マイクロソフト セキュリティ情報 MS16-136 - 重要

SQL Server 用のセキュリティ更新プログラム (3199641)

公開日: 2016 年 11 月 9 日

バージョン: 1.0

このセキュリティ更新プログラムは、Microsoft SQL Server に存在する脆弱性を解決します。これらの脆弱性で最も深刻なものでは、攻撃者が昇格された特権を取得し、その特権を使用して、データの表示、変更、削除などを行ったり、新たなアカウントを作成したりする可能性があります。このセキュリティ更新プログラムは、SQL Server がポインターのキャストを処理する方法を修正することにより、この最も深刻な脆弱性を解決します。

このセキュリティ更新プログラムは、サポートされているエディションの Microsoft SQL Server 2012 Service Pack 2 および 3、Microsoft SQL Server 2014 Service Pack 1 および 2、および Microsoft SQL Server 2016 について、深刻度が「重要」と評価されています。詳細については、「影響を受けるソフトウェア」のセクションを参照してください。

この脆弱性の詳細については、「脆弱性の情報」を参照してください。

この更新プログラムの詳細についてはマイクロソフト サポート技術情報 3199641 を参照してください。

ここに記載されているソフトウェアをテストし、影響を受けるバージョンまたはエディションを確認しました。その他のバージョンまたはエディションはサポート ライフサイクルが終了したか、または影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

影響を受けるソフトウェア 

GDR ソフトウェアの更新

累積的なソフトウェア更新プログラム

最も深刻な脆弱性の影響

総合的な深刻度

SQL Server 2012 Service Pack 2

Microsoft SQL Server 2012 for 32-bit Systems Service Pack 2
(3194719)

Microsoft SQL Server 2012 for 32-bit Systems Service Pack 2
(3194725)

特権の昇格

重要

Microsoft SQL Server 2012 for x64-based Systems Service Pack 2
(3194719)

Microsoft SQL Server 2012 for x64-based Systems Service Pack 2
(3194725)

特権の昇格

重要

SQL Server 2012 Service Pack 3

Microsoft SQL Server 2012 for 32-bit Systems Service Pack 3
(3194721)

Microsoft SQL Server 2012 for 32-bit Systems Service Pack 3
(3194724)

特権の昇格

重要

Microsoft SQL Server 2012 for x64-based Systems Service Pack 3
(3194721)

Microsoft SQL Server 2012 for x64-based Systems Service Pack 3
(3194724)

特権の昇格

重要

SQL Server 2014 Service Pack 1

Microsoft SQL Server 2014 Service Pack 1 for 32-bit Systems
(3194720)

Microsoft SQL Server 2014 Service Pack 1 for 32-bit Systems
(3194722)

特権の昇格

重要

Microsoft SQL Server 2014 Service Pack 1 for x64-based Systems
(3194720)

Microsoft SQL Server 2014 Service Pack 1 for x64-based Systems
(3194722)

特権の昇格

重要

SQL Server 2014 Service Pack 2

Microsoft SQL Server 2014 Service Pack 2 for 32-bit Systems
(3194714)

Microsoft SQL Server 2014 Service Pack 2 for 32-bit Systems
(3194718)

特権の昇格

重要

Microsoft SQL Server 2014 Service Pack 2 for x64-based Systems
(3194714)

Microsoft SQL Server 2014 Service Pack 2 for x64-based Systems
(3194718)

特権の昇格

重要

SQL Server 2016

Microsoft SQL Server 2016 for x64-based Systems
(3194716)

Microsoft SQL Server 2016 for x64-based Systems
(3194717)

特権の昇格

重要

一般配布リリース (GDR) および累積的な更新プログラム (CU) の更新プログラムが、所有しているバージョンの SQL Server に提供されています。どちらの更新プログラムを使用すればよいのか、確認方法を教えてください。
最初に、お使いの SQL Server のバージョン番号を確認します。使用している SQL Server のバージョン番号を確認する方法の詳細については、サポート技術情報 321185 を参照してください。

