Microsoft Security Bulletin MS15-058 - Importante
Le vulnerabilità in SQL Server potrebbero consentire l'esecuzione di codice remoto (3065718)
Pubblicato: 14 luglio 2015 | Aggiornato: 9 dicembre 2015
Versione: 1.2
Schema riepilogativo
Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft SQL Server. Le vulnerabilità più gravi potrebbero consentire l'esecuzione remota del codice se un utente malintenzionato autenticato esegue una query appositamente creata progettata per eseguire una funzione virtuale da un indirizzo errato, causando una chiamata di funzione alla memoria non inizializzata. Per sfruttare questa vulnerabilità, un utente malintenzionato deve disporre delle autorizzazioni per creare o modificare un database.
Questo aggiornamento della sicurezza è valutato Importante per le edizioni supportate di Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2012 e Microsoft SQL Server 2014. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui SQL Server gestisce le chiamate di funzione interne e il cast dei puntatori. Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3065718.
Software interessato
Il software seguente è stato testato per determinare quali versioni o edizioni sono interessate. Altre versioni o edizioni superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Software interessato
Domande frequenti su Aggiornamento
Sono disponibili aggiornamenti GDR e/o QFE per la versione di SQL Server. Ricerca per categorie sapere quale aggiornamento usare?
Prima di tutto, determinare il numero di versione di SQL Server. Per altre informazioni sulla determinazione del numero di versione di SQL Server, vedere l'articolo della Microsoft Knowledge Base 321185.
In secondo luogo, nella tabella seguente individuare il numero di versione o l'intervallo di versione compreso nel numero di versione. L'aggiornamento corrispondente è quello che è necessario installare.
Nota Se il numero di versione di SQL Server non è rappresentato nella tabella seguente, la versione di SQL Server non è più supportata. Eseguire l'aggiornamento al prodotto Service Pack o SQL Server più recente per applicare questi aggiornamenti della sicurezza e futuri.
| Numero di aggiornamento | Title | Applica se la versione corrente del prodotto è... | Questo aggiornamento della sicurezza include anche le versioni di manutenzione fino a... |
|---|---|---|---|
| 3045305 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2008 Service Pack 3 GDR: 14 luglio 2015 | 10.00.5500.00 o 10.00.5520.00 | 2008 SP3 GDR (MS14-044) |
| 3045303 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2008 Service Pack 3 QFE: 14 luglio 2015 | 10.00.5750. - 10.00.5869.00 | 2008 SP3 CU17 |
| 3045311 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2008 Service Pack 4 GDR: 14 luglio 2015 | 10.0.6000.29 | 2008 SP4 |
| 3045308 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2008 Service Pack 4 QFE: 14 luglio 2015 | 10.0.6500.00 - 10.0.6526.0 | 2008 SP4 |
| 3045313 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2008 R2 Service Pack 2 GDR: 14 luglio 2015 | 10.50.4000.0 o 10.50.4033.0 | 2008 R2 SP2 GDR (MS14-044) |
| 3045312 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2008 R2 Service Pack 2 QFE: 14 luglio 2015 | 10.50.4251.0 - 10.50.4331.0 | 2008 R2 SP2 CU13 |
| 3045316 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2008 R2 Service Pack 3 GDR: 14 luglio 2015 | 10.50.6000.34 | 2008 R2 SP3 |
| 3045314 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2008 R2 Service Pack 3 QFE: 14 luglio 2015 | 10.50.6500.0 - 10.50.6525.0 | 2008 R2 SP3 |
| 3045318 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 SP1 GDR: 14 luglio 2015 | 11.0.3000.0 o 11.0.3153.0 | 2012 SP1 GDR (MS14-044) |
| 3045317 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 SP1 QFE: 14 luglio 2015 | 11.0.3300.0 - 11.0.3492.0 | 2012 SP1 CU16 |
| 3045321 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 Service Pack 2 GDR: 14 luglio 2015 | 11.0.5058.0 | 2012 SP2 |
| 3045319 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2012 Service Pack 2 QFE: 14 luglio 2015 | 11.0.5500.0 - 11.0.5592.0 | 2012 SP2 CU6 |
| 3045324 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2014 GDR: 14 luglio 2015 | 12.0.2000.8 o 12.0.2254.0 | 2014 RTM GDR (MS14-044) |
| 3045323 | MS15-058: Descrizione dell'aggiornamento della sicurezza per SQL Server 2014 QFE: 14 luglio 2015 | 12.0.2300.0 - 12.0.2546.0 | 2014 RTM CU8 |
| 3070446 | MS15-058: Descrizione dell'aggiornamento non della sicurezza per SQL Server 2014 Service Pack 1 GDR: 14 luglio 2015 | 12.0.4100.1 | 2014 SP1 |
Nota Per il ramo GDR, dopo l'applicazione dell'aggiornamento non verrà visualizzata l'esecuzione dello script di aggiornamento del database. Si tratta del comportamento previsto perché la patch sostituisce solo i file binari.
