Microsoft Security Bulletin MS14-044 - Wichtig
Sicherheitsrisiken in SQL Server können rechteerweiterungen (2984340) zulassen.
Veröffentlicht: 12. August 2014 | Aktualisiert: 13. August 2014
Version: 1.1
Allgemeine Informationen
Kurzfassung
Dieses Sicherheitsupdate behebt zwei privat gemeldete Sicherheitsrisiken in Microsoft SQL Server (eine in SQL Server Master Data Services und die andere im relationalen SQL Server-Datenbankverwaltungssystem). Je schwerwiegender diese Sicherheitsanfälligkeiten sind, die sich auf SQL Server-Master data Services auswirken, können rechteerweiterungen zulassen, wenn ein Benutzer eine speziell gestaltete Website besucht, die ein clientseitiges Skript in die Instanz des Benutzers von Internet Explorer eingibt. In allen Fällen hätte ein Angreifer keine Möglichkeit, Benutzer zu zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, maßnahmen zu ergreifen, in der Regel durch Klicken auf einen Link in einer E-Mail-Nachricht oder in einer Instant Messenger-Nachricht, die sie zur Website des Angreifers führt, oder indem er sie erhält, um eine anlage zu öffnen, die per E-Mail gesendet wird.
Dieses Sicherheitsupdate ist für unterstützte Editionen von Microsoft SQL Server 2008 Service Pack 3, Microsoft SQL Server 2008 R2 Service Pack 2 und Microsoft SQL Server 2012 Service Pack 1 wichtig; sie wird auch für Microsoft SQL Server 2014 für x64-basierte Systeme als wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt "Betroffene und nicht betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie SQL Master Data Services (MDS) die Ausgabe codiert und wie SQL Server T-SQL-Abfragen verarbeitet. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Unterabschnitt häufig gestellte Fragen (FAQ) für die spezifische Sicherheitsanfälligkeit weiter unten in diesem Bulletin.
Empfehlung Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871. Für Kunden, die keine automatische Aktualisierung aktiviert haben, können die Schritte unter Aktivieren oder Deaktivieren der automatischen Aktualisierung verwendet werden, um die automatische Aktualisierung zu aktivieren. Hinweis: In bestimmten Szenarien können Kunden, die Microsoft SQL Server Master Data Service (MDS) verwenden, dieses Update möglicherweise nicht über die automatische Aktualisierung abrufen. Weitere Informationen und Problemumgehungsschritte finden Sie in den Einträgen zu bekannten Problemen im Microsoft Knowledge Base-Artikel 2969894 .
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten (einschließlich Kunden, die keine automatische Aktualisierung aktiviert haben), empfiehlt Microsoft, dass Kunden das Update frühestens mithilfe der Updateverwaltungssoftware anwenden oder nach Updates mithilfe des Microsoft Update-Diensts suchen. Die Updates sind auch über die Downloadlinks in der Tabelle "Betroffene Software" weiter unten in diesem Bulletin verfügbar.
Siehe auch den Abschnitt " Erkennungs- und Bereitstellungstools und Anleitungen" weiter unten in diesem Bulletin.
Knowledge Base-Artikel
- Knowledge Base-Artikel: 2984340, 2977315
- Dateiinformationen: Ja
- SHA1/SHA2-Hashes: Ja
- Bekannte Probleme: Ja
Betroffene und nicht betroffene Software
Die folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen oder Editionen liegen entweder über ihren Supportlebenszyklus oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Betroffene Software
Nicht betroffene Software
| Betriebssystem |
|---|
| Microsoft SQL Server 2005 Express Edition mit Advanced Services Service Pack 4 |
| Microsoft SQL Server 2005 Express Edition Service Pack 4 |
| Microsoft SQL Server 2005 für 32-Bit-Systeme Service Pack 4 |
| Microsoft SQL Server 2005 für x64-basierte Systeme Service Pack 4 |
| Microsoft SQL Server 2005 für Itanium-basierte Systeme Service Pack 4 |
| Microsoft SQL Server Management Studio Express (SSMSE) 2005 |
| Microsoft SQL Server 2012 für 32-Bit-Systeme Service Pack 2 |
| Microsoft SQL Server 2012 für x64-basierte Systeme Service Pack 2 |
| Microsoft SQL Server 2014 für 32-Bit-Systeme |
| Microsoft Data Engine (MSDE) 1.0 |
| Microsoft Data Engine (MSDE) 1.0 Service Pack 4 |
| Microsoft Data Engine 1.0 |
Häufig gestellte Fragen zum Aktualisieren
Es gibt DDR- und/oder QFE-Updates für meine Version von SQL Server. Gewusst wie wissen, welches Update verwendet werden soll?
