Esporta (0) Stampa
Espandi tutto

Bollettino Microsoft sulla sicurezza MS14-044 - Importante

Alcune vulnerabilità in SQL Server possono consentire l'acquisizione di privilegi più elevati (2984340)

Data di pubblicazione: 12 agosto 2014 | Ultimo aggiornamento: 13 agosto 2014

Versione: 1.1

Informazioni generali

Riepilogo

Questo aggiornamento per la protezione risolve due vulnerabilità segnalate privatamente in Microsoft SQL Server (una in SQL Server Master Data Services e l'altra nel sistema di gestione del database relazionale SQL Server). La più grave di queste vulnerabilità, che interessa SQL Server Master Data Services, può consentire l'acquisizione di privilegi più elevati se un utente visita un sito Web appositamente predisposto che inserisce uno script sul lato client nell'istanza di Internet Explorer dell'utente. In nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. L'utente malintenzionato deve invece convincere gli utenti a compiere un'azione, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger che li reindirizza al sito Web dell'utente malintenzionato oppure ad aprire un allegato inviato mediante un messaggio di posta elettronica.

Questo aggiornamento per la protezione è considerato di livello importante per le edizioni supportate di Microsoft SQL Server 2008 Service Pack 3, Microsoft SQL Server 2008 R2 Service Pack 2 e Microsoft SQL Server 2012 Service Pack 1; è anche considerato di livello importante per Microsoft SQL Server 2014 per sistemi x64. Per ulteriori informazioni, vedere la sezione Software interessato e Software non interessato.

L'aggiornamento per la protezione risolve le vulnerabilità correggendo il modo in cui SQL Master Data Services (MDS) codifica l'output e come SQL Server gestisce le query T-SQL. Per ulteriori informazioni sulle vulnerabilità, cercare la voce relativa alla vulnerabilità specifica nella sottosezione Domande frequenti più avanti in questo bollettino.

Raccomandazione. Se la funzionalità Aggiornamenti automatici è abilitata, gli utenti non devono intraprendere alcuna azione, poiché questo aggiornamento per la protezione viene scaricato e installato automaticamente. Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871. Per i clienti che non hanno attivato gli aggiornamenti automatici, utilizzare i passaggi in Attiva o disattiva l'aggiornamento automatico per attivare gli aggiornamenti automatici. Nota: In alcuni casi, i clienti che utilizzano Microsoft SQL Server Master Data Service (MDS) potrebbero non essere in grado di ricevere questo aggiornamento tramite l'aggiornamento automatico. Vedere le voci sui problemi noti nell'articolo della Microsoft Knowledge Base 2969894 per ulteriori informazioni e per soluzioni alternative.

Per gli amministratori e le installazioni delle organizzazioni o gli utenti finali che desiderano installare questo aggiornamento per la protezione manualmente (inclusi i clienti che non hanno attivato la funzionalità di aggiornamento automatico), Microsoft consiglia di applicare prima possibile l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità di aggiornamenti tramite il servizio Microsoft Update. Gli aggiornamenti sono disponibili anche tramite i collegamenti di download nella tabella Software interessato più avanti nel presente bollettino.

Vedere anche la sezione, Strumenti e informazioni sul rilevamento e sulla distribuzione, riportata di seguito nel presente bollettino.

Articolo della Microsoft Knowledge Base

  • Articoli della Knowledge Base: 2984340, 2977315
  • Informazioni sui file: Sì
  • Hash SHA1/SHA2: Sì
  • Problemi noti: Sì

 

Il seguente software è stato sottoposto a test per determinare quali versioni o edizioni siano interessate. Le altre versioni o edizioni non sono interessate dalla vulnerabilità o sono al termine del ciclo di vita del supporto. Per informazioni sulla disponibilità del supporto per la versione o l'edizione del software in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Software interessato 

Aggiornamenti software GDR

Aggiornamenti software QFE

Livello massimo di impatto sulla protezione

Livello di gravità aggregato

Aggiornamenti sostituiti

SQL Server 2008

Microsoft SQL Server 2008 per sistemi a 32 bit Service Pack 3
(2977321)