次に、下の表で、お使いのバージョン番号またそのバージョン番号が含まれるバージョンの範囲を見つけます。対応する更新プログラムをインストールする必要があります。

注: 下の表に、お使いの SQL Server のバージョン番号が表示されていない場合、その SQL Server のバージョンのサポートは終了しています。この更新プログラムおよび今後リリースされるセキュリティ更新プログラムを適用するために、最新のサービス パックまたは SQL Server 製品へアップグレードしてください。

更新プログラムの番号

タイトル

適用対象の現在の製品バージョン

このセキュリティ更新プログラムに含まれるサービス リリース

3194719

MS16-136: SQL Server 2012 SP2 GDR のセキュリティ更新プログラムについて: 2016 年 11 月 9 日

11.0.5058.0 - 11.0.5387.0

MS15-058

3194725

MS16-136: SQL Server 2012 SP2 CU のセキュリティ更新プログラムについて: 2016 年 11 月 9 日

11.0.5500.0 - 11.0.5675.0

SQL Server 2012 SP2 CU15

3194721

MS16-136: SQL Server 2012 Service Pack 3 GDR のセキュリティ更新プログラムについて: 2016 年 11 月 9 日

11.0.6020.0 - 11.0.6247.0

SQL Server 2012 SP3

3194724

MS16-136: SQL Server 2012 Service Pack 3 CU のセキュリティ更新プログラムについて: 2016 年 11 月 9 日

11.0.6300.0 - 11.0.6566.0

SQL Server 2012 SP3 CU6

3194720

MS16-136: SQL Server 2014 Service Pack 1 GDR のセキュリティ更新プログラムについて: 2016 年 11 月 9 日

12.0.4100.0 - 12.0.4231.0

SQL Server 2014 SP1 の重要な更新プログラム (KB3070446)

3194722

MS16-136: SQL Server 2014 Service Pack 1 CU のセキュリティ更新プログラムについて: 2016 年 11 月 9 日

12.0.4400.0 - 12.0.4486.0

SQL Server 2014 SP1 CU9

3194714

MS16-136: SQL Server 2014 Service Pack 2 GDR のセキュリティ更新プログラムについて: 2016 年 11 月 9 日

12.0.5000.0 - 12.0.5202.0

SQL Server 2014 SP2

3194718

MS16-136: SQL Server 2014 Service Pack 2 CU のセキュリティ更新プログラムについて: 2016 年 11 月 9 日

12.0.5400.0 - 12.0.5531.0

SQL Server 2014 SP2 CU2

3194716

MS16-136: SQL Server 2016 GDR のセキュリティ更新プログラムについて: 2016 年 11 月 9 日

13.0.1605.0 - 13.0.1721.0

SQL Server 2016 Analysis Services の緊急の更新プログラム (KB3179258)

3194717

MS16-136: SQL Server 2016 CU のセキュリティ更新プログラムについて: 2016 年 11 月 9 日

13.0.2100.0 - 13.0.2182.0

SQL Server 2016 CU3


その他のインストールの手順については、「更新プログラムに関する情報」の「セキュリティ更新プログラムに関する情報」でお客様の SQL Server のエディションについてご確認ください。

GDR と CU の更新プログラムは何を指しますか?また双方の違いは何ですか?
一般配布リリース (GDR) と累積的な更新プログラム (CU) は、SQL Server 向けの 2 つの異なる更新プログラムのサービス ブランチに対応しています。GDR と CU の主な違いは、CU ブランチは特定のベースラインに関するすべての更新プログラムを累積的に含んでいるのに対し、GDR ブランチは特定のベースラインに関する累積的な緊急の更新プログラムのみを含んでいる点です。ベースラインとは、最初の RTM リリースまたは Service Pack です。

どのベースラインについても、そのベースラインを使用している場合、またはそのベースラインの前回の GDR 更新プログラムのみをインストールしている場合は、GDR または CU ブランチのどちらかの更新プログラムを選択できます。使用しているベースラインに前回の SQL Server CU をインストールしている場合は、CU ブランチが唯一の選択肢です。