Ermitteln Sie zunächst Die SQL Server-Versionsnummer. Weitere Informationen zum Ermitteln der SQL Server-Versionsnummer finden Sie im Microsoft Knowledge Base-Artikel 321185.
Suchen Sie in der folgenden Tabelle nach dem Versionsbereich, in dem die SQL Server-Versionsnummer enthalten ist. Das entsprechende Update ist das Update, das Sie installieren müssen.
Hinweis : Wenn Ihre SQL Server-Versionsnummer nicht in einen der Bereiche in der nachstehenden Tabelle fällt, wird Ihre SQL Server-Version nicht mehr unterstützt. Aktualisieren Sie bitte auf das neueste Service Pack- oder SQL Server-Produkt, um diese und zukünftige Sicherheitsupdates anzuwenden.
Für SQL Server 2008:
| SQL Server-Versionsbereich | |
|---|---|
| 10.00.5500-10.00.5512 | 10.00.5750-10.00.5867 |
| SQL Server Update | |
| SQL Server 2008 Service Pack 3 DDR (2977321) | SQL Server 2008 Service Pack 3 QFE (2977322) |
Für SQL Server 2008 R2:
| SQL Server-Versionsbereich | |
|---|---|
| 10. 50.4000-10.50.4017 | 10.50.4251-10.50.4319 |
| SQL Server Update | |
| SQL Server 2008 R2 Service Pack 2 DDR (2977320) | SQL Server 2008 R2 Service Pack 2 QFE (2977319) |
Für SQL Server 2012:
| SQL Server-Versionsbereich | |
|---|---|
| 11.0.3000-11.0.3129 | 11.0.3300-11.0.3447 |
| SQL Server Update | |
| SQL Server 2012 Service Pack 1 DDR (2977326) | SQL Server 2012 Service Pack 1 QFE (2977325) |
Für SQL Server 2014:
| 12.0.2000 und höher | |
|---|---|
| 12.0.2000.8 und höher | 12.0.2300-12.0.2370 |
| SQL Server Update | |
| SQL Server 2014 DDR (2977315) | SQL Server 2014 QFE (2977316) |
Weitere Installationsanweisungen finden Sie im Unterabschnitt "Sicherheitsupdateinformationen" für Ihre SQL Server-Edition im Abschnitt "Updateinformation ".
Werden diese Sicherheitsupdates SQL Server-Clustern angeboten?
Ja. Die Updates werden auch für SQL Server 2008-, SQL Server 2008 R2-, SQL Server 2012- und SQL Server 2014-Instanzen angeboten, die gruppiert sind. Updates für SQL Server-Cluster erfordern eine Benutzerinteraktion.
Wenn der SQL Server 2008-, SQL Server 2008 R2-, SQL Server 2012- oder SQL Server 2014-Cluster einen passiven Knoten aufweist, um Ausfallzeiten zu reduzieren, empfiehlt Microsoft, zuerst das Update auf den inaktiven Knoten zu überprüfen und auf den aktiven Knoten anzuwenden. Wenn alle Komponenten auf allen Knoten aktualisiert wurden, wird das Update nicht mehr angeboten.
Können die Sicherheitsupdates auf SQL Server-Instanzen unter Windows Azure (IaaS) angewendet werden?
Ja. SQL Server-Instanzen unter Windows Azure (IaaS) können die Sicherheitsupdates über Microsoft Update angeboten werden, oder Kunden können die Sicherheitsupdates aus dem Microsoft Download Center herunterladen und manuell anwenden.