Microsoft SQL Server 2008 per sistemi a 32 bit Service Pack 3
(2977322)

Denial of Service

Importante

GDR: 2977321 sostituisce 2716436 in MS12-070

QFE: 2977322 sostituisce 2716435 in MS12-070

Microsoft SQL Server 2008 per sistemi x64 Service Pack 3
(2977321)

Microsoft SQL Server 2008 per sistemi x64 Service Pack 3
(2977322)

Denial of Service

Importante

GDR: 2977321 sostituisce 2716436 in MS12-070

QFE: 2977322 sostituisce 2716435 in MS12-070

Microsoft SQL Server 2008 per sistemi Itanium Service Pack 3
(2977321)

Microsoft SQL Server 2008 per sistemi Itanium Service Pack 3
(2977322)

Denial of Service

Importante

GDR: 2977321 sostituisce 2716436 in MS12-070

QFE: 2977322 sostituisce 2716435 in MS12-070

SQL Server 2008 R2

Microsoft SQL Server 2008 R2 per sistemi a 32 bit Service Pack 2
(2977320)

Microsoft SQL Server 2008 R2 per sistemi a 32 bit Service Pack 2
(2977319)

Denial of Service

Importante

Nessuno

Microsoft SQL Server 2008 R2 per sistemi x64 Service Pack 2
(2977320)

Microsoft SQL Server 2008 R2 per sistemi x64 Service Pack 2
(2977319)

Denial of Service

Importante

Nessuno

Microsoft SQL Server 2008 R2 per sistemi Itanium Service Pack 2
(2977320)

Microsoft SQL Server 2008 R2 per sistemi Itanium Service Pack 2
(2977319)

Denial of Service

Importante

Nessuno

SQL Server 2012

Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 1
(2977326)

Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 1
(2977325)

Denial of Service

Importante

Nessuno

Microsoft SQL Server 2012 per sistemi x64 Service Pack 1
(2977326)

Microsoft SQL Server 2012 per sistemi x64 Service Pack 1
(2977325)

Acquisizione di privilegi più elevati

Importante

Nessuno

SQL Server 2014

Microsoft SQL Server 2014 per sistemi x64
(2977315)

Microsoft SQL Server 2014 per sistemi x64
(2977316)

Acquisizione di privilegi più elevati

Importante

Nessuno

 

Software non interessato

Sistema operativo

Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 4

Microsoft SQL Server 2005 Express Edition Service Pack 4

Microsoft SQL Server 2005 per sistemi a 32 bit Service Pack 4

Microsoft SQL Server 2005 per sistemi x64 Service Pack 4

Microsoft SQL Server 2005 per sistemi Itanium Service Pack 4

Microsoft SQL Server Management Studio Express (SSMSE) 2005

Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 2

Microsoft SQL Server 2012 per sistemi x64 Service Pack 2

Microsoft SQL Server 2014 per sistemi a 32 bit

Microsoft Data Engine (MSDE) 1.0

Microsoft Data Engine (MSDE) 1.0 Service Pack 4

Microsoft Data Engine 1.0

 

Per la versione in uso di SQL Server è disponibile un aggiornamento GDR e/o un aggiornamento QFE. Come posso sapere quale aggiornamento è adatto per il mio sistema? 
In primo luogo è necessario accertare il numero della versione di SQL Server in uso. Per ulteriori informazioni su come determinare il numero della versione di SQL Server in uso, vedere l'articolo della Microsoft Knowledge Base 321185.

In secondo luogo è necessario individuare nella tabella sottostante l'intervallo che prevede il numero della versione di SQL Server in uso. L'aggiornamento associato a tale intervallo è quello che si deve installare.

Nota Se il numero della versione di SQL Server in uso non rientra in alcuno degli intervalli previsti dalla tabella sottostante, significa che la versione di SQL Server in uso non è più supportata. Per poter applicare questo aggiornamento per la protezione e quelli futuri, è necessario aggiornare il sistema in uso con il service pack o il prodotto SQL più recenti.

