Microsoft 安全公告 MS16-136 - 重要提示
SQL Server 安全更新(3199641)
发布时间: 2016 年 11 月 8 日
版本: 1.0
执行摘要
此安全更新可解决 Microsoft SQL Server 中的漏洞。 最严重的漏洞可能允许攻击者获得可用于查看、更改或删除数据的提升权限;或创建新帐户。 安全更新通过更正 SQL Server 处理指针转换的方式来解决这些最严重的漏洞。
对于支持的 Microsoft SQL Server 2012 Service Packs 2 和 3 版本、Microsoft SQL Server 2014 Service Packs 1 和 2 以及 Microsoft SQL Server 2016,此安全更新的“重要”级别。 有关详细信息,请参阅 “受影响的软件 ”部分。
有关漏洞的详细信息,请参阅 “漏洞信息 ”部分。
有关此更新的详细信息,请参阅 Microsoft 知识库文章3199641。
受影响的软件
以下软件已经过测试,以确定受影响的版本。 其他版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期。
受影响的软件
更新常见问题解答
我的 SQL Server 版本提供 GDR 和/或 CU (累积更新) 更新。 如何实现知道要使用哪个更新?
首先,确定 SQL Server 版本号。 有关确定 SQL Server 版本号的详细信息,请参阅 Microsoft 知识库文章321185。
其次,在下表中,找到版本号或版本号所属于的版本范围。 相应的更新是需要安装的更新。
请注意 ,如果下表中未显示 SQL Server 版本号,则不再支持 SQL Server 版本。 请升级到最新的 Service Pack 或 SQL Server 产品,以便应用此安全更新和将来的安全更新。
| 更新编号 | 标题 | 如果当前产品版本为... | 此安全更新还包括通过... |
|---|---|---|---|
| 3194719 | MS16-136:SQL Server 2012 SP2 GDR 安全更新说明:2016 年 11 月 8 日 | 11.0.5058.0 - 11.0.5387.0 | MS15-058 |
| 3194725 | MS16-136:SQL Server 2012 SP2 CU 安全更新说明:2016 年 11 月 8 日 | 11.0.5500.0 - 11.0.5675.0 | SQL Server 2012 SP2 CU15 |
| 3194721 | MS16-136:SQL Server 2012 Service Pack 3 GDR 安全更新说明:2016 年 11 月 8 日 | 11.0.6020.0 - 11.0.6247.0 | SQL Server 2012 SP3 |
| 3194724 | MS16-136:SQL Server 2012 Service Pack 3 CU 安全更新说明:2016 年 11 月 8 日 | 11.0.6300.0 - 11.0.6566.0 | SQL Server 2012 SP3 CU6 |
| 3194720 | MS16-136:SQL Server 2014 Service Pack 1 GDR 安全更新说明:2016 年 11 月 8 日 | 12.0.4100.0 - 12.0.4231.0 | SQL Server 2014 SP1 的重要更新(知识库(KB)3070446) |
| 3194722 | MS16-136:SQL Server 2014 Service Pack 1 CU 安全更新说明:2016 年 11 月 8 日 | 12.0.4400.0 - 12.0.4486.0 | SQL Server 2014 SP1 CU9 |
| 3194714 | MS16-136:SQL Server 2014 Service Pack 2 GDR 安全更新说明:2016 年 11 月 8 日 | 12.0.5000.0 - 12.0.5202.0 | SQL Server 2014 SP2 |
| 3194718 | MS16-136:SQL Server 2014 Service Pack 2 CU 安全更新说明:2016 年 11 月 8 日 | 12.0.5400.0 - 12.0.5531.0 | SQL Server 2014 SP2 CU2 |
| 3194716 | MS16-136:SQL Server 2016 GDR 安全更新说明:2016 年 11 月 8 日 | 13.0.1605.0 - 13.0.1721.0 | 适用于 SQL Server 2016 Analysis Services 的关键更新 (KB3179258) |
| 3194717 | MS16-136:SQL Server 2016 CU 安全更新说明:2016 年 11 月 8 日 | 13.0.2100.0 - 13.0.2182.0 | SQL Server 2016 CU3 |
有关其他安装说明,请参阅“更新信息”部分中 SQL Server 版本的 安全更新信息 子部分。
GDR 和 CU 更新指定是什么,它们有何不同?
常规分发版本(GDR)和累积更新(CU)指定对应于 SQL Server 的两个不同的更新服务分支。 两者之间的主要区别是 CU 分支累积包含给定基线的所有更新,而 GDR 分支仅包含给定基线的累积关键更新。 基线可以是初始 RTM 版本或 Service Pack。
对于任何给定的基线,如果处于基线或仅为该基线安装了以前的 GDR 更新,则 GDR 或 CU 分支更新都是选项。 仅当为所打开的基线安装了以前的 SQL Server CU 时,CU 分支是唯一的选项。
这些安全更新是否提供给 SQL Server 群集?
是的。 还将向 SQL Server 2012 SP2/SP3、SQL Server 2014 SP1/SP2 和群集的 SQL Server 2016 RTM 实例提供更新。 SQL Server 群集汇报需要用户交互。
如果 SQL Server 2012 SP2/SP3、SQL Server 2014 SP1/SP2 和 SQL Server 2016 RTM 群集具有被动节点,以减少停机时间,Microsoft 建议先扫描更新并将其应用到非活动节点,然后扫描并将其应用到活动节点。 在所有节点上更新所有组件后,将不再提供更新。
安全更新是否可以应用于 Windows Azure 上的 SQL Server 实例(IaaS)?
是的。 Windows Azure 上的 SQL Server 实例(IaaS)可以通过 Microsoft 更新提供安全更新,或者客户可以从 Microsoft 下载中心下载安全更新,并手动应用它们。
严重性分级和漏洞标识符
以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 11 月公告摘要中的 Exploitability Index。
| 受影响的软件的漏洞严重性分级和最大安全影响 | ||||||
|---|---|---|---|---|---|---|
| 受影响的软件 | SQL RDBMS 引擎 EoP 漏洞 - CVE-2016-7249 | SQL RDBMS 引擎 EoP 漏洞 - CVE-2016-7250 | SQL RDBMS 引擎 EoP 漏洞 - CVE-2016-7254 | MDS API XSS 漏洞 - CVE-2016-7251 | SQL Analysis Services 信息泄露漏洞 - CVE-2016-7252 | SQL Server 代理特权提升漏洞 - CVE-2016-7253 |
| SQL Server 2012 Service Pack 2 | ||||||
| Microsoft SQL Server 2012 for 32 位系统 Service Pack 2 | 不适用 | 不适用 | 重要 特权提升 | 不适用 | 不适用 | 重要 特权提升 |
| 基于 x64 的系统 Service Pack 2 的 Microsoft SQL Server 2012 | 不适用 | 不适用 | 重要 特权提升 | 不适用 | 不适用 | 重要 特权提升 |
| SQL Server 2012 Service Pack 3 | ||||||
| Microsoft SQL Server 2012 for 32 位系统 Service Pack 3 | 不适用 | 不适用 | 重要 特权提升 | 不适用 | 不适用 | 重要 特权提升 |
| 基于 x64 的系统 Service Pack 3 的 Microsoft SQL Server 2012 | 不适用 | 不适用 | 重要 特权提升 | 不适用 | 不适用 | 重要 特权提升 |
| SQL Server 2014 Service Pack 1 | ||||||
| 适用于 32 位系统的 Microsoft SQL Server 2014 Service Pack 1 | 不适用 | 重要 特权提升 | 不适用 | 不适用 | 不适用 | 重要 特权提升 |
| 适用于基于 x64 的系统的 Microsoft SQL Server 2014 Service Pack 1 | 不适用 | 重要 特权提升 | 不适用 | 不适用 | 不适用 | 重要 特权提升 |
| SQL Server 2014 Service Pack 2 | ||||||
| Microsoft SQL Server 2014 Service Pack 2 for 32 位系统 | 不适用 | 重要 特权提升 | 不适用 | 不适用 | 不适用 | 重要 特权提升 |
| 适用于基于 x64 的系统的 Microsoft SQL Server 2014 Service Pack 2 | 不适用 | 重要 特权提升 | 不适用 | 不适用 | 不适用 | 重要 特权提升 |
| SQL Server 2016 | ||||||
| 适用于基于 x64 的系统的 Microsoft SQL Server 2016 | 重要 特权提升 | 重要 特权提升 | 不适用 | 重要 特权提升 | 重要 \ 信息泄露 | 不适用 |
漏洞信息
多个 SQL RDBMS 引擎特权提升漏洞
处理指针转换不当时,Microsoft SQL Server 中存在特权提升漏洞。 如果攻击者的凭据允许访问受影响的 SQL Server 数据库,攻击者可能会利用漏洞。 成功利用漏洞的攻击者可能会获得提升的权限,这些权限可用于查看、更改或删除数据;或创建新帐户。
安全更新通过更正 SQL Server 如何处理指针强制转换来解决漏洞
下表包含指向常见漏洞和公开列表中的每个漏洞的标准条目的链接:
| 漏洞标题 | CVE 编号 | 公开披露 | 利用 |
|---|---|---|---|
| SQL RDBMS 引擎特权提升漏洞 | CVE-2016-7249 | 否 | 否 |
| SQL RDBMS 引擎特权提升漏洞 | CVE-2016-7250 | 否 | 否 |
| SQL RDBMS 引擎特权提升漏洞 | CVE-2016-7254 | 否 | 否 |
缓解因素
Microsoft 尚未识别这些漏洞的任何 缓解因素 。
解决方法
Microsoft 尚未识别这些漏洞的任何 解决方法 。
MDS API XSS 漏洞 - CVE-2016-7251
SQL Server MDS 中存在 XSS 特权提升漏洞,攻击者可以将客户端脚本注入到 Internet Explorer 的用户实例中。 当 SQL Server MDS 未正确验证 SQL Server 站点上的请求参数时,会导致该漏洞。 该脚本可以欺骗内容、披露信息或采取用户代表目标用户在网站上执行的任何操作。
安全更新通过更正 SQL Server MDS 验证请求参数的方式来解决漏洞。
下表包含指向常见漏洞和公开列表中的漏洞的标准条目的链接:
| 漏洞标题 | CVE 编号 | 公开披露 | 利用 |
|---|---|---|---|
| MDS API XSS 漏洞 | CVE-2016-7251 | 否 | 否 |
缓解因素
Microsoft 尚未识别此漏洞的任何 缓解因素 。
解决方法
Microsoft 尚未识别此漏洞的任何 解决方法 。
SQL Analysis Services 信息泄露漏洞 - CVE-2016-7252
在错误地检查 FILESTREAM 路径时,Microsoft SQL Analysis Services 中存在信息泄露漏洞。 如果攻击者的凭据允许访问受影响的 SQL Server 数据库,攻击者可能会利用漏洞。 成功利用漏洞的攻击者可能会获取其他数据库和文件信息。
安全更新通过更正 SQL Server 处理 FILESTREAM 路径的方式来解决漏洞。
下表包含指向常见漏洞和公开列表中的漏洞的标准条目的链接:
| 漏洞标题 | CVE 编号 | 公开披露 | 利用 |
|---|---|---|---|
| SQL Analysis Services 信息泄露漏洞 | CVE-2016-7252 | 否 | 否 |
缓解因素
Microsoft 尚未识别此漏洞的任何缓解因素
解决方法
Microsoft 尚未识别此漏洞的任何 解决方法 。
SQL Server 代理特权提升漏洞 - CVE-2016-7253
当SQL Server 代理atxcore.dll上的 ACL 错误检查 ACL 时,Microsoft SQL Server 引擎中存在特权提升漏洞。 如果攻击者的凭据允许访问受影响的 SQL Server 数据库,攻击者可能会利用漏洞。 成功利用漏洞的攻击者可能会获得提升的权限,这些权限可用于查看、更改或删除数据;或创建新帐户。
安全更新通过更正 SQL Server 引擎处理 ACL 的方式来解决漏洞。
下表包含指向常见漏洞和公开列表中的漏洞的标准条目的链接:
| 漏洞标题 | CVE 编号 | 公开披露 | 利用 |
|---|---|---|---|
| SQL Server 代理特权提升漏洞 | CVE-2016-7253 | 否 | 否 |
缓解因素
Microsoft 尚未识别此漏洞的任何 缓解因素 。
解决方法
Microsoft 尚未识别此漏洞的任何 解决方法 。
致谢
Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息,请参阅确认。
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2016 年 11 月 8 日):公告已发布。
页面生成的 2016-11-09 08:02-08:00。