
| Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 2 | Non applicable | Non applicable | Élévation de privilège importante | Non applicable | Non applicable | Élévation de privilège importante |
| Microsoft SQL Server 2012 pour systèmes x64 Service Pack 2 | Non applicable | Non applicable | Élévation de privilège importante | Non applicable | Non applicable | Élévation de privilège importante |
| SQL Server 2012 Service Pack 3 | ||||||
| Microsoft SQL Server 2012 pour systèmes 32 bits Service Pack 3 | Non applicable | Non applicable | Élévation de privilège importante | Non applicable | Non applicable | Élévation de privilège importante |
| Microsoft SQL Server 2012 pour systèmes x64 Service Pack 3 | Non applicable | Non applicable | Élévation de privilège importante | Non applicable | Non applicable | Élévation de privilège importante |
| SQL Server 2014 Service Pack 1 | ||||||
| Microsoft SQL Server 2014 Service Pack 1 pour les systèmes 32 bits | Non applicable | Élévation de privilège importante | Non applicable | Non applicable | Non applicable | Élévation de privilège importante |
| Microsoft SQL Server 2014 Service Pack 1 pour les systèmes x64 | Non applicable | Élévation de privilège importante | Non applicable | Non applicable | Non applicable | Élévation de privilège importante |
| SQL Server 2014 Service Pack 2 | ||||||
| Microsoft SQL Server 2014 Service Pack 2 pour les systèmes 32 bits | Non applicable | Élévation de privilège importante | Non applicable | Non applicable | Non applicable | Élévation de privilège importante |
| Microsoft SQL Server 2014 Service Pack 2 pour les systèmes x64 | Non applicable | Élévation de privilège importante | Non applicable | Non applicable | Non applicable | Élévation de privilège importante |
| SQL Server 2016 | ||||||
| Microsoft SQL Server 2016 pour les systèmes x64 | Élévation de privilège importante | Élévation de privilège importante | Non applicable | Élévation de privilège importante | Important \ Divulgation d’informations | Non applicable |
Informations sur la vulnérabilité
Élévation de privilèges du moteur SGBDR SQL multiple
L’élévation des vulnérabilités de privilèges existe dans Microsoft SQL Server lorsqu’elle gère incorrectement le cast de pointeur. Un attaquant peut exploiter les vulnérabilités si ses informations d’identification autorisent l’accès à une base de données SQL Server affectée. Un attaquant qui a réussi à exploiter les vulnérabilités peut obtenir des privilèges élevés qui peuvent être utilisés pour afficher, modifier ou supprimer des données ; ou créez des comptes.
La mise à jour de sécurité résout les vulnérabilités en corrigeant la façon dont SQL Server gère le cast des pointeurs
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité d’élévation de privilèges du moteur SGBDR SQL | CVE-2016-7249 | Non | Non |
| Vulnérabilité d’élévation de privilèges du moteur SGBDR SQL | CVE-2016-7250 | Non | Non |
| Vulnérabilité d’élévation de privilèges du moteur SGBDR SQL | CVE-2016-7254 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour ces vulnérabilités.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour ces vulnérabilités.
Vulnérabilité XSS de l’API MDS - CVE-2016-7251
Une vulnérabilité d’élévation de privilègeS XSS existe dans SQL Server MDS qui pourrait permettre à un attaquant d’injecter un script côté client dans l’instance d’Internet Explorer de l’utilisateur. La vulnérabilité est due au fait que SQL Server MDS ne valide pas correctement un paramètre de requête sur le site SQL Server. Le script peut usurper du contenu, divulguer des informations ou entreprendre toute action que l’utilisateur peut entreprendre sur le site pour le compte de l’utilisateur ciblé.
La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont SQL Server MDS valide le paramètre de requête.
Le tableau suivant contient un lien vers l’entrée standard pour la vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité XSS de l’API MDS | CVE-2016-7251 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Vulnérabilité de divulgation d’informations SQL Analysis Services - CVE-2016-7252
Une vulnérabilité de divulgation d’informations existe dans Microsoft SQL Analysis Services lorsqu’elle n’case activée pas correctement le chemin FILESTREAM. Un attaquant peut exploiter la vulnérabilité si ses informations d’identification autorisent l’accès à une base de données SQL Server affectée. Un attaquant qui a réussi à exploiter la vulnérabilité peut obtenir des informations supplémentaires sur la base de données et les fichiers.
La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont SQL Server gère le chemin FILESTREAM.
Le tableau suivant contient un lien vers l’entrée standard pour la vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité de divulgation d’informations SQL Analysis Services | CVE-2016-7252 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Vulnérabilité d’élévation de privilèges de l’Agent SQL Server - CVE-2016-7253
Une vulnérabilité d’élévation de privilèges existe dans le moteur Microsoft SQL Server lorsque l’agent SQL Server n’case activée pas correctement les listes de contrôle d’accès sur atxcore.dll. Un attaquant peut exploiter la vulnérabilité si ses informations d’identification autorisent l’accès à une base de données SQL Server affectée. Un attaquant qui a réussi à exploiter la vulnérabilité peut obtenir des privilèges élevés qui peuvent être utilisés pour afficher, modifier ou supprimer des données ; ou créez des comptes.
La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont le moteur SQL Server gère les listes de contrôle d’accès.
Le tableau suivant contient un lien vers l’entrée standard pour la vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité d’élévation de privilèges de l’Agent SQL Server | CVE-2016-7253 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (8 novembre 2016) : Bulletin publié.
Page générée 2016-11-09 08 :02-08 :00.