Per SQL Server 2008:

Intervallo delle versioni di SQL Server

10.00.5500-10.00.5512

10.00.5750-10.00.5867

Aggiornamento di SQL Server

SQL Server 2008 Service Pack 3 GDR
(2977321)

SQL Server 2008 Service Pack 3 QFE
(2977322)


Per SQL Server 2008 R2:

Intervallo delle versioni di SQL Server

10. 50.4000-10.50.4017

10.50.4251-10.50.4319

Aggiornamento di SQL Server

SQL Server 2008 R2 Service Pack 2 GDR
(2977320)

SQL Server 2008 R2 Service Pack 2 QFE
(2977319)


Per SQL Server 2012:

Intervallo delle versioni di SQL Server

11.0.3000-11.0.3129

11.0.3300-11.0.3447

Aggiornamento di SQL Server

SQL Server 2012 Service Pack 1 GDR
(2977326)

SQL Server 2012 Service Pack 1 QFE
(2977325)


Per SQL Server 2014:

12.0.2000 e versioni successive

12.0.2000.8 e versioni successive

12.0.2300-12.0.2370

Aggiornamento di SQL Server

SQL Server 2014 GDR
(2977315)

SQL Server 2014 QFE
(2977316)


Per ulteriori informazioni sull'installazione, vedere la sottosezione Informazioni sull'aggiornamento per la protezione per la edizione di SQL Server in uso, nella sezione Informazioni sull'aggiornamento.

Questi aggiornamenti per la protezione vengono offerti ai cluster di SQL Server? 
Sì. Gli aggiornamenti vengono offerti anche alle istanze di SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 e SQL Server 2014 che sono inserite in un cluster. Gli aggiornamenti per i cluster di SQL Server richiedono l'interazione dell'utente.

Se il cluster di SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 o SQL Server 2014 ha un nodo passivo, per ridurre i tempi di inattività, Microsoft consiglia di eseguire la scansione dell'aggiornamento e applicarlo prima al nodo disattivo, dopodiché eseguirne la scansione e applicarlo al nodo passivo. Quando tutti i componenti sono stati aggiornati su tutti i nodi, l'aggiornamento non viene più offerto.

Gli aggiornamenti per la protezione possono essere applicati alle istanze di SQL Server in Windows Azure (IaaS)? 
Sì. Questi aggiornamenti per la protezione possono essere offerti alle istanze di SQL Server in Windows Azure (IaaS) tramite Microsoft Update, oppure i clienti possono scaricare gli aggiornamenti per la protezione nell'Area download Microsoft e applicarli manualmente.

Se si utilizza una versione precedente del software discusso nel presente bollettino, come bisogna comportarsi? 
I prodotti software elencati in questo bollettino sono stati sottoposti a test per determinare quali versioni sono interessate dalla vulnerabilità. Le altre versioni sono al termine del ciclo di vita del supporto. Per ulteriori informazioni sul ciclo di vita dei prodotti, visitare il sito Web Ciclo di vita del supporto Microsoft.

Per evitare di esporre i propri sistemi a potenziali vulnerabilità, si raccomanda ai clienti che utilizzano versioni precedenti del software di eseguire quanto prima la migrazione a versioni supportate. Per informazioni sulla disponibilità del supporto per la versione del software in uso, vedere Selezionare un prodotto per informazioni sul ciclo di vita. Per ulteriori informazioni sui service pack relativi a queste versioni del software, vedere Criteri relativi al ciclo di vita del supporto per i service pack.

I clienti che hanno ancora la necessità di servizi di supporto per versioni precedenti del software sono invitati a contattare il loro rappresentante del team Microsoft, il responsabile tecnico dei rapporti con i clienti oppure il rappresentante del partner Microsoft appropriato per informazioni sui servizi di supporto personalizzati. I clienti che non dispongono di un contratto Alliance, Premier o Authorized possono contattare le filiali Microsoft locali. Per informazioni sui contatti, visitare il sito Web Microsoft Worldwide Information, selezionare il Paese desiderato dall'elenco Informazioni sui contatti e fare clic su Go per visualizzare un elenco di numeri telefonici. Quando si effettua la chiamata, richiedere di parlare con il responsabile locale delle vendite per i servizi di supporto Premier. Per ulteriori informazioni, vedere le Domande frequenti sui criteri di ciclo di vita del supporto Microsoft.