Per istruzioni aggiuntive sull'installazione, vedere la sottosezione Security Update Information per l'edizione di SQL Server nella sezione Informazioni sull'aggiornamento.
Quali sono le designazioni di aggiornamento GDR e QFE e le differenze?
Le designazioni GDR (General Distribution Release) e Quick Fix Engineering (QFE) corrispondono ai due diversi rami di manutenzione degli aggiornamenti sul posto per SQL Server. La differenza principale tra i due è che i rami QFE includono cumulativamente tutti gli aggiornamenti, mentre i rami GDR includono solo gli aggiornamenti della sicurezza per una determinata baseline. Una baseline può essere la versione RTM iniziale o un Service Pack.
Per qualsiasi baseline specifica, gli aggiornamenti del ramo GDR o QFE sono opzioni se si è nella linea di base o se è stato installato un aggiornamento GDR precedente per tale baseline. Il ramo QFE è l'unica opzione se è stato installato un QFE precedente per la baseline in cui ci si trova.
Questi aggiornamenti della sicurezza verranno offerti ai cluster di SQL Server?
Sì. Gli aggiornamenti verranno offerti anche alle istanze di SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 e SQL Server 2014 in cluster. Aggiornamenti per i cluster DI SQL Server richiederà l'interazione dell'utente.
Se il cluster SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 o SQL Server 2014 ha un nodo passivo, per ridurre il tempo di inattività, Microsoft consiglia di analizzare e applicare prima l'aggiornamento al nodo inattivo, quindi analizzarlo e applicarlo al nodo attivo. Quando tutti i componenti sono stati aggiornati in tutti i nodi, l'aggiornamento non verrà più offerto.
Gli aggiornamenti della sicurezza possono essere applicati alle istanze di SQL Server in Windows Azure (IaaS)?
Sì. Le istanze di SQL Server in Windows Azure (IaaS) possono essere offerte agli aggiornamenti della sicurezza tramite Microsoft Update oppure i clienti possono scaricare gli aggiornamenti della sicurezza dall'Area download Microsoft e applicarli manualmente.
Questo aggiornamento della sicurezza contiene modifiche non alla sicurezza apportate alle funzionalità?
Sì. Oltre alle modifiche relative alla sicurezza descritte nella sezione Dettagli vulnerabilità di questo bollettino, l'aggiornamento della sicurezza include anche alcune importanti correzioni non relative alla sicurezza. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 3065718.
Si esegue Microsoft SQL Server 2014 Service Pack 1, che non è elencato come software interessato. Perché viene offerto un aggiornamento?
