Boletín de seguridad de Microsoft MS15-058: importante

Las vulnerabilidades de SQL Server podrían permitir la ejecución remota de código (3065718)

Publicado: 14 de julio de 2015 | Actualizado: 9 de diciembre de 2015

Versión: 1.2

Resumen ejecutivo

Esta actualización de seguridad resuelve vulnerabilidades en Microsoft SQL Server. Las vulnerabilidades más graves podrían permitir la ejecución remota de código si un atacante autenticado ejecuta una consulta especialmente diseñada para ejecutar una función virtual desde una dirección incorrecta, lo que conduce a una llamada de función a memoria no inicializada. Para aprovechar esta vulnerabilidad, un atacante necesitaría permisos para crear o modificar una base de datos.

Esta actualización de seguridad es importante para las ediciones compatibles de Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2012 y Microsoft SQL Server 2014. Para obtener más información, consulte la sección Software afectado.

La actualización de seguridad aborda las vulnerabilidades mediante la corrección del modo en que SQL Server controla las llamadas de función internas y la conversión de punteros. Para obtener más información sobre las vulnerabilidades, consulte la sección Información de vulnerabilidades.

Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3065718.

Software afectado

Se ha probado el siguiente software para determinar qué versiones o ediciones se ven afectadas. Otras versiones o ediciones han pasado su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.

Software afectado 

GDR Software Novedades QFE Software Novedades Impacto máximo en la seguridad Clasificación de gravedad agregada Novedades reemplazado
SQL Server 2008 Service Pack 3
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3 (3045305) Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3 (3045303) Ejecución remota de código Importante None
Microsoft SQL Server 2008 para sistemas basados en x64 Service Pack 3 (3045305) Microsoft SQL Server 2008 para sistemas basados en x64 Service Pack 3 (3045303) Ejecución remota de código Importante None
Microsoft SQL Server 2008 para sistemas basados en Itanium Service Pack 3 (3045305) Microsoft SQL Server 2008 para sistemas basados en Itanium Service Pack 3 (3045303) Ejecución remota de código Importante None
SQL Server 2008 Service Pack 4
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 4 (3045311) Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 4 (3045308) Ejecución remota de código Importante None
Microsoft SQL Server 2008 para sistemas basados en x64 Service Pack 4 (3045311) Microsoft SQL Server 2008 para sistemas basados en x64 Service Pack 4 (3045308) Ejecución remota de código Importante None
SQL Server 2008 R2 Service Pack 2
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 2 (3045312) Ejecución remota de código Importante None
Microsoft SQL Server 2008 R2 para sistemas basados en x64 Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 para sistemas basados en x64 Service Pack 2 (3045312) Ejecución remota de código Importante None
Microsoft SQL Server 2008 R2 para sistemas basados en Itanium Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 para sistemas basados en Itanium Service Pack 2 (3045312) Ejecución remota de código Importante None
SQL Server 2008 R2 Service Pack 3
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 3 (3045316) Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 3 (3045314) Ejecución remota de código Importante None
Microsoft SQL Server 2008 R2 para sistemas basados en x64 Service Pack 3 (3045316) Microsoft SQL Server 2008 R2 para sistemas basados en x64 Service Pack 3 (3045314) Ejecución remota de código Importante None
SQL Server 2012 Service Pack 1
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 1 (3045318) Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 1 (3045317) Ejecución remota de código Importante None
Microsoft SQL Server 2012 para sistemas basados en x64 Service Pack 1 (3045318) Microsoft SQL Server 2012 para sistemas basados en x64 Service Pack 1 (3045317) Ejecución remota de código Importante None
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 (3045321) Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 (3045319) Ejecución remota de código Importante None
Microsoft SQL Server 2012 para sistemas basados en x64 Service Pack 2 (3045321) Microsoft SQL Server 2012 para sistemas basados en x64 Service Pack 2 (3045319) Ejecución remota de código Importante None
SQL Server 2014
Microsoft SQL Server 2014 para sistemas de 32 bits (3045324) Microsoft SQL Server 2014 para sistemas de 32 bits (3045323) Ejecución remota de código Importante None
Microsoft SQL Server 2014 para sistemas basados en x64 (3045324) Microsoft SQL Server 2014 para sistemas basados en x64 (3045323) Ejecución remota de código Importante None