I seguenti livelli di gravità presuppongono il livello massimo di impatto potenziale della vulnerabilità. Per informazioni relative al rischio, entro 30 giorni dalla pubblicazione del presente bollettino sulla sicurezza, di sfruttamento della vulnerabilità in relazione al livello di gravità e all'impatto sulla protezione, vedere l'Exploitability Index nel riepilogo dei bollettini di agosto. Per ulteriori informazioni, vedere Microsoft Exploitability Index.

Livelli di gravità delle vulnerabilità e livello massimo di impatto sulla protezione per il software interessato

Software interessato

Vulnerabilità XSS di SQL Master Data Services - CVE-2014-1820

Vulnerabilità legata al sovraccarico dello stack in Microsoft SQL Server - CVE-2014-4061

Livello di gravità aggregato

SQL Server 2008

Microsoft SQL Server 2008 per sistemi a 32 bit Service Pack 3

Non applicabile

Importante 
Denial of Service

Importante

Microsoft SQL Server 2008 per sistemi x64 Service Pack 3

Non applicabile

Importante 
Denial of Service

Importante

Microsoft SQL Server 2008 per sistemi Itanium Service Pack 3

Non applicabile

Importante 
Denial of Service

Importante

SQL Server 2008 R2

Microsoft SQL Server 2008 R2 per sistemi a 32 bit Service Pack 2

Non applicabile

Importante 
Denial of Service

Importante

Microsoft SQL Server 2008 R2 per sistemi x64 Service Pack 2

Non applicabile

Importante 
Denial of Service

Importante

Microsoft SQL Server 2008 R2 per sistemi Itanium Service Pack 2

Non applicabile

Importante 
Denial of Service

Importante

SQL Server 2012

Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 1

Non applicabile

Importante 
Denial of Service

Importante

Microsoft SQL Server 2012 per sistemi x64 Service Pack 1

Importante 
Acquisizione di privilegi più elevati

Importante 
Denial of Service

Importante

SQL Server 2014

Microsoft SQL Server 2014 per sistemi x64

Importante 
Acquisizione di privilegi più elevati

Non applicabile

Importante

 

È stata riscontrata una vulnerabilità XSS in SQL Master Data Services (MDS), che può consentire a un utente malintenzionato di inserire uno script sul lato client nell'istanza di Internet Explorer dell'utente. Lo script potrebbe consentire l'accesso ai contenuti e alle informazioni personali, nonché lo svolgimento di qualsiasi azione consentita all'utente nel sito, a nome dell'utente designato.

Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2014-1820.

Fattori attenuanti

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

  • In uno scenario di attacco dal Web, un utente malintenzionato può pubblicare un sito Web appositamente predisposto per sfruttare tali vulnerabilità tramite Internet Explorer e convincere un utente a visualizzarlo. L'utente malintenzionato può inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare queste vulnerabilità. Tuttavia, in nessuno di questi casi un utente malintenzionato può obbligare gli utenti a visualizzare il contenuto controllato dall'utente malintenzionato. L'utente malintenzionato deve invece convincere gli utenti a compiere un'azione, in genere inducendoli a fare clic su un collegamento contenuto in un messaggio di posta elettronica o in un messaggio di Instant Messenger che li reindirizza al sito Web dell'utente malintenzionato oppure ad aprire un allegato inviato mediante un messaggio di posta elettronica.
  • Il filtro XSS in Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 previene questo attacco per gli utenti quando esplorano siti Web nell'area Internet. Tenere presente che il filtro XSS in Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 è attivato per impostazione predefinita nell'area Internet, ma non è attivato per impostazione predefinita nell'area Intranet.

Soluzioni alternative

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

Attivare il filtro XSS di Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 per l'area Intranet

La modifica delle impostazioni in modo che il filtro XSS venga attivato nell'area di protezione Intranet locale assicura la protezione del computer da questa vulnerabilità. (Il filtro XSS è attivato per impostazione predefinita nell'area di protezione Internet). A tale scopo, utilizzare la seguente procedura:

  1. In Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 o Internet Explorer 11, fare clic su Opzioni Internet nel menu Strumenti.
  2. Fare clic sulla scheda Protezione.
  3. Selezionare Intranet locale, quindi fare clic su Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Abilita filtro XSS, fare clic su Attiva, quindi su OK.
  5. Fare due volte clic su OK per tornare a Internet Explorer.

