Microsoft-beveiligingsbulletin MS15-058 - Belangrijk
Beveiligingsproblemen in SQL Server kunnen uitvoering van externe code toestaan (3065718)
Gepubliceerd: 14 juli 2015 | Bijgewerkt: 9 december 2015
Versie: 1.2
Samenvatting
Met deze beveiligingsupdate worden beveiligingsproblemen in Microsoft SQL Server opgelost. De ernstigste beveiligingsproblemen kunnen externe code uitvoeren als een geverifieerde aanvaller een speciaal gemaakte query uitvoert die is ontworpen om een virtuele functie uit te voeren vanaf een onjuist adres, wat leidt tot een functieaanroep naar niet-geïnitialiseerd geheugen. Om dit beveiligingsprobleem te misbruiken, moet een aanvaller machtigingen hebben om een database te maken of te wijzigen.
Deze beveiligingsupdate is geclassificeerd als Belangrijk voor ondersteunde edities van Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2012 en Microsoft SQL Server 2014. Zie de sectie Beïnvloede software voor meer informatie.
Met de beveiligingsupdate worden de beveiligingsproblemen opgelost door te corrigeren hoe SQL Server interne functie-aanroepen en aanwijzers verwerkt. Zie de sectie Informatie over beveiligingsproblemen voor meer informatie over de beveiligingsproblemen.
Zie het Microsoft Knowledge Base-artikel 3065718 voor meer informatie over deze update.
Betrokken software
De volgende software is getest om te bepalen welke versies of edities worden beïnvloed. Andere versies of edities zijn na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
Betrokken software
Veelgestelde vragen over bijwerken
Er worden GDR- en/of QFE-updates aangeboden voor mijn versie van SQL Server. Hoe kan ik weten welke update moet worden gebruikt?
Bepaal eerst uw SQL Server-versienummer. Zie het Microsoft Knowledge Base-artikel 321185 voor meer informatie over het bepalen van uw SQL Server-versienummer.
Zoek in de onderstaande tabel het versienummer of het versiebereik binnen het versienummer. De bijbehorende update is de update die u moet installeren.
Opmerking Als uw SQL Server-versienummer niet wordt weergegeven in de onderstaande tabel, wordt uw SQL Server-versie niet meer ondersteund. Voer een upgrade uit naar het nieuwste Service Pack- of SQL Server-product om deze en toekomstige beveiligingsupdates toe te passen.
| Updatenummer | Titel | Toepassen als de huidige productversie... | Deze beveiligingsupdate omvat ook onderhoudsreleases via... |
|---|---|---|---|
| 3045305 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2008 Service Pack 3 GDR: 14 juli 2015 | 10.00.5500.00 of 10.00.5520.00 | 2008 SP3 GDR (MS14-044) |
| 3045303 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2008 Service Pack 3 QFE: 14 juli 2015 | 10.00.5750. - 10.00.5869.00 | 2008 SP3 CU17 |
| 3045311 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2008 Service Pack 4 GDR: 14 juli 2015 | 10.0.6000.29 | 2008 SP4 |
| 3045308 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2008 Service Pack 4 QFE: 14 juli 2015 | 10.0.6500.00 - 10.0.6526.0 | 2008 SP4 |
| 3045313 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2008 R2 Service Pack 2 GDR: 14 juli 2015 | 10.50.4000.0 of 10.50.4033.0 | 2008 R2 SP2 GDR (MS14-044) |
| 3045312 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2008 R2 Service Pack 2 QFE: 14 juli 2015 | 10.50.4251.0 - 10.50.4331.0 | 2008 R2 SP2 CU13 |
| 3045316 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2008 R2 Service Pack 3 GDR: 14 juli 2015 | 10.50.6000.34 | 2008 R2 SP3 |
| 3045314 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2008 R2 Service Pack 3 QFE: 14 juli 2015 | 10.50.6500.0 - 10.50.6525.0 | 2008 R2 SP3 |
| 3045318 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2012 SP1 GDR: 14 juli 2015 | 11.0.3000.0 of 11.0.3153.0 | 2012 SP1 GDR (MS14-044) |
| 3045317 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2012 SP1 QFE: 14 juli 2015 | 11.0.3300.0 - 11.0.3492.0 | 2012 SP1 CU16 |
| 3045321 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2012 Service Pack 2 GDR: 14 juli 2015 | 11.0.5058.0 | 2012 SP2 |
| 3045319 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2012 Service Pack 2 QFE: 14 juli 2015 | 11.0.5500.0 - 11.0.5592.0 | 2012 SP2 CU6 |
| 3045324 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2014 GDR: 14 juli 2015 | 12.0.2000.8 of 12.0.2254.0 | 2014 RTM GDR (MS14-044) |
| 3045323 | MS15-058: Beschrijving van de beveiligingsupdate voor SQL Server 2014 QFE: 14 juli 2015 | 12.0.2300.0 - 12.0.2546.0 | 2014 RTM CU8 |
| 3070446 | MS15-058: Beschrijving van de niet-beveiligingsupdate voor SQL Server 2014 Service Pack 1 GDR: 14 juli 2015 | 12.0.4100.1 | 2014 SP1 |
Opmerking Voor de GDR-vertakking ziet u na het toepassen van de update geen uitvoering van het upgradescript voor de database. Dit is het verwachte gedrag omdat de patch alleen de binaire bestanden vervangt.