Microsoft SQL Server 2014 Service Pack 1 non è interessato dalle vulnerabilità descritte in questo bollettino, ma è soggetto a una importante correzione non di sicurezza rilasciata con questo aggiornamento della sicurezza. Pertanto, ai clienti che eseguono il ramo GDR di Microsoft SQL Server 2014 Service Pack 1 verrà offerto l'aggiornamento non della sicurezza 3070446. Per una descrizione generale dell'aggiornamento non della sicurezza, vedere l'articolo della Microsoft Knowledge Base 3070446. Per altre informazioni sulla correzione non relativa alla sicurezza, vedere l'articolo della Microsoft Knowledge Base 3067257.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio del bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di luglio.
| Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato | ||||
|---|---|---|---|---|
| Software interessato | Vulnerabilità di elevazione dei privilegi di SQL Server - CVE-2015-1761 | Vulnerabilità di esecuzione di codice remoto di SQL Server - CVE-2015-1762 | Vulnerabilità di esecuzione di codice remoto di SQL Server - CVE-2015-1763 | Valutazione della gravità aggregata |
| SQL Server 2008 Service Pack 3 | ||||
| Microsoft SQL Server 2008 per sistemi a 32 bit Service Pack 3 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| Microsoft SQL Server 2008 per sistemi basati su x64 Service Pack 3 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| Microsoft SQL Server 2008 per sistemi basati su Itanium Service Pack 3 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| SQL Server 2008 Service Pack 4 | ||||
| Microsoft SQL Server 2008 per sistemi a 32 bit Service Pack 4 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| Microsoft SQL Server 2008 per sistemi basati su x64 Service Pack 4 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| SQL Server 2008 R2 Service Pack 2 | ||||
| Microsoft SQL Server 2008 R2 per sistemi a 32 bit Service Pack 2 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| Microsoft SQL Server 2008 R2 per sistemi basati su x64 Service Pack 2 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| Microsoft SQL Server 2008 R2 per sistemi basati su Itanium Service Pack 2 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| SQL Server 2008 R2 Service Pack 3 | ||||
| Microsoft SQL Server 2008 R2 per sistemi a 32 bit Service Pack 3 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| Microsoft SQL Server 2008 R2 per sistemi basati su x64 Service Pack 3 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| SQL Server 2012 Service Pack 1 | ||||
| Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 1 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| Microsoft SQL Server 2012 per sistemi basati su x64 Service Pack 1 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| SQL Server 2012 Service Pack 2 | ||||
| Microsoft SQL Server 2012 per sistemi a 32 bit Service Pack 2 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| Microsoft SQL Server 2012 per sistemi basati su x64 Service Pack 2 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| SQL Server 2014 | ||||
| Microsoft SQL Server 2014 per sistemi a 32 bit | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
| Microsoft SQL Server 2014 per sistemi basati su x64 | Elevazione dei privilegi importante | Importante esecuzione di codice remoto | Importante esecuzione di codice remoto | Importante |
Informazioni sulla vulnerabilità
Vulnerabilità di elevazione dei privilegi di SQL Server - CVE-2015-1761
Esiste una vulnerabilità di elevazione dei privilegi in Microsoft SQL Server quando esegue il cast non corretto dei puntatori a una classe non corretta. Un utente malintenzionato potrebbe sfruttare la vulnerabilità se le credenziali consentono l'accesso a un database di SQL Server interessato. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe ottenere privilegi elevati che potrebbero essere usati per visualizzare, modificare o eliminare dati; o creare nuovi account.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui SQL Server gestisce il cast dei puntatori.
Microsoft ha ricevuto informazioni sulla vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando è stato rilasciato questo bollettino sulla sicurezza, Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
I fattori di mitigazione seguenti possono essere utili nella situazione:
- Sono necessarie autorizzazioni per creare o modificare lo schema o i dati del database
Per sfruttare questa vulnerabilità, un utente malintenzionato deve disporre delle autorizzazioni per creare o modificare un database.