Impatto della soluzione alternativa. I siti interni non contrassegnati in precedenza come rischi XSS possono essere contrassegnati.

Come annullare il risultato della soluzione alternativa.

Per annullare questa soluzione alternativa, eseguire i passaggi seguenti.

  1. In Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 o Internet Explorer 11, fare clic su Opzioni Internet nel menu Strumenti.
  2. Fare clic sulla scheda Protezione.
  3. Selezionare Intranet locale, quindi fare clic su Livello personalizzato.
  4. Nella sezione Esecuzione script dell'elenco Impostazioni, selezionare Abilita filtro XSS, fare clic su Disattiva, quindi su OK.
  5. Fare due volte clic su OK per tornare a Internet Explorer.

Domande frequenti

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità associata all'acquisizione di privilegi più elevati.

Quali sono le cause di questa vulnerabilità? 
La vulnerabilità è causata quando SQL Master Data Services (MDS) non codifica correttamente l'output.

Che cos'è il cross-site scripting (XSS)? 
Il cross-site scripting (XSS) è una classe di vulnerabilità a livello di sicurezza che può consentire a un utente malintenzionato di inserire script nella risposta a una richiesta di pagina Web. Questo script è quindi eseguito dall'applicazione che ha inoltrato la richiesta, spesso un browser Web. Lo script potrebbe consentire l'accesso a contenuti riservati e alle informazioni personali, nonché lo svolgimento di qualsiasi azione consentita all'utente nel sito Web interessato, a nome dell'utente designato.

Che cos'è SQL Master Data Services (MDS)?
Master Data Services (MDS) è la soluzione SQL Server per la gestione dei dati master. L'espressione "gestione dei dati master" (MDM, Master Data Management) indica gli sforzi compiuti da un'organizzazione al fine di scoprire e definire gli elenchi di dati non transazionali, con l'obiettivo di compilare elenchi master gestibili. 

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe inserire uno script sul lato client nell'istanza di Internet Explorer dell'utente. Lo script potrebbe consentire l'accesso ai contenuti e alle informazioni personali, nonché lo svolgimento di qualsiasi azione consentita all'utente nel sito, a nome dell'utente designato.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inviando un collegamento appositamente predisposto all'utente e convincendolo a fare clic sul collegamento. Un utente malintenzionato può anche pubblicare un sito Web contenente una pagina Web progettata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità.

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
I server che eseguono edizioni interessate di Microsoft SQL Server sono principalmente a rischio. I sistemi SQL Server su cui non è installato SQL Master Data Services non sono a rischio e non riceveranno l'aggiornamento.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui SQL Master Data Services (MDS) codifica l'output.

Al momento del rilascio di questo bollettino, le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino, erano già stati segnalati a Microsoft attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

È presente una vulnerabilità ad attacchi di tipo Denial of Service in SQL Server. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe impedire al server di rispondere alle richieste finché non viene eseguito un riavvio manuale

Per visualizzare questa vulnerabilità come voce standard nell'elenco CVE, vedere il codice CVE-2014-4061.

Fattori attenuanti

Microsoft non ha individuato alcun fattore attenuante per questa vulnerabilità.

Soluzioni alternative

Microsoft non ha individuato alcuna soluzione alternativa per questa vulnerabilità.

Domande frequenti

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità ad attacchi di tipo Denial of Service.

Quali sono le cause di questa vulnerabilità? 
La vulnerabilità è causata quando SQL Server elabora una query T-SQL non formattata correttamente.

Che cos'è T-SQL?
Transact-SQL (T-SQL) è un linguaggio che viene utilizzato per interrogare il motore di database di SQL Server. Per ulteriori informazioni, vedere Panoramica di Transact-SQL.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Un utente malintenzionato può sfruttare la vulnerabilità impedendo la risposta del sistema di destinazione. È necessario un riavvio manuale per ripristinare il corretto funzionamento.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Un utente malintenzionato locale può sfruttare questa vulnerabilità creando un'istruzione T-SQL appositamente predisposta, che provoca l'arresto di Microsoft SQL Server.