Ich verwende eine ältere Version der Software, die in diesem Sicherheitsbulletin erläutert wird. Wie sollte ich vorgehen?
Die in diesem Bulletin aufgeführte betroffene Software wurde getestet, um festzustellen, welche Versionen betroffen sind. Andere Versionen sind über ihren Supportlebenszyklus hinweg. Weitere Informationen zum Produktlebenszyklus finden Sie auf der Microsoft-Support Lifecycle-Website.
Es sollte eine Priorität für Kunden sein, die über ältere Versionen der Software verfügen, um zu unterstützten Versionen zu migrieren, um potenzielle Gefährdungen durch Sicherheitsrisiken zu verhindern. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion finden Sie unter Auswählen eines Produkts für Lebenszyklusinformationen. Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter Service Pack Lifecycle Support Policy.
Kunden, die benutzerdefinierten Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kontoteammitarbeiter, den Technical Account Manager oder den entsprechenden Microsoft-Partnermitarbeiter wenden, um benutzerdefinierte Supportoptionen zu erhalten. Kunden ohne Allianz-, Premier- oder autorisierten Vertrag können sich an ihr lokales Microsoft-Vertriebsbüro wenden. Informationen zu Kontaktinformationen finden Sie auf der Microsoft Worldwide Information-Website , wählen Sie das Land in der Kontaktinformationsliste aus, und klicken Sie dann auf "Gehe ", um eine Liste der Telefonnummern anzuzeigen. Wenn Sie anrufen, bitten Sie, mit dem lokalen Premier Support Sales Manager zu sprechen. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Microsoft-Support Lifecycle-Richtlinie.
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Zusammenfassung des Bulletins august. Weitere Informationen finden Sie unter Microsoft Exploitability Index.
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | |||
|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in SQL Master Data Services – CVE-2014-1820 | Sicherheitsanfälligkeit in Microsoft SQL Server-Stapelüberlauf – CVE-2014-4061 | Bewertung des aggregierten Schweregrads |
| SQL Server 2008 | |||
| Microsoft SQL Server 2008 für 32-Bit-Systeme Service Pack 3 | Nicht zutreffend | Wichtiger Denial of Service | Wichtig |
| Microsoft SQL Server 2008 für x64-basierte Systeme Service Pack 3 | Nicht zutreffend | Wichtiger Denial of Service | Wichtig |
| Microsoft SQL Server 2008 für Itanium-basierte Systeme Service Pack 3 | Nicht zutreffend | Wichtiger Denial of Service | Wichtig |
| SQL Server 2008 R2 | |||
| Microsoft SQL Server 2008 R2 für 32-Bit-Systeme Service Pack 2 | Nicht zutreffend | Wichtiger Denial of Service | Wichtig |
| Microsoft SQL Server 2008 R2 für x64-basierte Systeme Service Pack 2 | Nicht zutreffend | Wichtiger Denial of Service | Wichtig |
| Microsoft SQL Server 2008 R2 für Itanium-basierte Systeme Service Pack 2 | Nicht zutreffend | Wichtiger Denial of Service | Wichtig |
| SQL Server 2012 | |||
| Microsoft SQL Server 2012 für 32-Bit-Systeme Service Pack 1 | Nicht zutreffend | Wichtiger Denial of Service | Wichtig |
| Microsoft SQL Server 2012 für x64-basierte Systeme Service Pack 1 | Wichtige Rechteerweiterung | Wichtiger Denial of Service | Wichtig |
| SQL Server 2014 | |||
| Microsoft SQL Server 2014 für x64-basierte Systeme | Wichtige Rechteerweiterung | Nicht zutreffend | Wichtig |
Sicherheitsanfälligkeit in SQL Master Data Services – CVE-2014-1820
In SQL Master Data Services (MDS) ist eine XSS-Sicherheitsanfälligkeit vorhanden, die es einem Angreifer ermöglichen kann, ein clientseitiges Skript in die Instanz des Benutzers von Internet Explorer einzufügen. Das Skript kann Inhalte spoofen, Informationen offenlegen oder maßnahmen ergreifen, die der Benutzer im Namen des Zielbenutzers auf der Website ausführen könnte.
Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2014-1820.
Mildernde Faktoren
Die Entschärfung bezieht sich auf eine Einstellung, eine allgemeine Konfiguration oder eine allgemeine bewährte Methode, die in einem Standardzustand vorhanden ist, wodurch der Schweregrad der Ausbeutung einer Sicherheitsanfälligkeit verringert werden kann. Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:
- In einem webbasierten Angriffsszenario könnte ein Angreifer eine speziell gestaltete Website hosten, die darauf ausgelegt ist, diese Sicherheitsrisiken über Internet Explorer auszunutzen, und dann einen Benutzer davon überzeugen, die Website anzuzeigen. Der Angreifer könnte auch kompromittierte Websites und Websites nutzen, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. Diese Websites könnten speziell gestaltete Inhalte enthalten, die diese Sicherheitsrisiken ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, maßnahmen zu ergreifen, in der Regel durch Klicken auf einen Link in einer E-Mail-Nachricht oder in einer Instant Messenger-Nachricht, die sie zur Website des Angreifers führt, oder indem er sie erhält, um eine anlage zu öffnen, die per E-Mail gesendet wird.
- Der XSS-Filter in Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 und Internet Explorer 11 verhindert diesen Angriff für Benutzer beim Surfen auf Websites in der Internetzone. Beachten Sie, dass der XSS-Filter in Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 und Internet Explorer 11 standardmäßig in der Internetzone aktiviert ist, aber nicht standardmäßig in der Intranetzone aktiviert ist.
Problemumgehungen
Die Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht korrigiert, aber bekannte Angriffsvektoren blockiert, bevor Sie das Update anwenden. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Diskussion an, ob eine Problemumgehung die Funktionalität reduziert:
Aktivieren von Internet Explorer 8,Internet Explorer 9, Internet Explorer 10 und Internet Explorer 11XSS-Filter für Intranetzone
Sie können vor der Ausbeutung dieser Sicherheitsanfälligkeit schützen, indem Sie Ihre Einstellungen ändern, um den XSS-Filter in der Sicherheitszone "Lokales Intranet" zu aktivieren. (Der XSS-Filter ist standardmäßig in der Internetsicherheitszone aktiviert.) Führen Sie dazu die folgenden Schritte aus:
- Klicken Sie in Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 oder Internet Explorer 11 im Menü "Extras" auf "Internetoptionen".
- Klicken Sie auf die Registerkarte Sicherheit .
- Klicken Sie auf "Lokales Intranet" und dann auf " Benutzerdefinierte Ebene".
- Klicken Sie unter Einstellungen im Abschnitt "Skripting" unter "XSS-Filter aktivieren" auf "Aktivieren", und klicken Sie dann auf "OK".
- Klicken Sie zweimal auf "OK ", um zu Internet Explorer zurückzukehren.
Auswirkungen der Problemumgehung. Interne Websites, die zuvor nicht als XSS-Risiken gekennzeichnet wurden, konnten gekennzeichnet werden.
So können Sie die Problemumgehung rückgängig machen.
Führen Sie die folgenden Schritte aus, um diese Problemumgehung rückgängig zu machen.
- Klicken Sie in Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 oder Internet Explorer 11 im Menü "Extras" auf "Internetoptionen".
- Klicken Sie auf die Registerkarte Sicherheit .
- Klicken Sie auf "Lokales Intranet" und dann auf " Benutzerdefinierte Ebene".
- Klicken Sie unter Einstellungen im Abschnitt "Skripting" unter "XSS-Filter aktivieren" auf "Deaktivieren", und klicken Sie dann auf "OK".
- Klicken Sie zweimal auf "OK ", um zu Internet Explorer zurückzukehren.
Häufig gestellte Fragen
Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Sicherheitslücke zur Erhöhung von Berechtigungen.
Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn die AUSGABE von SQL Master Data Services (MDS) nicht ordnungsgemäß codiert wird.
Was ist websiteübergreifendes Skripting (XSS)?