これらのセキュリティ更新プログラムは SQL Server クラスターに提供されますか?
はい。これらの更新プログラムは、SQL Server 2012 SP2/SP3、SQL Server 2014 SP1/SP2、および SQL Server 2016 RTM のクラスター化されたインスタンスにも提供されます。SQL Server クラスター用の更新プログラムはユーザー操作が必要です。

SQL Server 2012 SP2/SP3、SQL Server 2014 SP1/SP2、および SQL Server 2016 RTM クラスターにパッシブ ノードが含まれている場合、ダウンタイムを減らすために、まず非アクティブなノードに対して更新プログラムをスキャンして適用してから、アクティブなノードに対してスキャンして適用することを推奨します。すべてのコンポーネントがすべてのノードで更新されると、この更新プログラムは提供されなくなります。

セキュリティ更新プログラムは Windows Azure (IaaS) 上の SQL Server に適用できますか? 
はい。Windows Azure (IaaS) 上の SQL Server には、Microsoft Update を通じてセキュリティ更新プログラムを提供できます。また、お客様が Microsoft ダウンロード センターからセキュリティ更新プログラムをダウンロードして手動で適用することもできます。

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日以内にこの脆弱性が悪用される可能性に関する情報については、11 月のセキュリティ情報の概要の Exploitability Index (悪用可能性指標) を参照してください。

影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響

影響を受けるソフトウェア

SQL RDBMS Engine の特権の昇格の脆弱性 - CVE-2016-7249

SQL RDBMS Engine の特権の昇格の脆弱性 - CVE-2016-7250

SQL RDBMS Engine の特権の昇格の脆弱性 - CVE-2016-7254

MDS API XSS の脆弱性 - CVE-2016-7251

SQL Analysis Services の情報漏えいの脆弱性 - CVE-2016-7252

SQL Server Agent の特権の昇格の脆弱性 - CVE-2016-7253

SQL Server 2012 Service Pack 2

Microsoft SQL Server 2012 for 32-bit Systems Service Pack 2

対象外

対象外

重要 
特権の昇格

対象外

対象外

重要 
特権の昇格

Microsoft SQL Server 2012 for x64-based Systems Service Pack 2

対象外

対象外

重要 
特権の昇格

対象外

対象外

重要 
特権の昇格

SQL Server 2012 Service Pack 3

Microsoft SQL Server 2012 for 32-bit Systems Service Pack 3

対象外

対象外

重要 
特権の昇格

対象外

対象外

重要 
特権の昇格

Microsoft SQL Server 2012 for x64-based Systems Service Pack 3

対象外

対象外

重要 
特権の昇格

対象外

対象外

重要 
特権の昇格

SQL Server 2014 Service Pack 1

Microsoft SQL Server 2014 Service Pack 1 for 32-bit Systems

対象外

重要 
特権の昇格

対象外

対象外

対象外

重要 
特権の昇格

Microsoft SQL Server 2014 Service Pack 1 for x64-based Systems

対象外

重要 
特権の昇格

対象外

対象外

対象外

重要 
特権の昇格

SQL Server 2014 Service Pack 2

Microsoft SQL Server 2014 Service Pack 2 for 32-bit Systems

対象外

重要 
特権の昇格

対象外

対象外

対象外

重要 
特権の昇格

Microsoft SQL Server 2014 Service Pack 2 for x64-based Systems

対象外

重要 
特権の昇格

対象外

対象外

対象外

重要 
特権の昇格

SQL Server 2016

Microsoft SQL Server 2016 for x64-based Systems

重要 
特権の昇格

重要 
特権の昇格

対象外

重要 
特権の昇格

重要
情報漏えい

対象外

複数の SQL RDBMS Engine の特権の昇格の脆弱性

Microsoft SQL Server がポインターのキャストを適切に処理しない場合に、複数の特権の昇格の脆弱性が存在します。攻撃者の資格情報で影響を受ける SQL Server データベースへのアクセスが許可される場合、攻撃者がこれらの脆弱性を悪用する可能性があります。攻撃者がこの脆弱性を悪用した場合、昇格された特権を取得し、その特権を使用して、データの表示、変更、削除などを行ったり、新たなアカウントを作成したりする可能性があります。