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
Le workstation e i server con Microsoft SQL Server in esecuzione sono a rischio.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui Microsoft SQL Server gestisce le query T-SQL.

Al momento del rilascio di questo bollettino, le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino, erano già stati segnalati a Microsoft attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Sono disponibili diverse risorse per aiutare gli amministratori a distribuire gli aggiornamenti per la protezione. 

  • Microsoft Baseline Security Analyzer (MBSA) consente di eseguire la scansione di sistemi locali e remoti, al fine di rilevare eventuali aggiornamenti di protezione mancanti, nonché i più comuni errori di configurazione della protezione. 
  • Windows Server Update Services (WSUS), Systems Management Server (SMS) e System Center Configuration Manager (SCCM) aiutano gli amministratori a distribuire gli aggiornamenti per la protezione. 
  • I componenti del programma Update Compatibility Evaluator compresi nell'Application Compatibility Toolkit sono utili per semplificare la verifica e la convalida degli aggiornamenti di Windows per le applicazioni installate. 

Per informazioni su questi e altri strumenti disponibili, vedere Strumenti per la sicurezza

SQL Server 2008

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software.

Nomi dei file dell'aggiornamento per la protezione

Per l'aggiornamento GDR di SQL Server 2008 per sistemi a 32 bit Service Pack 3:
SQLServer2008-KB2977321-x86.exe


Per l'aggiornamento GDR di SQL Server 2008 per sistemi x64 Service Pack 3:
SQLServer2008-KB2977321-x64.exe


Per l'aggiornamento GDR di SQL Server 2008 per sistemi Itanium Service Pack 3:
SQLServer2008-KB2977321-IA64.exe


Per l'aggiornamento QFE di SQL Server 2008 per sistemi a 32 bit Service Pack 3:
SQLServer2008-KB2977322-x86.exe


Per l'aggiornamento QFE di SQL Server 2008 per sistemi x64 Service Pack 3:
SQLServer2008-KB2977322-x64.exe


Per l'aggiornamento QFE di SQL Server 2008 per sistemi Itanium Service Pack 3:
SQLServer2008-KB2977322-IA64.exe

Opzioni del programma di installazione

Consultare l'articolo della Microsoft Knowledge Base 934307

Aggiornamento del file di registro

%programfiles%\Microsoft SQL Server\100\Setup Bootstrap\LOG\<TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt

Istruzioni specifiche

L'aggiornamento viene offerto anche alle istanze di SQL Server 2008 che sono inserite in un cluster.

Se il cluster di SQL Server 2008 presenta un nodo passivo, Microsoft consiglia in primo luogo di eseguire la scansione e applicare l'aggiornamento al nodo attivo, quindi di eseguire la scansione e applicare l'aggiornamento al nodo passivo. Quando tutti i componenti sono stati aggiornati nel nodo passivo, l'aggiornamento non viene più offerto.

Necessità di riavvio

È necessario riavviare l'istanza di SQL Server.
Se è necessario un riavvio del sistema, il programma di installazione invierà una richiesta o restituirà il codice di uscita 3010.

Informazioni per la rimozione

Per tutte le edizioni supportate di SQL Server 2008:
Utilizzare Installazione applicazioni nel Pannello di controllo.

Informazioni sui file

Per l'aggiornamento GDR di SQL Server 2008 Service Pack 3:
Consultare l'articolo della Microsoft Knowledge Base 2977321

Per l'aggiornamento QFE di SQL Server 2008 Service Pack 3:
Consultare l'articolo della Microsoft Knowledge Base 2977322

 

SQL Server 2008 R2

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software.