Zie de subsectie Informatie over beveiligingsupdates voor uw SQL Server-editie in de sectie Updategegevens voor aanvullende installatie-instructies.
Wat zijn de GDR- en QFE-updateaanduidingen en hoe verschillen ze?
De aanduidingen General Distribution Release (GDR) en Quick Fix Engineering (QFE) komen overeen met de twee verschillende updateservicebranches voor SQL Server. Het belangrijkste verschil tussen de twee is dat QFE-vertakkingen cumulatief alle updates bevatten, terwijl GDR-vertakkingen alleen beveiligingsupdates voor een bepaalde basislijn bevatten. Een basislijn kan de eerste RTM-release of een servicepack zijn.
Voor een bepaalde basislijn zijn de GDR- of QFE-vertakkingsupdates opties als u zich in de basislijn bevindt of een eerdere GDR-update voor die basislijn hebt geïnstalleerd. De QFE-vertakking is de enige optie als u een eerdere QFE hebt geïnstalleerd voor de basislijn waarop u zich bevindt.
Worden deze beveiligingsupdates aangeboden aan SQL Server-clusters?
Ja. De updates worden ook aangeboden aan SQL Server 2008-, SQL Server 2008 R2-, SQL Server 2012- en SQL Server 2014-exemplaren die zijn geclusterd. Voor updates voor SQL Server-clusters is gebruikersinteractie vereist.
Als het SQL Server 2008-, SQL Server 2008 R2-, SQL Server 2012- of SQL Server 2014-cluster een passief knooppunt heeft, raadt Microsoft u aan eerst de update te scannen en toe te passen op het inactieve knooppunt, vervolgens te scannen en toe te passen op het actieve knooppunt. Wanneer alle onderdelen op alle knooppunten zijn bijgewerkt, wordt de update niet meer aangeboden.
Kunnen de beveiligingsupdates worden toegepast op SQL Server-exemplaren in Windows Azure (IaaS)?
Ja. SQL Server-exemplaren in Windows Azure (IaaS) kunnen de beveiligingsupdates via Microsoft Update worden aangeboden, of klanten kunnen de beveiligingsupdates downloaden vanuit het Microsoft Downloadcentrum en ze handmatig toepassen.
Bevat deze beveiligingsupdate geen wijzigingen in de functionaliteit?
Ja. Naast de beveiligingswijzigingen die worden besproken in de sectie Details van beveiligingsproblemen van dit bulletin, bevat de beveiligingsupdate ook enkele belangrijke niet-beveiligingsoplossingen. Zie het Microsoft Knowledge Base-artikel 3065718 voor meer informatie.
Ik gebruik Microsoft SQL Server 2014 Service Pack 1, dat niet wordt vermeld als betrokken software. Waarom krijg ik een update aangeboden?
Microsoft SQL Server 2014 Service Pack 1 wordt niet beïnvloed door de beveiligingsproblemen die in dit bulletin worden besproken, maar is onderhevig aan een belangrijke niet-beveiligingsoplossing die met deze beveiligingsupdate wordt uitgebracht. Klanten die de GDR-vertakking van Microsoft SQL Server 2014 Service Pack 1 uitvoeren, worden daarom niet-beveiligingsupdates aangeboden 3070446. Zie het Microsoft Knowledge Base-artikel 3070446 voor een algemene beschrijving van de niet-beveiligingsupdate. Zie het Microsoft Knowledge Base-artikel 3067257 voor meer informatie over de oplossing voor niet-beveiliging.