このセキュリティ更新プログラムは、SQL Server がポインターのキャストを処理する方法を修正することにより、これらの脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

SQL RDBMS Engine の特権の昇格の脆弱性

CVE-2016-7249

なし

なし

SQL RDBMS Engine の特権の昇格の脆弱性

CVE-2016-7250

なし

なし

SQL RDBMS Engine の特権の昇格の脆弱性

CVE-2016-7254

なし

なし


問題を緩和する要素

マイクロソフトは、これらの脆弱性の問題を緩和する要素を確認していません。

回避策

マイクロソフトは、これらの脆弱性の回避策を確認していません。

MDS API XSS の脆弱性 - CVE-2016-7251

SQL Server MDS に XSS の特権の昇格の脆弱性が存在し、攻撃者がユーザーの Internet Explorer インスタンスにクライアント側スクリプトを挿入する可能性があります。この脆弱性は、SQL Server MDS が SQL Server サイトの要求パラメーターを適切に検証しない場合に発生します。スクリプトはサイトでコンテンツのなりすまし、情報の漏えい、または標的となるユーザーに代わって任意の操作を行う可能性があります。

このセキュリティ更新プログラムは、SQL Server MDS が要求パラメーターを検証する方法を修正することにより、この脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

MDS API XSS の脆弱性

CVE-2016-7251

なし

なし


問題を緩和する要素

マイクロソフトは、これらの脆弱性の問題を緩和する要素を確認していません。

回避策

マイクロソフトは、この脆弱性の回避策を確認していません。

SQL Analysis Services の情報漏えいの脆弱性 - CVE-2016-7252

Microsoft SQL Analysis Services が FILESTREAM のパスを適切に検査しない場合に、情報漏えいの脆弱性が存在します。攻撃者の資格情報で影響を受ける SQL Server データベースへのアクセスが許可される場合、攻撃者がこの脆弱性を悪用する可能性があります。この脆弱性を悪用した攻撃者は、データベースとファイルに関する追加情報を取得する可能性があります。

このセキュリティ更新プログラムは、SQL Server が FILESTREAM のパスを処理する方法を修正することにより、この脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

SQL Analysis Services の情報漏えいの脆弱性

CVE-2016-7252

なし

なし


問題を緩和する要素

マイクロソフトは、この脆弱性の問題を緩和する要素を確認していません。

回避策

マイクロソフトは、この脆弱性の回避策を確認していません。

SQL Server Agent の特権の昇格の脆弱性 - CVE-2016-7253

SQL Server Agent が atxcore.dll に対する ACL を適切に検査しない場合に、Microsoft SQL Server Engine で特権の昇格の脆弱性が存在します。攻撃者の資格情報で影響を受ける SQL Server データベースへのアクセスが許可される場合、攻撃者がこの脆弱性を悪用する可能性があります。攻撃者がこの脆弱性を悪用した場合、昇格された特権を取得し、その特権を使用して、データの表示、変更、削除などを行ったり、新たなアカウントを作成したりする可能性があります。

このセキュリティ更新プログラムは、SQL Server Engine が ACL を処理する方法を修正することにより、この脆弱性を解決します。

次の表には、Common Vulnerabilities and Exposures リストの各脆弱性の標準のエントリへのリンクが含まれています。

脆弱性のタイトル

CVE 番号

一般に公開

悪用

SQL Server Agent の特権の昇格の脆弱性

CVE-2016-7253

なし

なし


問題を緩和する要素

マイクロソフトは、この脆弱性の問題を緩和する要素を確認していません。

回避策

マイクロソフトは、この脆弱性の回避策を確認していません。

マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、謝辞を参照してください。

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

  • V1.0 (2016/11/09): このセキュリティ情報ページを公開しました。

Page generated 2016-11-09 08:02-08:00.
表示: