Modelo do MSRC ppDocument

Boletim de Segurança da Microsoft MS15-058 - Importante

Vulnerabilidades no SQL Server podem permitir a execução remota de código (3065718)

Publicado em: 14.07.2015 | Atualizado em: 22.07.2015

Versão: 1.1

Sinopse

Esta atualização de segurança resolve vulnerabilidades no Microsoft SQL Server. As vulnerabilidades mais graves podem permitir a execução remota de código se um atacante não autenticado executar uma consulta especialmente criada que foi projetada para executar uma função virtual a partir de um endereço incorreto, levando a uma chamada de função para uma memória não inicializada. Para explorar essa vulnerabilidade um atacante precisaria de permissões para criar ou modificar um banco de dados.

Esta atualização de segurança foi classificada como Importante para todas as edições com suporte do Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2012 e Microsoft SQL Server 2014. Para obter mais informações, consulte a seção Software Afetado.

A atualização de segurança aborda as vulnerabilidades corrigindo como o SQL Server lida com chamadas de função interna e a conversão de ponteiro. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3065718 da Base de Dados de Conhecimento da Microsoft.

Software Afetado

O software a seguir foi testado para determinar quais versões ou edições foram afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft

Software afetado

**Atualizações de software GDR** **Atualizações de software QFE** **Impacto máximo à segurança** **Avaliação de gravidade agregada** **Atualizações substituídas**
**SQL Server 2008 Service Pack 3**
[Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3](https://www.microsoft.com/pt-br/download/details.aspx?id=48005) (3045305) [Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3](https://www.microsoft.com/pt-br/download/details.aspx?id=48013) (3045303) Execução remota de código Importante Nenhuma
[Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 3](https://www.microsoft.com/pt-br/download/details.aspx?id=48005) (3045305) [Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 3](https://www.microsoft.com/pt-br/download/details.aspx?id=48013) (3045303) Execução remota de código Importante Nenhuma
[Microsoft SQL Server 2008 para sistemas baseados em Itanium Service Pack 3](https://www.microsoft.com/pt-br/download/details.aspx?id=48005) (3045305) [Microsoft SQL Server 2008 para sistemas baseados em Itanium Service Pack 3](https://www.microsoft.com/pt-br/download/details.aspx?id=48013) (3045303) Execução remota de código Importante Nenhuma
**SQL Server 2008 Service Pack 4**
[Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 4](https://www.microsoft.com/pt-br/download/details.aspx?id=48006) (3045311) [Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 4](https://www.microsoft.com/pt-br/download/details.aspx?id=48016) (3045308) Execução remota de código Importante Nenhuma
[Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 4](https://www.microsoft.com/pt-br/download/details.aspx?id=48006) (3045311) [Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 4](https://www.microsoft.com/pt-br/download/details.aspx?id=48016) (3045308) Execução remota de código Importante Nenhuma
**SQL Server 2008 R2 Service Pack 2**
[Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 2](https://www.microsoft.com/pt-br/download/details.aspx?id=48017) (3045313) [Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 2](https://www.microsoft.com/pt-br/download/details.aspx?id=48015) (3045312) Execução remota de código Importante Nenhuma
[Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 2](https://www.microsoft.com/pt-br/download/details.aspx?id=48017) (3045313) [Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 2](https://www.microsoft.com/pt-br/download/details.aspx?id=48015) (3045312) Execução remota de código Importante Nenhuma
[Microsoft SQL Server 2008 R2 para sistemas baseados em Itanium Service Pack 2](https://www.microsoft.com/pt-br/download/details.aspx?id=48017) (3045313) [Microsoft SQL Server 2008 R2 para sistemas baseados em Itanium Service Pack 2](https://www.microsoft.com/pt-br/download/details.aspx?id=48015) (3045312) Execução remota de código Importante Nenhuma
**SQL Server 2008 R2 Service Pack 3**
[Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 3](https://www.microsoft.com/pt-br/download/details.aspx?id=48019) (3045316) [Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 3](https://www.microsoft.com/pt-br/download/details.aspx?id=48008) (3045314) Execução remota de código Importante Nenhuma
[Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 3](https://www.microsoft.com/pt-br/download/details.aspx?id=48019) (3045316) [Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 3](https://www.microsoft.com/pt-br/download/details.aspx?id=48008) (3045314) Execução remota de código Importante Nenhuma
**SQL Server 2012 Service Pack 1**
[Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 1](https://www.microsoft.com/pt-br/download/details.aspx?id=48014) (3045318) [Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 1](https://www.microsoft.com/pt-br/download/details.aspx?id=48018) (3045317) Execução remota de código Importante Nenhuma
[Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 1](https://www.microsoft.com/pt-br/download/details.aspx?id=48014) (3045318) [Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 1](https://www.microsoft.com/pt-br/download/details.aspx?id=48018) (3045317) Execução remota de código Importante Nenhuma
**SQL Server 2012 Service Pack 2**
[Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2](https://www.microsoft.com/pt-br/download/details.aspx?id=48007) (3045321) [Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2](https://www.microsoft.com/pt-br/download/details.aspx?id=48012) (3045319) Execução remota de código Importante Nenhuma
[Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2](https://www.microsoft.com/pt-br/download/details.aspx?id=48007) (3045321) [Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2](https://www.microsoft.com/pt-br/download/details.aspx?id=48012) (3045319) Execução remota de código Importante Nenhuma
**SQL Server 2014**
[Microsoft SQL Server 2014 para sistemas de 32 bits](https://www.microsoft.com/pt-br/download/details.aspx?id=48009) (3045324) [Microsoft SQL Server 2014 para sistemas de 32 bits](https://www.microsoft.com/pt-br/download/details.aspx?id=48010) (3045323) Execução remota de código Importante Nenhuma
[Microsoft SQL Server 2014 para sistemas baseados em x64](https://www.microsoft.com/pt-br/download/details.aspx?id=48009) (3045324) [Microsoft SQL Server 2014 para sistemas baseados em x64](https://www.microsoft.com/pt-br/download/details.aspx?id=48010) (3045323) Execução remota de código Importante Nenhuma