Soluzioni alternative
Le soluzioni alternative seguenti possono essere utili nella situazione:
Limitare le autorizzazioni per il server per la creazione di database e schemi
Poiché la vulnerabilità è sfruttabile solo all'interno del contesto di uno schema di database, dati e query molto specifici, lo sfruttamento può essere impedito controllando rigorosamente chi ha le autorizzazioni per creare database e schema nel server. Si noti che la vulnerabilità viene esposta in casi limite molto specifici; è estremamente difficile definire lo schema e la query che espongono la vulnerabilità.Indicazioni aggiuntive: nell'evento improbabile che SQL Server causi un errore di prevenzione dell'accesso /data-execution-prevention durante l'esecuzione di query specifica, riscrivere la query suddividendola in parti e/o aggiungendo hint per la query.
Vulnerabilità di esecuzione di codice remoto di SQL Server - CVE-2015-1762
In Microsoft SQL Server esiste una vulnerabilità di esecuzione remota del codice quando gestisce erroneamente le chiamate di funzione interne alla memoria non inizializzata. Un utente malintenzionato potrebbe sfruttare la vulnerabilità se un utente con privilegi esegue una query appositamente creata in un server SQL interessato con impostazioni di autorizzazione speciali (ad esempio VIEW edizione Standard RVER STATE) attivate. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui SQL Server gestisce le chiamate di funzione interne alla memoria non inizializzata.
Microsoft ha ricevuto informazioni sulla vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando è stato rilasciato questo bollettino sulla sicurezza, Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
I fattori di mitigazione seguenti possono essere utili nella situazione:
- Richiede una configurazione specifica
Per sfruttare questa replica transazionale di vulnerabilità deve essere abilitata e l'autore dell'attacco deve disporre di impostazioni di autorizzazione speciali (ad esempio VIEW edizione Standard RVER STATE) attivate.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di esecuzione di codice remoto di SQL Server - CVE-2015-1763
Esiste una vulnerabilità di esecuzione del codice remoto autenticata in Microsoft SQL Server quando gestisce erroneamente le chiamate di funzione interne alla memoria non inizializzata. Un utente malintenzionato potrebbe sfruttare la vulnerabilità se un utente con privilegi esegue una query appositamente creata progettata per eseguire una funzione virtuale da un indirizzo errato, causando una chiamata di funzione alla memoria non inizializzata. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui SQL Server gestisce le chiamate di funzione interne alla memoria non inizializzata.
Microsoft ha ricevuto informazioni sulla vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando è stato rilasciato questo bollettino sulla sicurezza, Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Le soluzioni alternative seguenti possono essere utili nella situazione:
Limitare le autorizzazioni per il server per la creazione di database e schemi
Poiché la vulnerabilità è sfruttabile solo all'interno del contesto di uno schema di database, dati e query molto specifici, lo sfruttamento può essere impedito controllando rigorosamente chi ha le autorizzazioni per creare database e schema nel server. Si noti che la vulnerabilità viene esposta in casi limite molto specifici; è estremamente difficile definire lo schema e la query che espongono la vulnerabilità.Indicazioni aggiuntive: nell'evento improbabile che SQL Server causi un errore di prevenzione dell'accesso /data-execution-prevention durante l'esecuzione di query specifica, riscrivere la query suddividendola in parti e/o aggiungendo hint per la query.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (14 luglio 2015): Bollettino pubblicato.
- V1.1 (22 luglio 2015): Bollettino modificato per migliorare la sezione Domande frequenti sugli aggiornamenti per aiutare i clienti a identificare più facilmente l'aggiornamento corretto da applicare in base a una versione attualmente installata di SQL Server. Si tratta solo di una modifica informativa. I clienti che hanno già installato correttamente l'aggiornamento non devono eseguire alcuna azione.
- V1.2 (9 dicembre 2015): Bollettino rivisto per chiarire le indicazioni sulla versione del prodotto nella sezione Domande frequenti sull'aggiornamento allineandolo alle indicazioni fornite nelle versioni precedenti. Si tratta solo di una modifica informativa. I clienti che hanno già installato correttamente l'aggiornamento non devono eseguire alcuna azione.
Pagina generata 2015-12-09 11:11Z-08:00.