Preguntas más frecuentes sobre la actualización

Hay actualizaciones de GDR o QFE que se ofrecen para mi versión de SQL Server. Cómo saber qué actualización se va a usar?
En primer lugar, determine el número de versión de SQL Server. Para obtener más información sobre cómo determinar el número de versión de SQL Server, consulte el artículo 321185 de Microsoft Knowledge Base.

En segundo lugar, en la tabla siguiente, busque el número de versión o el intervalo de versiones en el que se encuentra el número de versión. La actualización correspondiente es la que necesita instalar.

Nota Si el número de versión de SQL Server no está representado en la tabla siguiente, ya no se admite la versión de SQL Server. Actualice al producto Service Pack o SQL Server más reciente para aplicar estas actualizaciones de seguridad y futuras.

Número de actualización Título Aplicar si la versión actual del producto es... Esta actualización de seguridad también incluye versiones de mantenimiento hasta...
3045305 MS15-058: Descripción de la actualización de seguridad para SQL Server 2008 Service Pack 3 GDR: 14 de julio de 2015 10.00.5500.00 o 10.00.5520.00 2008 SP3 GDR (MS14-044)
3045303 MS15-058: Descripción de la actualización de seguridad para SQL Server 2008 Service Pack 3 QFE: 14 de julio de 2015 10.00.5750. - 10.00.5869.00 2008 SP3 CU17
3045311 MS15-058: Descripción de la actualización de seguridad para SQL Server 2008 Service Pack 4 GDR: 14 de julio de 2015 10.0.6000.29 2008 SP4
3045308 MS15-058: Descripción de la actualización de seguridad para SQL Server 2008 Service Pack 4 QFE: 14 de julio de 2015 10.0.6500.00 - 10.0.6526.0 2008 SP4
3045313 MS15-058: Descripción de la actualización de seguridad para SQL Server 2008 R2 Service Pack 2 GDR: 14 de julio de 2015 10.50.4000.0 o 10.50.4033.0 2008 R2 SP2 GDR (MS14-044)
3045312 MS15-058: Descripción de la actualización de seguridad para SQL Server 2008 R2 Service Pack 2 QFE: 14 de julio de 2015 10.50.4251.0 - 10.50.4331.0 2008 R2 SP2 CU13
3045316 MS15-058: Descripción de la actualización de seguridad para SQL Server 2008 R2 Service Pack 3 GDR: 14 de julio de 2015 10.50.6000.34 2008 R2 SP3
3045314 MS15-058: Descripción de la actualización de seguridad para SQL Server 2008 R2 Service Pack 3 QFE: 14 de julio de 2015 10.50.6500.0 - 10.50.6525.0 2008 R2 SP3
3045318 MS15-058: Descripción de la actualización de seguridad de SQL Server 2012 SP1 GDR: 14 de julio de 2015 11.0.3000.0 o 11.0.3153.0 2012 SP1 GDR (MS14-044)
3045317 MS15-058: Descripción de la actualización de seguridad de SQL Server 2012 SP1 QFE: 14 de julio de 2015 11.0.3300.0 - 11.0.3492.0 2012 SP1 CU16
3045321 MS15-058: Descripción de la actualización de seguridad para SQL Server 2012 Service Pack 2 GDR: 14 de julio de 2015 11.0.5058.0 2012 SP2
3045319 MS15-058: descripción de la actualización de seguridad para SQL Server 2012 Service Pack 2 QFE: 14 de julio de 2015 11.0.5500.0 - 11.0.5592.0 2012 SP2 CU6
3045324 MS15-058: Descripción de la actualización de seguridad de SQL Server 2014 GDR: 14 de julio de 2015 12.0.2000.8 o 12.0.2254.0 2014 RTM GDR (MS14-044)
3045323 MS15-058: Descripción de la actualización de seguridad de SQL Server 2014 QFE: 14 de julio de 2015 12.0.2300.0 - 12.0.2546.0 2014 RTM CU8
3070446 MS15-058: Descripción de la actualización no de seguridad para SQL Server 2014 Service Pack 1 GDR: 14 de julio de 2015 12.0.4100.1 2014 SP1

Nota Para la rama GDR, después de aplicar la actualización, no verá la ejecución del script de actualización de la base de datos. Este es el comportamiento esperado, ya que la revisión solo reemplaza los archivos binarios.

Para obtener instrucciones de instalación adicionales, consulte la subsección Información de actualización de seguridad de la edición de SQL Server en la sección Información de actualización.

¿Cuáles son las designaciones de actualización de GDR y QFE y cómo difieren?
Las designaciones General Distribution Release (GDR) y Quick Fix Engineering (QFE) corresponden a las dos ramas de mantenimiento de actualizaciones diferentes para SQL Server. La principal diferencia entre los dos es que las ramas de QFE incluyen acumulativamente todas las actualizaciones, mientras que las ramas de GDR solo incluyen actualizaciones de seguridad para una línea base determinada. Una línea base puede ser la versión inicial de RTM o un Service Pack.

Para cualquier línea base determinada, las actualizaciones de la rama GDR o QFE son opciones si está en la línea base o ha instalado una actualización de GDR anterior para esa línea de base. La rama QFE es la única opción si ha instalado una QFE anterior para la línea base en la que está.

¿Se ofrecerán estas actualizaciones de seguridad a los clústeres de SQL Server? 
Sí. Las actualizaciones también se ofrecerán a instancias de SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 y SQL Server 2014 en clúster. Novedades para clústeres de SQL Server requerirán interacción del usuario.

Si el clúster de SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 o SQL Server 2014 tiene un nodo pasivo, para reducir el tiempo de inactividad, Microsoft recomienda examinar y aplicar primero la actualización al nodo inactivo y, a continuación, examinarlo y aplicarlo al nodo activo. Cuando todos los componentes se hayan actualizado en todos los nodos, ya no se ofrecerá la actualización.

¿Se pueden aplicar las actualizaciones de seguridad a instancias de SQL Server en Windows Azure (IaaS)?
Sí. Las instancias de SQL Server en Windows Azure (IaaS) se pueden ofrecer las actualizaciones de seguridad a través de Microsoft Update, o los clientes pueden descargar las actualizaciones de seguridad del Centro de descarga de Microsoft y aplicarlas manualmente.

¿Esta actualización de seguridad contiene cambios que no son de seguridad en la funcionalidad?
Sí. Además de los cambios relacionados con la seguridad descritos en la sección Detalles de vulnerabilidad de este boletín, la actualización de seguridad también incluye algunas correcciones importantes que no son de seguridad. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 3065718.

Estoy ejecutando Microsoft SQL Server 2014 Service Pack 1, que no aparece como software afectado. ¿Por qué se me ofrece una actualización?
Microsoft SQL Server 2014 Service Pack 1 no se ve afectado por las vulnerabilidades descritas en este boletín, pero está sujeta a una corrección importante que no es de seguridad que se publica con esta actualización de seguridad. Por lo tanto, los clientes que ejecutan la rama GDR de Microsoft SQL Server 2014 Service Pack 1 se ofrecerán 3070446 de actualización no de seguridad. Para obtener una descripción general de la actualización que no es de seguridad, consulte el artículo de Microsoft Knowledge Base 3070446. Para obtener más información sobre la corrección que no es de seguridad, consulte el artículo de Microsoft Knowledge Base 3067257.

Clasificaciones de gravedad e identificadores de vulnerabilidad

Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad y su impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de julio.

Clasificación de gravedad de vulnerabilidad y impacto máximo en la seguridad por parte del software afectado
Software afectado Vulnerabilidad de elevación de privilegios de SQL Server: CVE-2015-1761 Vulnerabilidad de ejecución remota de código de SQL Server: CVE-2015-1762 Vulnerabilidad de ejecución remota de código de SQL Server: CVE-2015-1763 Clasificación de gravedad agregada
SQL Server 2008 Service Pack 3
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
Microsoft SQL Server 2008 para sistemas basados en x64 Service Pack 3 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
Microsoft SQL Server 2008 para sistemas basados en Itanium Service Pack 3 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
SQL Server 2008 Service Pack 4
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 4 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
Microsoft SQL Server 2008 para sistemas basados en x64 Service Pack 4 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
SQL Server 2008 R2 Service Pack 2
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 2 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
Microsoft SQL Server 2008 R2 para sistemas basados en x64 Service Pack 2 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
Microsoft SQL Server 2008 R2 para sistemas basados en Itanium Service Pack 2 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
SQL Server 2008 R2 Service Pack 3
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 3 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
Microsoft SQL Server 2008 R2 para sistemas basados en x64 Service Pack 3 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
SQL Server 2012 Service Pack 1
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 1 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
Microsoft SQL Server 2012 para sistemas basados en x64 Service Pack 1 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
Microsoft SQL Server 2012 para sistemas basados en x64 Service Pack 2 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
SQL Server 2014
Microsoft SQL Server 2014 para sistemas de 32 bits Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante
Microsoft SQL Server 2014 para sistemas basados en x64 Elevación importante de privilegios Importante ejecución remota de código Importante ejecución remota de código Importante

Información de vulnerabilidad

Vulnerabilidad de elevación de privilegios de SQL Server: CVE-2015-1761

Existe una vulnerabilidad de elevación de privilegios en Microsoft SQL Server cuando convierte incorrectamente punteros a una clase incorrecta. Un atacante podría aprovechar la vulnerabilidad si sus credenciales permiten el acceso a una base de datos de SQL Server afectada. Un atacante que aprovechara correctamente esta vulnerabilidad podría obtener privilegios elevados que se podrían usar para ver, cambiar o eliminar datos; o bien cree cuentas nuevas.

La actualización de seguridad aborda la vulnerabilidad mediante la corrección del modo en que SQL Server controla la conversión de punteros.

Microsoft recibió información sobre la vulnerabilidad a través de la divulgación coordinada de vulnerabilidades. Cuando se emitió este boletín de seguridad, Microsoft no había recibido ninguna información para indicar que esta vulnerabilidad se había usado públicamente para atacar a los clientes.

Factores de mitigación

Los siguientes factores de mitigación pueden ser útiles en su situación:

  • Requiere permisos para crear o modificar el esquema o los datos de la base de datos
    Para aprovechar esta vulnerabilidad, un atacante necesitaría permisos para crear o modificar una base de datos.

Soluciones alternativas

Las siguientes soluciones alternativas pueden resultar útiles en su situación:

  • Limitar permisos en el servidor para la creación de bases de datos y esquemas
    Dado que la vulnerabilidad solo se puede aprovechar en el contexto de un esquema de base de datos, datos y consultas muy específicos, la explotación se puede evitar mediante el control estricto de quién tiene permisos para crear bases de datos y esquema en el servidor. Tenga en cuenta que la vulnerabilidad se expone en casos perimetrales muy específicos; es extremadamente difícil definir el esquema y la consulta que expondrían la vulnerabilidad.

    Instrucciones adicionales: en el caso poco probable de que SQL Server produzca un error de infracción de acceso/prevención de ejecución de datos durante la ejecución de consultas específica, vuelva a escribir la consulta dividiendola en partes o agregando sugerencias de consulta.

Vulnerabilidad de ejecución remota de código de SQL Server: CVE-2015-1762

Existe una vulnerabilidad de ejecución remota de código en Microsoft SQL Server cuando controla incorrectamente las llamadas de función interna a memoria no inicializada. Un atacante podría aprovechar la vulnerabilidad si un usuario con privilegios ejecuta una consulta especialmente diseñada en un servidor SQL server afectado que tiene activada la configuración de permisos especial (como VIEW SERVER STATE). Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o bien cree cuentas nuevas.