Cross-Site Scripting (XSS) ist eine Klasse von Sicherheitsrisiken, die es einem Angreifer ermöglichen kann, Skripts in die Antwort auf eine Webseitenanforderung einzufügen. Dieses Skript wird dann von der anfordernden Anwendung ausgeführt, oft mal ein Webbrowser. Das Skript könnte dann Inhalte spoofen, Informationen offenlegen oder maßnahmen ergreifen, die der Benutzer auf der betroffenen Website im Namen des Zielbenutzers ergreifen könnte.
Was ist SQL Master Data Services (MDS)?
Master Data Services (MDS) ist die SQL Server -Lösung für die Masterdatenverwaltung. Im Rahmen der Masterdatenverwaltung (Master Data Management, MDM) versucht eine Organisation, nicht-transaktionale Listen mit Daten zu ermitteln und zu definieren, um dann daraus verwaltbare Masterlisten zusammenstellen zu können.
Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte ein clientseitiges Skript in die Instanz des Benutzers von Internet Explorer einfügen. Das Skript kann Inhalte spoofen, Informationen offenlegen oder maßnahmen ergreifen, die der Benutzer im Namen des Zielbenutzers auf der Website ausführen könnte.
Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er einen speziell gestalteten Link an den Benutzer sendet und den Benutzer dazu überzeugen kann, auf den Link zu klicken. Ein Angreifer könnte auch eine Website hosten, die eine Webseite enthält, die diese Sicherheitsanfälligkeit ausnutzen soll. Darüber hinaus könnten kompromittierte Websites und Websites, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten.
Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet?
Server, auf denen betroffene Editionen von Microsoft SQL Server ausgeführt werden, sind in erster Linie gefährdet. SQL-Server, auf denen SQL-Master Data Services nicht installiert ist, sind kein Risiko für diese Sicherheitsanfälligkeit und werden dieses Update nicht angeboten.
Was geschieht mit dem Update?
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die AUSGABE von SQL Master Data Services (MDS) codiert wird.
Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt?
Nein Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.
Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.
Sicherheitsanfälligkeit in Microsoft SQL Server-Stapelüberlauf – CVE-2014-4061
In SQL Server ist eine Denial-of-Service-Sicherheitsanfälligkeit vorhanden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann dazu führen, dass der Server nicht mehr reagiert, bis ein manueller Neustart initiiert wird.
Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2014-4061.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Häufig gestellte Fragen
Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Denial-of-Service-Sicherheitsanfälligkeit.
Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn SQL Server eine falsch formatierte T-SQL-Abfrage verarbeitet.
Was ist T-SQL?
Transact-SQL (T-SQL) ist eine Sprache, die zum Abfragen des SQL Server-Datenbankmoduls verwendet wird. Weitere Informationen finden Sie unter Transact-SQL Overview.
Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte dazu führen, dass das Zielsystem nicht mehr reagiert. Ein manueller Neustart wäre erforderlich, um den normalen Betrieb wiederherzustellen.
Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Ein lokaler Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem eine speziell gestaltete T-SQL-Anweisung erstellt wird, die dazu führt, dass Microsoft SQL Server nicht mehr reagiert.
Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet?
Arbeitsstationen und Server, auf denen Microsoft SQL Server ausgeführt wird, sind gefährdet.
Was geschieht mit dem Update?
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft SQL Server T-SQL-Abfragen verarbeitet.
Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt?
Nein Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.
Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.
Erkennungs- und Bereitstellungstools und Anleitungen
Es stehen mehrere Ressourcen zur Verfügung, die Administratoren bei der Bereitstellung von Sicherheitsupdates unterstützen.
- Mit Microsoft Baseline Security Analyzer (MBSA) können Administratoren lokale und Remotesysteme auf fehlende Sicherheitsupdates und allgemeine Sicherheitsfehler überprüfen.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) und System Center Configuration Manager helfen Administratoren beim Verteilen von Sicherheitsupdates.
- Die komponenten der Updatekompatibilitäts-Evaluator, die im Lieferumfang des Application Compatibility Toolkit enthalten sind, um die Tests und Validierung von Windows-Updates für installierte Anwendungen zu optimieren.