Perguntas frequentes de atualização

Há atualizações GDR e/ou QFE sendo oferecidas para a minha versão do SQL Server. Como sei qual atualização devo usar?
Primeiro, determine o número da versão de seu SQL Server. Para obter mais informações sobre como determinar o número da versão do SQL Server, consulte o artigo 321185 da Microsoft Knowledge Base.

Segundo, na tabela abaixo, localize o número da versão ou o intervalo de versões que o número de sua versão pertence. A atualização correspondente é a que você precisa instalar.

Observação Se o número da sua versão do SQL Server não está representado na tabela abaixo, não há mais suporte para sua versão do SQL Server. Atualize para o Service Pack ou produto SQL Server mais recente para aplicar esta e futuras atualizações de segurança.

Número da atualização Título Aplicar se a versão atual do produto é... Esta atualização de segurança também inclui a manutenção de versões até...
3045305 MS15-058: Descrição da atualização de segurança do SQL Server 2008 Service Pack 3 GDR: 14.07.2015 10.00.5500.00 ou 10.00.5520.00 2008 SP3 GDR (MS14-044)
3045303 MS15-058: Descrição da atualização de segurança do SQL Server 2008 Service Pack 3 QFE: 14.07.2015 10.00.5500.00 - 10.00.5869.00 2008 SP3 CU17
3045311 MS15-058: Descrição da atualização de segurança do SQL Server 2008 Service Pack 4 GDR: 14.07.2015 10.0.6000.29 2008 SP4
3045308 MS15-058: Descrição da atualização de segurança do SQL Server 2008 Service Pack 4 QFE: 14.07.2015 10.0.6000.29 - 10.0.6526.0 2008 SP4
3045313 MS15-058: Descrição da atualização de segurança do SQL Server 2008 R2 Service Pack 2 GDR: 14.07.2015 10.50.4000.0 ou 10.50.4033.0 2008 R2 SP2 GDR (MS14-044)
3045312 MS15-058: Descrição da atualização de segurança do SQL Server 2008 R2 Service Pack 2 QFE: 14.07.2015 10.50.4000.0 - 10.50.4331.0 2008 R2 SP2 CU13
3045316 MS15-058: Descrição da atualização de segurança do SQL Server 2008 R2 Service Pack 3 GDR: 14.07.2015 10.50.6000.34 2008 R2 SP3
3045314 MS15-058: Descrição da atualização de segurança do SQL Server 2008 R2 Service Pack 3 QFE: 14.07.2015 10.50.6000.34 - 10.50.6525.0 2008 R2 SP3
3045318 MS15-058: Descrição da atualização de segurança para SQL Server 2012 SP1 GDR: 14.07.2015 11.0.3000.0 ou 11.0.3153.0 2012 SP1 GDR (MS14-044)
3045317 MS15-058: Descrição para a atualização de segurança para SQL Server 2012 SP1 QFE: 14.07.2015 11.0.3000.0 - 11.0.3492.0 2012 SP1 CU16
3045321 MS15-058: Descrição da atualização de segurança do SQL Server 2012 Service Pack 2 GDR: 14.07.2015 11.0.5058.0 2012 SP2
3045319 MS15-058: Descrição da atualização de segurança do SQL Server 2012 Service Pack 2 QFE: 14.07.2015 11.0.5058.0 - 11.0.5592.0 2012 SP2 CU6
3045324 MS15-058: Descrição para a atualização de segurança para SQL Server 2014 GDR: 14.07.2015 12.0.2000.8 ou 12.0.2254.0 2014 RTM GDR (MS14-044)
3045323 MS15-058: Descrição para a atualização de segurança para SQL Server 2014 QFE: 14.07.2015 12.0.2000.8 - 12.0.2546.0 2014 RTM CU8
3070446 MS15-058: Descrição da atualização não relacionada à segurança do SQL Server 2014 Service Pack 1 GDR: 14.07.2015 12.0.4100.1 2014 SP1
**Observação** Para a ramificação GDR, depois de aplicar a atualização, você não verá a execução do script de atualização de banco de dados. Este é o comportamento esperado, pois o patch substitui apenas os arquivos binários. Para obter instruções adicionais de instalação, consulte a subseção Informações de atualização de segurança para sua edição do SQL Server na seção **Informações da atualização**. **O que são as designações de atualização GDR e QFE e como elas diferem?** As designações versão de distribuição geral (GDR) e Quick Fix Engineering (QFE) correspondem a duas diferentes ramificações de serviço de atualização no lugar para o SQL Server. A principal diferença entre as duas é que as ramificações QFE incluem cumulativamente *todas as* atualizações enquanto as ramificações GDR incluem *somente* atualizações de segurança para uma determinada linha de base. Uma linha de base pode ser a versão inicial do RTM ou um Service Pack. Para qualquer linha de base, as atualizações da ramificação GDR ou QFE são opções se você estiver na linha de base ou instalou uma atualização GDR anterior para aquela linha de base. A ramificação QFE é a única opção se você instalou uma QFE anterior para a linha de base que você está. **Essas atualizações de segurança também serão oferecidas para clusters do SQL Server?** Sim. As atualizações também serão oferecidas às instâncias do SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 e SQL Server 2014 com cluster. As atualizações para clusters do SQL Server exigirão a interação do usuário. Se o cluster do SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 ou SQL Server 2014 tiver um nó passivo, a Microsoft recomenda que você faça a varredura e aplique a atualização primeiro ao nó inativo e depois faça o mesmo ao nó passivo, para reduzir o tempo de inatividade. Quando todos os componentes tiverem sido atualizados em todos os nós, a atualização não será mais oferecida. **As atualizações de segurança podem ser aplicadas nas instâncias do SQL Server no Windows Azure (IaaS)?** Sim. As atualizações de segurança podem ser oferecidas para as instâncias do SQL Server no Windows Azure (IaaS) por meio do Microsoft Update ou os clientes podem baixá-las no Centro de Download da Microsoft e aplicá-las manualmente. **Esta atualização de segurança contém alguma alteração não relacionada à segurança desta funcionalidade?** Sim. Além das alterações relacionadas à segurança discutidas na seção Detalhes da vulnerabilidade deste boletim, a atualização de segurança também inclui algumas correções importantes não relacionadas à segurança. Para obter informações adicionais, consulte o [artigo 3065718 da Base de Dados de Conhecimento Microsoft](https://support.microsoft.com/pt-br/kb/3065718). **Estou executando o Microsoft SQL Server 2014 Service Pack 1, que não está listado como software afetado. Por que eu estou recebendo a oferta de uma atualização?**  O Microsoft SQL Server 2014 Service Pack 1 não foi afetado pelas vulnerabilidades discutidas neste boletim, mas está sujeito a uma correção importante não relacionada à segurança que está sendo lançada com esta atualização de segurança. No entanto, os clientes que estão executando a ramificação GDR do Microsoft SQL Server 2014 Service Pack 1 serão oferecidos a atualização 3070446 não relacionada à segurança. Para uma descrição geral da atualização não relacionada à segurança, consulte o [artigo 3070446 da Base de Dados de Conhecimento Microsoft](https://support.microsoft.com/pt-br/kb/3070446). Para obter mais informações sobre a correção não relacionada à segurança, consulte o [artigo 3067257 da Base de Dados de Conhecimento Microsoft](https://support.microsoft.com/pt-br/kb/3067257). Classificação de gravidade e Identificadores de vulnerabilidade --------------------------------------------------------------- As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no [resumo de boletins de julho](https://technet.microsoft.com/pt-br/library/security/ms15-jul).
**A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado**
**Software Afetado** [**Vulnerabilidade de elevação de privilégio do SQL Server - CVE-2015-1761**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1761) [**Vulnerabilidade de execução remota de código do SQL Server - CVE-2015-1762**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1762) [**Vulnerabilidade de execução remota de código do SQL Server - CVE-2015-1763**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1763) **Avaliação de gravidade agregada**
**SQL Server 2008 Service Pack 3**
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 3 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
Microsoft SQL Server 2008 para sistemas baseados em Itanium Service Pack 3 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
**SQL Server 2008 Service Pack 4**
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 4 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 4 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
**SQL Server 2008 R2 Service Pack 2**
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 2 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 2 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
Microsoft SQL Server 2008 R2 para sistemas baseados em Itanium Service Pack 2 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
**SQL Server 2008 R2 Service Pack 3**
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 3 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 3 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
**SQL Server 2012 Service Pack 1**
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 1 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 1 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
**SQL Server 2012 Service Pack 2**
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
**SQL Server 2014**
Microsoft SQL Server 2014 para sistemas de 32 bits **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**
Microsoft SQL Server 2014 para sistemas baseados em x64 **Importante**  Elevação de privilégio **Importante**  Execução remota de código **Importante**  Execução remota de código **Importante**

Informações sobre a vulnerabilidade

Vulnerabilidade de elevação de privilégio do SQL Server - CVE-2015-1761

Existe uma vulnerabilidade de elevação de privilégio no Microsoft SQL Server quando ele converte de forma inadequadas os ponteiros para uma classe incorreta. Um atacante pode explorar a vulnerabilidade se suas credenciais permitirem acesso a um banco de dados do servidor SQL afetado. Um atacante que explora com sucesso esta vulnerabilidade pode obter privilégios elevados que podem ser usados para visualizar, alterar ou excluir dados; ou criar novas contas.

A atualização de segurança aborda a vulnerabilidade corrigindo como o SQL Server lida com a conversão de ponteiro.

A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando esse boletim de segurança foi originalmente emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar clientes.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis no seu caso:

  • São necessárias permissões para criar ou modificar os dados ou esquema do banco de dados

    Para explorar essa vulnerabilidade um atacante precisaria de permissões para criar ou modificar um banco de dados.

Soluções alternativas

As seguintes soluções alternativas podem ser úteis em seu caso:

  • Limite as permissões no servidor para a criação do banco de dados e esquemas

    Visto que a vulnerabilidade é explorável somente dentro do contexto de consultas, dados e esquemas de banco de dados bem específicos, a exploração pode ser evitada ao controlar de forma restrita quem tem permissões para criar banco de dados e esquemas no servidor Observe que a vulnerabilidade é exposta em casos específicos bastante extremos; é extremamente difícil definir o esquema e a consulta que exporia a vulnerabilidade.

    Orientações adicionais: Na hipótese remota de que o SQL Server cause um erro de violação de acesso/ prevenção de execução de dados durante a execução de uma consulta específica, reescreva a consulta dividindo-a em partes e/ou adicionando dicas de consulta.

Vulnerabilidade de execução remota de código do SQL Server - CVE-2015-1762

Existe uma vulnerabilidade na execução remota de dados no Microsoft SQL Server quando ele lida de forma incorreta com as chamadas de função interna para uma memória não inicializada. Um atacante pode explorar a vulnerabilidade se um usuário privilegiado executa uma consulta especialmente criada em um servidor do SQL afetado que tem configurações de permissão especial (como VIEW SERVER STATE) ativadas. O atacante que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. Um atacante poderá instalar programas, visualizar, alterar ou excluir dados, ou ainda criar novas contas.

A atualização de segurança aborda a vulnerabilidade corrigindo como SQL Server lida com as chamadas de função interna para a memória não inicializada.

A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando esse boletim de segurança foi originalmente emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar clientes.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis no seu caso:

  • Exige uma configuração específica

    Para explorar esta vulnerabilidade a replicação transacional deve ser habilitada e o atacante deve ter configurações de permissão especial (como VIEW SERVER STATE) ativadas.

Soluções alternativas

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade. 

Vulnerabilidade de execução remota de código do SQL Server – CVE-2015-1763

Existe uma vulnerabilidade na execução remota de dados autenticada no Microsoft SQL Server quando ele lida de forma incorreta com as chamadas de função interna para uma memória não inicializada. Um atacante pode explorar a vulnerabilidade se um usuário privilegiado executar uma consulta especialmente criada que foi projetada para executar uma função virtual a partir de um endereço incorreto, levando a uma chamada de função para uma memória não inicializada. O atacante que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. Um atacante poderá instalar programas, visualizar, alterar ou excluir dados, ou ainda criar novas contas.

A atualização de segurança aborda a vulnerabilidade corrigindo como SQL Server lida com as chamadas de função interna para a memória não inicializada.

A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando esse boletim de segurança foi originalmente emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar clientes.

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

As seguintes soluções alternativas podem ser úteis em seu caso:

  • Limite as permissões no servidor para a criação do banco de dados e esquemas

    Visto que a vulnerabilidade é explorável somente dentro do contexto de consultas, dados e esquemas de banco de dados bem específicos, a exploração pode ser evitada ao controlar de forma restrita quem tem permissões para criar banco de dados e esquemas no servidor Observe que a vulnerabilidade é exposta em casos específicos bastante extremos; é extremamente difícil definir o esquema e a consulta que exporia a vulnerabilidade.

    Orientações adicionais: Na hipótese remota de que o SQL Server cause um erro de violação de acesso/ prevenção de execução de dados durante a execução de uma consulta específica, reescreva a consulta dividindo-a em partes e/ou adicionando dicas de consulta.

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft mencionado aqui no Sinopse.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (14.07.2015): Boletim publicado.
  • V1.1 (22.07.2015): Boletim revisado para melhorar a seção de Perguntas Frequentes sobre atualização para ajudar os clientes a identificarem mais facilmente a atualização correta para aplicar com base em uma versão atualmente instalada do SQL Server. Esta é apenas uma alteração informativa. Não há mais nenhuma ação para os clientes que já instalaram esta atualização com êxito.

Página gerada 21.07.15 12:26Z-07:00.