La actualización de seguridad soluciona la vulnerabilidad mediante la corrección de cómo SQL Server controla las llamadas de función internas a la memoria no inicializada.

Microsoft recibió información sobre la vulnerabilidad a través de la divulgación coordinada de vulnerabilidades. Cuando se emitió este boletín de seguridad, Microsoft no había recibido ninguna información para indicar que esta vulnerabilidad se había usado públicamente para atacar a los clientes.

Factores de mitigación

Los siguientes factores de mitigación pueden ser útiles en su situación:

  • Requiere una configuración específica
    Para aprovechar esta replicación transaccional de vulnerabilidad debe estar habilitada y el atacante debe tener activada la configuración de permisos especial (como VIEW SERVER STATE).

Soluciones alternativas

Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.

Vulnerabilidad de ejecución remota de código de SQL Server: CVE-2015-1763

Existe una vulnerabilidad de ejecución remota de código autenticada en Microsoft SQL Server cuando controla incorrectamente las llamadas de función internas a la memoria no inicializada. Un atacante podría aprovechar la vulnerabilidad si un usuario con privilegios ejecuta una consulta especialmente diseñada para ejecutar una función virtual desde una dirección incorrecta, lo que conduce a una llamada de función a memoria no inicializada. Un atacante que aprovechara correctamente esta vulnerabilidad podría tomar el control completo de un sistema afectado. Un atacante podría entonces instalar programas; ver, cambiar o eliminar datos; o bien cree cuentas nuevas.

La actualización de seguridad soluciona la vulnerabilidad mediante la corrección de cómo SQL Server controla las llamadas de función internas a la memoria no inicializada.

Microsoft recibió información sobre la vulnerabilidad a través de la divulgación coordinada de vulnerabilidades. Cuando se emitió este boletín de seguridad, Microsoft no había recibido ninguna información para indicar que esta vulnerabilidad se había usado públicamente para atacar a los clientes.

Factores de mitigación

Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.

Soluciones alternativas

Las siguientes soluciones alternativas pueden resultar útiles en su situación:

  • Limitar permisos en el servidor para la creación de bases de datos y esquemas
    Dado que la vulnerabilidad solo se puede aprovechar en el contexto de un esquema de base de datos, datos y consultas muy específicos, la explotación se puede evitar mediante el control estricto de quién tiene permisos para crear bases de datos y esquema en el servidor. Tenga en cuenta que la vulnerabilidad se expone en casos perimetrales muy específicos; es extremadamente difícil definir el esquema y la consulta que expondrían la vulnerabilidad.

    Instrucciones adicionales: en el caso poco probable de que SQL Server produzca un error de infracción de acceso/prevención de ejecución de datos durante la ejecución de consultas específica, vuelva a escribir la consulta dividiendola en partes o agregando sugerencias de consulta.

Implementación de actualizaciones de seguridad

Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.

Agradecimientos

Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.

Declinación de responsabilidades

La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones

  • V1.0 (14 de julio de 2015): Boletín publicado.
  • V1.1 (22 de julio de 2015): boletín revisado para mejorar la sección De preguntas más frecuentes sobre actualizaciones para ayudar a los clientes a identificar más fácilmente la actualización correcta que se aplicará en función de una versión instalada actualmente de SQL Server. Solo se trata de un cambio informativo. Los clientes que ya han instalado correctamente la actualización no necesitan realizar ninguna acción.
  • V1.2 (9 de diciembre de 2015): El boletín ha revisado para aclarar las instrucciones de la versión del producto en la sección Preguntas más frecuentes de actualización al alinearla con las instrucciones proporcionadas en versiones anteriores. Solo se trata de un cambio informativo. Los clientes que ya han instalado correctamente la actualización no necesitan realizar ninguna acción.

Página generada 2015-12-09 11:11Z-08:00.