Informationen zu diesen und anderen verfügbaren Tools finden Sie unter "Sicherheitstools für IT-Spezialisten".
Bereitstellung von Sicherheitsupdates
SQL Server 2008
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Dateinamen für Sicherheitsupdates | Für DAS DDR-Update von SQL Server 2008 für 32-Bit-Systeme Service Pack 3:\ SQLServer2008-KB2977321-x86.exe |
|---|---|
| \ | Für DAS DDR-Update von SQL Server 2008 für x64-basierte Systeme Service Pack 3:\ SQLServer2008-KB2977321-x64.exe |
| \ | Für DAS DDR-Update von SQL Server 2008 für Itanium-basierte Systeme Service Pack 3:\ SQLServer2008-KB2977321-IA64.exe |
| \ | Für QFE-Update von SQL Server 2008 für 32-Bit-Systeme Service Pack 3:\ SQLServer2008-KB2977322-x86.exe |
| \ | Für QFE-Update von SQL Server 2008 für x64-basierte Systeme Service Pack 3:\ SQLServer2008-KB2977322-x64.exe |
| \ | Für QFE-Update von SQL Server 2008 für Itanium-basierte Systeme Service Pack 3:\ SQLServer2008-KB2977322-IA64.exe |
| Installationsschalter | Siehe Microsoft Knowledge Base-Artikel 934307 |
| Protokolldatei aktualisieren | %programfiles%\Microsoft SQL Server\100\Setup Bootstrap\LOG\ <TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt |
| Spezielle Anweisungen | Das Update wird auch SQL Server 2008-Instanzen angeboten, die gruppiert sind.\ \ Wenn Ihr SQL Server 2008-Cluster über einen passiven Knoten verfügt, um Ausfallzeiten zu reduzieren, empfiehlt Microsoft, zuerst das Update auf den inaktiven Knoten zu überprüfen und anzuwenden und dann auf den aktiven Knoten anzuwenden. Wenn alle Komponenten auf allen Knoten aktualisiert wurden, wird das Update nicht mehr angeboten. |
| Anforderung für neustarten | Ein Neustart der SQL Server-Instanz ist erforderlich.\ Wenn ein Systemneustart erforderlich ist, fordert das Installationsprogramm den Ausgangscode 3010 auf oder gibt diesen zurück. |
| Entfernungsinformationen | Verwenden Sie für alle unterstützten Editionen von SQL Server 2008:\ Verwenden Sie "Programme hinzufügen" oder "Entfernen" in Systemsteuerung. |
| Dateiinformationen | Informationen zum DDR-Update von SQL Server 2008 Service Pack 3:\ Siehe Microsoft Knowledge Base-Artikel 2977321\ \ Für das QFE-Update von SQL Server 2008 Service Pack 3:\ Siehe Microsoft Knowledge Base-Artikel 2977322 |
SQL Server 2008 R2
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Dateinamen für Sicherheitsupdates | Für DAS DDR-Update von SQL Server 2008 R2 für 32-Bit-Systeme Service Pack 2:\ SQLServer2008R2-KB2977320-x86.exe |
|---|---|
| \ | Für DDR-Update von SQL Server 2008 R2 für x64-basierte Systeme Service Pack 2:\ SQLServer2008R2-KB2977320-x64.exe |
| \ | Für DAS DDR-Update von SQL Server 2008 R2 für Itanium-basierte Systeme Service Pack 2:\ SQLServer2008R2-KB2977320-IA64.exe |
| \ | Für QFE-Update von SQL Server 2008 R2 für 32-Bit-Systeme Service Pack 2:\ SQLServer2008R2-KB2977319-x86.exe |
| \ | Für QFE-Update von SQL Server 2008 R2 für x64-basierte Systeme Service Pack 2:\ SQLServer2008R2-KB2977319-x64.exe |
| \ | Für QFE-Update von SQL Server 2008 R2 für Itanium-basierte Systeme Service Pack 2:\ SQLServer2008R2-KB2977319-IA64.exe |
| Installationsschalter | Siehe Microsoft Knowledge Base-Artikel 934307 |
| Protokolldatei aktualisieren | %programfiles%\Microsoft SQL Server\100\Setup Bootstrap\LOG\ <TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt |
| Spezielle Anweisungen | Das Update wird auch SQL Server 2008 R2-Instanzen angeboten, die gruppiert sind.\ \ Wenn Ihr SQL Server 2008 R2-Cluster über einen passiven Knoten verfügt, um Ausfallzeiten zu reduzieren, empfiehlt Microsoft, zuerst das Update auf den inaktiven Knoten zu überprüfen und anzuwenden und dann auf den aktiven Knoten anzuwenden. Wenn alle Komponenten auf allen Knoten aktualisiert wurden, wird das Update nicht mehr angeboten. |
| Anforderung für neustarten | Ein Neustart der SQL Server-Instanz ist erforderlich.\ Wenn ein Systemneustart erforderlich ist, fordert das Installationsprogramm den Ausgangscode 3010 auf oder gibt diesen zurück. |
| Entfernungsinformationen | Verwenden Sie für alle unterstützten Editionen von SQL Server 2008 R2:\ Verwenden Sie "Programme hinzufügen" oder "Entfernen" in Systemsteuerung. |
| Dateiinformationen | Informationen zum DDR-Update von SQL Server 2008 R2 Service Pack 2:\ Siehe Microsoft Knowledge Base-Artikel 2977320\ \ Für QFE-Update von SQL Server 2008 R2 Service Pack 2:\ Siehe Microsoft Knowledge Base-Artikel 2977319 |
SQL Server 2012
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Dateinamen für Sicherheitsupdates | Für DAS DDR-Update von SQL Server 2012 für 32-Bit-Systeme Service Pack 1:\ SQLServer2012-KB2977326-x86.exe |
|---|---|
| \ | Für DAS DDR-Update von SQL Server 2012 für x64-basierte Systeme Service Pack 1:\ SQLServer2012-KB2977326-x64.exe |
| \ | Für QFE-Update von SQL Server 2012 für 32-Bit-Systeme Service Pack 1:\ SQLServer2012-KB2977325-x86.exe |
| \ | Für QFE-Update von SQL Server 2012 für x64-basierte Systeme Service Pack 1:\ SQLServer2012-KB2977325-x64.exe |
| Installationsschalter | Siehe Microsoft Knowledge Base-Artikel 934307 |
| Protokolldatei aktualisieren | %programfiles%\Microsoft SQL Server\110\Setup Bootstrap\LOG\ <TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt |
| Spezielle Anweisungen | Das Update wird auch SQL Server 2012-Instanzen angeboten, die gruppiert sind.\ \ Wenn Ihr SQL Server 2012-Cluster über einen passiven Knoten verfügt, um Ausfallzeiten zu reduzieren, empfiehlt Microsoft, zuerst das Update auf den inaktiven Knoten zu überprüfen und anzuwenden und dann auf den aktiven Knoten anzuwenden. Wenn alle Komponenten auf allen Knoten aktualisiert wurden, wird das Update nicht mehr angeboten. |
| Anforderung für neustarten | Ein Neustart der SQL Server-Instanz ist erforderlich.\ Wenn ein Systemneustart erforderlich ist, fordert das Installationsprogramm den Ausgangscode 3010 auf oder gibt diesen zurück. |
| Entfernungsinformationen | Für alle unterstützten Editionen von SQL Server 2012:\ Das Updateentfernungsverfahren unterscheidet sich wie folgt: \ Szenario 1: Wenn das SQL Server-Modul ohne SQL Server Master Data Services (MDS) auf demselben Computer installiert ist, können Sie das Update mithilfe des Elements "Programme hinzufügen oder entfernen" in Systemsteuerung entfernen. Sie müssen das SQL Server-Modul nicht entfernen.