Nomi dei file dell'aggiornamento per la protezione

Per l'aggiornamento GDR di SQL Server 2008 R2 per sistemi a 32 bit Service Pack 2:
SQLServer2008R2-KB2977320-x86.exe


Per l'aggiornamento GDR di SQL Server 2008 R2 per sistemi x64 Service Pack 2:
SQLServer2008R2-KB2977320-x64.exe


Per l'aggiornamento GDR di SQL Server 2008 R2 per sistemi Itanium Service Pack 2:
SQLServer2008R2-KB2977320-IA64.exe


Per l'aggiornamento QFE di SQL Server 2008 R2 per sistemi a 32 bit Service Pack 2:
SQLServer2008R2-KB2977319-x86.exe


Per l'aggiornamento QFE di SQL Server 2008 R2 per sistemi x64 Service Pack 2:
SQLServer2008R2-KB2977319-x64.exe


Per l'aggiornamento QFE di SQL Server 2008 R2 per sistemi Itanium Service Pack 2:
SQLServer2008R2-KB2977319-IA64.exe

Opzioni del programma di installazione

Consultare l'articolo della Microsoft Knowledge Base 934307

Aggiornamento del file di registro

%programfiles%\Microsoft SQL Server\100\Setup Bootstrap\LOG\<TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt

Istruzioni specifiche

L'aggiornamento viene offerto anche alle istanze di SQL Server 2008 R2 che sono inserite in un cluster.

Se il cluster di SQL Server 2008 R2 presenta un nodo passivo, Microsoft consiglia in primo luogo di eseguire la scansione e applicare l'aggiornamento al nodo attivo, quindi di eseguire la scansione e applicare l'aggiornamento al nodo passivo. Quando tutti i componenti sono stati aggiornati nel nodo passivo, l'aggiornamento non viene più offerto.

Necessità di riavvio

È necessario riavviare l'istanza di SQL Server.
Se è necessario un riavvio del sistema, il programma di installazione invierà una richiesta o restituirà il codice di uscita 3010.

Informazioni per la rimozione

Per tutte le edizioni supportate di SQL Server 2008 R2:
Utilizzare Installazione applicazioni nel Pannello di controllo.

Informazioni sui file

Per l'aggiornamento GDR di SQL Server 2008 R2 Service Pack 2:
Consultare l'articolo della Microsoft Knowledge Base 2977320

Per l'aggiornamento QFE di SQL Server 2008 R2 Service Pack 2:
Consultare l'articolo della Microsoft Knowledge Base 2977319

 

SQL Server 2012

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software.

Nomi dei file dell'aggiornamento per la protezione

Per l'aggiornamento GDR di SQL Server 2012 per sistemi a 32 bit Service Pack 1:
SQLServer2012-KB2977326-x86.exe


Per l'aggiornamento GDR di SQL Server 2012 per sistemi x64 Service Pack 1:
SQLServer2012-KB2977326-x64.exe


Per l'aggiornamento QFE di SQL Server 2012 per sistemi a 32 bit Service Pack 1:
SQLServer2012-KB2977325-x86.exe


Per l'aggiornamento QFE di SQL Server 2012 per sistemi x64 Service Pack 1:
SQLServer2012-KB2977325-x64.exe

Opzioni del programma di installazione

Consultare l'articolo della Microsoft Knowledge Base 934307

Aggiornamento del file di registro

%programfiles%\Microsoft SQL Server\110\Setup Bootstrap\LOG\<TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt

Istruzioni specifiche

L'aggiornamento viene offerto anche alle istanze di SQL Server 2012 che sono inserite in un cluster.

Se il cluster di SQL Server 2012 presenta un nodo passivo, Microsoft consiglia in primo luogo di eseguire la scansione e applicare l'aggiornamento al nodo attivo, quindi di eseguire la scansione e applicare l'aggiornamento al nodo passivo. Quando tutti i componenti sono stati aggiornati nel nodo passivo, l'aggiornamento non viene più offerto.

Necessità di riavvio

È necessario riavviare l'istanza di SQL Server.
Se è necessario un riavvio del sistema, il programma di installazione invierà una richiesta o restituirà il codice di uscita 3010.