Ernstclassificaties en id's voor beveiligingsproblemen
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Index exploitability in het bulletinoverzicht van juli.
| Ernstclassificatie van beveiligingsproblemen en maximale beveiligingsimpact door betrokken software | ||||
|---|---|---|---|---|
| Betrokken software | Beveiligingsprobleem met sql Server-uitbreiding van bevoegdheden - CVE-2015-1761 | Beveiligingsprobleem met uitvoering van externe code van SQL Server - CVE-2015-1762 | Beveiligingsprobleem met uitvoering van externe code van SQL Server - CVE-2015-1763 | Classificatie voor cumulatieve ernst |
| SQL Server 2008 Service Pack 3 | ||||
| Microsoft SQL Server 2008 voor 32-bits systemen Service Pack 3 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| Microsoft SQL Server 2008 voor x64-systemen Service Pack 3 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| Microsoft SQL Server 2008 voor Op Itanium gebaseerde Systemen Service Pack 3 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| SQL Server 2008 Service Pack 4 | ||||
| Microsoft SQL Server 2008 voor 32-bits systemen Service Pack 4 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| Microsoft SQL Server 2008 voor x64-systemen Service Pack 4 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| SQL Server 2008 R2 Service Pack 2 | ||||
| Microsoft SQL Server 2008 R2 voor 32-bits systemen Service Pack 2 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| Microsoft SQL Server 2008 R2 voor x64-systemen Service Pack 2 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| Microsoft SQL Server 2008 R2 voor Op Itanium gebaseerde Systemen Service Pack 2 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| SQL Server 2008 R2 Service Pack 3 | ||||
| Microsoft SQL Server 2008 R2 voor 32-bits systemen Service Pack 3 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| Microsoft SQL Server 2008 R2 voor x64-systemen Service Pack 3 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| SQL Server 2012 Service Pack 1 | ||||
| Microsoft SQL Server 2012 voor 32-bits systemen Service Pack 1 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| Microsoft SQL Server 2012 voor x64-systemen Service Pack 1 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| SQL Server 2012 Service Pack 2 | ||||
| Microsoft SQL Server 2012 voor 32-bits systemen Service Pack 2 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| Microsoft SQL Server 2012 voor x64-systemen Service Pack 2 | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| SQL Server 2014 | ||||
| Microsoft SQL Server 2014 voor 32-bits systemen | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
| Microsoft SQL Server 2014 voor x64-systemen | Belangrijke uitbreiding van bevoegdheden | Belangrijke uitvoering van externe code | Belangrijke uitvoering van externe code | Belangrijk |
Informatie over het beveiligingsprobleem
Beveiligingsprobleem met sql Server-uitbreiding van bevoegdheden - CVE-2015-1761
Er bestaat een beveiligingsprobleem met onrechtmatige uitbreiding van bevoegdheden in Microsoft SQL Server wanneer de aanwijzers onjuist worden omgezet in een onjuiste klasse. Een aanvaller kan misbruik maken van het beveiligingsprobleem als hun referenties toegang verlenen tot een betrokken SQL Server-database. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan verhoogde bevoegdheden krijgen die kunnen worden gebruikt om gegevens te bekijken, te wijzigen of te verwijderen; of maak nieuwe accounts.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door te corrigeren hoe SQL Server het casten van aanwijzers verwerkt.
Microsoft heeft informatie ontvangen over het beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen. Toen dit beveiligingsbulletin werd uitgegeven, had Microsoft geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar is gebruikt om klanten aan te vallen.
Factoren beperken
De volgende beperkende factoren kunnen nuttig zijn in uw situatie:
- Vereist machtigingen voor het maken of wijzigen van een databaseschema of -gegevens
Om dit beveiligingsprobleem te misbruiken, moet een aanvaller machtigingen hebben om een database te maken of te wijzigen.
Tijdelijke oplossingen
De volgende tijdelijke oplossingen zijn mogelijk handig in uw situatie:
Machtigingen beperken op de server voor het maken van databases en schema's
Omdat het beveiligingsprobleem alleen kan worden misbruikt binnen de context van zeer specifiek databaseschema, gegevens en query's, kan exploitatie worden voorkomen door strikt te bepalen wie machtigingen heeft voor het maken van databases en schema's op de server. Houd er rekening mee dat het beveiligingsprobleem wordt weergegeven in zeer specifieke edge-gevallen; het is zeer moeilijk om het schema en de query te definiëren waarmee het beveiligingsprobleem wordt blootgesteld.Aanvullende richtlijnen: In het onwaarschijnlijke geval dat SQL Server een fout met toegangsschending/preventie van gegevensuitvoering veroorzaakt tijdens het uitvoeren van specifieke query's, herschrijft u de query door deze op te splitsen in onderdelen en/of queryhints toe te voegen.
Beveiligingsprobleem met uitvoering van externe code van SQL Server - CVE-2015-1762
Er bestaat een beveiligingsprobleem met de uitvoering van externe code in Microsoft SQL Server wanneer interne functie-aanroepen onjuist worden verwerkt naar niet-geïnitialiseerd geheugen. Een aanvaller kan misbruik maken van het beveiligingsprobleem als een bevoegde gebruiker een speciaal gemaakte query uitvoert op een betrokken SQL-server met speciale machtigingsinstellingen (zoals VIEW SERVER STATE). Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan de controle over een getroffen systeem volledig overnemen. Een aanvaller kan vervolgens programma's installeren; gegevens weergeven, wijzigen of verwijderen; of maak nieuwe accounts.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door te corrigeren hoe SQL Server interne functie-aanroepen verwerkt naar niet-geïnitialiseerd geheugen.
Microsoft heeft informatie ontvangen over het beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen. Toen dit beveiligingsbulletin werd uitgegeven, had Microsoft geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar is gebruikt om klanten aan te vallen.
Factoren beperken
De volgende beperkende factoren kunnen nuttig zijn in uw situatie:
- Vereist een specifieke configuratie
Als u deze transactionele replicatie van beveiligingsproblemen wilt misbruiken, moet de aanvaller speciale machtigingsinstellingen (zoals VIEW SERVER STATE) hebben ingeschakeld.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Beveiligingsprobleem met uitvoering van externe code van SQL Server - CVE-2015-1763
Er bestaat een geverifieerd beveiligingsprobleem met het uitvoeren van externe code in Microsoft SQL Server wanneer interne functieaanroepen onjuist worden verwerkt naar niet-geïnitialiseerd geheugen. Een aanvaller kan misbruik maken van het beveiligingsprobleem als een bevoegde gebruiker een speciaal gemaakte query uitvoert die is ontworpen om een virtuele functie uit te voeren vanaf een onjuist adres, wat leidt tot een functieaanroep naar niet-geïnitialiseerd geheugen. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan de controle over een getroffen systeem volledig overnemen. Een aanvaller kan vervolgens programma's installeren; gegevens weergeven, wijzigen of verwijderen; of maak nieuwe accounts.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door te corrigeren hoe SQL Server interne functie-aanroepen verwerkt naar niet-geïnitialiseerd geheugen.
Microsoft heeft informatie ontvangen over het beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen. Toen dit beveiligingsbulletin werd uitgegeven, had Microsoft geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar is gebruikt om klanten aan te vallen.
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
De volgende tijdelijke oplossingen zijn mogelijk handig in uw situatie:
Machtigingen beperken op de server voor het maken van databases en schema's
Omdat het beveiligingsprobleem alleen kan worden misbruikt binnen de context van zeer specifiek databaseschema, gegevens en query's, kan exploitatie worden voorkomen door strikt te bepalen wie machtigingen heeft voor het maken van databases en schema's op de server. Houd er rekening mee dat het beveiligingsprobleem wordt weergegeven in zeer specifieke edge-gevallen; het is zeer moeilijk om het schema en de query te definiëren waarmee het beveiligingsprobleem wordt blootgesteld.Aanvullende richtlijnen: In het onwaarschijnlijke geval dat SQL Server een fout met toegangsschending/preventie van gegevensuitvoering veroorzaakt tijdens het uitvoeren van specifieke query's, herschrijft u de query door deze op te splitsen in onderdelen en/of queryhints toe te voegen.
Implementatie van beveiligingsupdates
Zie het Microsoft Knowledge Base-artikel waarnaar wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (14 juli 2015): Bulletin gepubliceerd.
- V1.1 (22 juli 2015): Het bulletin is gewijzigd om de sectie Veelgestelde vragen over updates te verbeteren, zodat klanten gemakkelijker de juiste update kunnen identificeren die moet worden toegepast op basis van een momenteel geïnstalleerde versie van SQL Server. Dit is alleen een informatieve wijziging. Klanten die de update al hebben geïnstalleerd, hoeven geen actie te ondernemen.
- V1.2 (9 december 2015): Het bulletin is aangepast om de richtlijnen voor productversies in de sectie Veelgestelde vragen bijwerken te verduidelijken door deze af te stemmen op de richtlijnen in eerdere versies. Dit is alleen een informatieve wijziging. Klanten die de update al hebben geïnstalleerd, hoeven geen actie te ondernemen.
Pagina gegenereerd 2015-12-09 11:11Z-08:00.