\ Szenario 2: Wenn das SQL Server-Modul zusammen mit MDS auf demselben Computer installiert ist, führen Sie die folgenden Schritte aus: Entfernen Sie das Update für das SQL Server-Modul mithilfe des Elements "Programme hinzufügen oder entfernen" in Systemsteuerung. Sie müssen das SQL Server-Modul nicht entfernen. Sichern Sie die MDS-Datenbank. Entfernen Sie die MDS-Komponente. Installieren Sie die MDS-Komponente erneut. Wenden Sie alle erforderlichen SQL Server Service Packs oder Dienstupdates an, um MDS auf die Vorabversion des Sicherheitsupdates zu übertragen.Szenario 3: Wenn MDS auf einem Computer installiert ist, auf dem das SQL Server-Modul nicht installiert ist, führen Sie die folgenden Schritte aus: Sichern Sie die MDS-Datenbank. Entfernen Sie die MDS-Komponente. Installieren Sie die MDS-Komponente erneut. Wenden Sie alle erforderlichen SQL Server Service Packs oder Dienstupdates an, um MDS auf die Vorabversion des Sicherheitsupdates zu übertragen. |
| Dateiinformationen | Informationen zum DDR-Update von SQL Server 2012 Service Pack 1:\ Siehe Microsoft Knowledge Base-Artikel 2977326\ \ Für das QFE-Update von SQL Server 2012 Service Pack 1:\ Siehe Microsoft Knowledge Base-Artikel 2977325 |
SQL Server 2014
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Dateinamen für Sicherheitsupdates | Für DDR-Update von SQL Server 2014 für x64-basierte Systeme:\ SQLServer2014-KB2977315-x64-ENU.exe |
|---|---|
| \ | Für QFE-Update von SQL Server 2014 für x64-basierte Systeme:\ SQLServer2014-KB2977316-x64.exe |
| Installationsschalter | Siehe Microsoft Knowledge Base-Artikel 934307 |
| Protokolldatei aktualisieren | %programfiles%\Microsoft SQL Server\12\Setup Bootstrap\LOG\ <TimeStamp>\MSSQLServer\Summary_<MachineName>_<Timestamp>.txt |
| Spezielle Anweisungen | Das Update wird auch SQL Server 2014-Instanzen angeboten, die gruppiert sind.\ \ Wenn Ihr SQL Server 2014-Cluster über einen passiven Knoten verfügt, um Ausfallzeiten zu reduzieren, empfiehlt Microsoft, zuerst das Update auf den inaktiven Knoten zu überprüfen und anzuwenden und dann auf den aktiven Knoten anzuwenden. Wenn alle Komponenten auf allen Knoten aktualisiert wurden, wird das Update nicht mehr angeboten. |
| Anforderung für neustarten | Wenn ein Systemneustart erforderlich ist, fordert das Installationsprogramm den Ausgangscode 3010 auf oder gibt den Ausgangscode zurück. |
| Entfernungsinformationen | Führen Sie für alle unterstützten Editionen von SQL Server 2014 die folgenden Schritte aus: Sichern Sie die MDS-Datenbank. Entfernen Sie die MDS-Komponente. Installieren Sie die MDS-Komponente erneut. Wenden Sie alle erforderlichen SQL Server Service Packs oder Dienstupdates an, um MDS auf die Vorabversion des Sicherheitsupdates zu übertragen. |
| Dateiinformationen | Informationen zum DDR-Update von SQL Server 2014:\ Siehe Microsoft Knowledge Base-Artikel 2977315\ \ Für QFE-Update von SQL Server 2014:\ Siehe Microsoft Knowledge Base-Artikel 2977316 |
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, wechseln Sie zu den aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Unterstützung
So erhalten Sie Hilfe und Support für dieses Sicherheitsupdate
- Hilfe beim Installieren von Updates: Support für Microsoft Update
- Sicherheitslösungen für IT-Experten: TechNet Security Troubleshooting and Support
- Schützen Sie Ihren Computer, auf dem Windows ausgeführt wird, vor Viren und Schadsoftware: Virenlösung und Security Center
- Lokaler Support nach Ihrem Land: Internationaler Support
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (12. August 2014): Bulletin veröffentlicht.
- V1.1 (13. August 2014): Überarbeitetes Bulletin zur Korrektur der Häufig gestellten Fragen zum Update, werden diese Sicherheitsupdates SQL Server-Clustern angeboten?
Seite generiert 2014-08-20 15:12Z-07:00.