Informazioni per la rimozione

Per tutte le edizioni supportate di SQL Server 2012:

La procedura di rimozione dell'aggiornamento varia a seconda dello scenario, come illustrato di seguito:

Scenario 1: Se il motore di SQL Server è installato senza SQL Server Master Data Services (MDS) sullo stesso computer, è possibile rimuovere l'aggiornamento tramite Installazione applicazioni nel Pannello di controllo. Non è necessario rimuovere il motore di SQL Server.

Scenario 2: Se il motore di SQL Server è installato insieme a MDS sullo stesso computer, attenersi alla seguente procedura:

  1. Rimuovere l'aggiornamento per il motore di SQL Server utilizzando la voce Installazione applicazioni nel Pannello di controllo. Non è necessario rimuovere il motore di SQL Server.
  2. Eseguire il backup del database MDS.
  3. Rimuovere il componente MDS.
  4. Reinstallare il componente MDS.
  5. Applicare gli eventuali Service Pack o gli aggiornamenti dei servizi di SQL Server necessari per portare MDS alla relativa versione precedente all'aggiornamento per la protezione.

Scenario 3: Se MDS è installato su un computer su cui non è installato il motore di SQL Server, attenersi alla seguente procedura:

  1. Eseguire il backup del database MDS.
  2. Rimuovere il componente MDS.
  3. Reinstallare il componente MDS.
  4. Applicare gli eventuali Service Pack o gli aggiornamenti dei servizi di SQL Server necessari per portare MDS alla relativa versione precedente all'aggiornamento per la protezione.

Informazioni sui file

Per l'aggiornamento GDR di SQL Server 2012 Service Pack 1:
Consultare l'articolo della Microsoft Knowledge Base 2977326

Per l'aggiornamento QFE di SQL Server 2012 Service Pack 1:
Consultare l'articolo della Microsoft Knowledge Base 2977325

 

SQL Server 2014

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software.

Nomi dei file dell'aggiornamento per la protezione

Per l'aggiornamento GDR di SQL Server 2014 per sistemi x64:
SQLServer2014-KB2977315-x64-ENU.exe


Per l'aggiornamento QFE di SQL Server 2014 per sistemi x64:
SQLServer2014-KB2977316-x64.exe

Opzioni del programma di installazione

Consultare l'articolo della Microsoft Knowledge Base 934307

Aggiornamento del file di registro

%programfiles%\Microsoft SQL Server\12\Setup Bootstrap\LOG\<TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt

Istruzioni specifiche

L'aggiornamento viene offerto anche alle istanze di SQL Server 2014 che sono inserite in un cluster.

Se il cluster di SQL Server 2014 presenta un nodo passivo, Microsoft consiglia in primo luogo di eseguire la scansione e applicare l'aggiornamento al nodo attivo, quindi di eseguire la scansione e applicare l'aggiornamento al nodo passivo. Quando tutti i componenti sono stati aggiornati nel nodo passivo, l'aggiornamento non viene più offerto.

Necessità di riavvio

Se è necessario un riavvio del sistema, il programma di installazione invierà una richiesta o restituirà il codice di uscita 3010.

Informazioni per la rimozione

Per tutte le edizioni supportate di SQL Server 2014, attenersi alla procedura descritta di seguito:

  1. Eseguire il backup del database MDS.
  2. Rimuovere il componente MDS.
  3. Reinstallare il componente MDS.
  4. Applicare gli eventuali Service Pack o gli aggiornamenti dei servizi di SQL Server necessari per portare MDS alla relativa versione precedente all'aggiornamento per la protezione.

Informazioni sui file

Per l'aggiornamento GDR di SQL Server 2014:
Consultare l'articolo della Microsoft Knowledge Base 2977315

Per l'aggiornamento QFE di SQL Server 2014:
Consultare l'articolo della Microsoft Knowledge Base 2977316

 

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Supporto

Come ottenere il supporto per questo aggiornamento per la protezione

Dichiarazione di non responsabilità

Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (12 agosto 2014): Pubblicazione del bollettino.
  • V1.1 (13 agosto 2014): Bollettino rivisto per correggere le Domande frequenti sull'aggiornamento, dove è presente la risposta alla domanda “Questi aggiornamenti per la protezione verranno offerti ai cluster di Server di SQL?”

Pagina generata 13-08-2014 12:15Z-07:00.
Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft