Microsoft セキュリティ情報 MS16-136 - 重要

SQL Server のセキュリティ更新プログラム (3199641)

公開日: 2016 年 11 月 8 日

バージョン: 1.0

概要

このセキュリティ更新プログラムは、Microsoft SQL Server の脆弱性を解決します。 最も深刻な脆弱性により、攻撃者は、データの表示、変更、または削除に使用できる昇格された特権を取得する可能性があります。または新しいアカウントを作成します。 このセキュリティ更新プログラムは、SQL Server がポインター のキャストを処理する方法を修正することで、これらの最も深刻な脆弱性に対処します。

このセキュリティ更新プログラムは、Microsoft SQL Server 2012 Service Pack 2 および 3、Microsoft SQL Server 2014 Service Pack 1 および 2、および Microsoft SQL Server 2016 のサポートされているエディションで重要と評価されます。 詳細については、「影響を受けるソフトウェア」セクションを参照してください。

脆弱性の詳細については、「脆弱性情報」セクションを参照してください。

この更新プログラムの詳細については、マイクロソフト サポート技術情報の記事3199641を参照してください

影響を受けるソフトウェア

次のソフトウェアは、影響を受けるバージョンまたはエディションを特定するためにテストされています。 その他のバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください

影響を受けるソフトウェア 

GDR ソフトウェア 更新 累積的なソフトウェア 更新 セキュリティへの影響の最大値 重大度の評価の集計
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 for 32-bit Systems Service Pack 2 (3194719) Microsoft SQL Server 2012 for 32-bit Systems Service Pack 2 (3194725) 特権の昇格 重要
x64 ベースシステム Service Pack 2 用 Microsoft SQL Server 2012 (3194719) x64 ベースシステム Service Pack 2 用 Microsoft SQL Server 2012 (3194725) 特権の昇格 重要
SQL Server 2012 Service Pack 3
Microsoft SQL Server 2012 for 32-bit Systems Service Pack 3 (3194721) Microsoft SQL Server 2012 for 32-bit Systems Service Pack 3 (3194724) 特権の昇格 重要
x64 ベースシステム Service Pack 3 用 Microsoft SQL Server 2012 (3194721) x64 ベースシステム Service Pack 3 用 Microsoft SQL Server 2012 (3194724) 特権の昇格 重要
SQL Server 2014 Service Pack 1
32 ビット システム 用 Microsoft SQL Server 2014 Service Pack 1 (3194720) 32 ビット システム 用 Microsoft SQL Server 2014 Service Pack 1 (3194722) 特権の昇格 重要
x64 ベース システム 用 Microsoft SQL Server 2014 Service Pack 1 (3194720) x64 ベース システム 用 Microsoft SQL Server 2014 Service Pack 1 (3194722) 特権の昇格 重要
SQL Server 2014 Service Pack 2
32 ビット システム 用 Microsoft SQL Server 2014 Service Pack 2 (3194714) 32 ビット システム 用 Microsoft SQL Server 2014 Service Pack 2 (3194718) 特権の昇格 重要
x64 ベース システム 用 Microsoft SQL Server 2014 Service Pack 2 (3194714) x64 ベース システム 用 Microsoft SQL Server 2014 Service Pack 2 (3194718) 特権の昇格 重要
SQL Server 2016
x64 ベース システム 用 Microsoft SQL Server 2016 (3194716) x64 ベース システム 用 Microsoft SQL Server 2016 (3194717) 特権の昇格 重要

更新に関する FAQ

SQL Server のバージョンには、GDR または CU (累積的な更新プログラム) の更新プログラムが提供されています。 使用する更新プログラム操作方法知っていますか?
まず、SQL Server のバージョン番号を確認します。 SQL Server のバージョン番号の決定の詳細については、マイクロソフト サポート技術情報の記事321185を参照してください。

次に、次の表で、バージョン番号またはバージョン番号が含まれるバージョンの範囲を見つけます。 対応する更新プログラムは、インストールする必要がある更新プログラムです。

: SQL Server のバージョン番号が次の表に示されていない場合、SQL Server のバージョンはサポートされなくなりました。 このセキュリティ更新プログラムと今後のセキュリティ更新プログラムを適用するには、最新の Service Pack または SQL Server 製品にアップグレードしてください。

更新番号 Title 現在の製品バージョンが ... の場合は適用します。 このセキュリティ更新プログラムには、サービスリリースも含まれています...
3194719 MS16-136: SQL Server 2012 SP2 GDR のセキュリティ更新プログラムの説明: 2016 年 11 月 8 日 11.0.5058.0 - 11.0.5387.0 MS15-058
3194725 MS16-136: SQL Server 2012 SP2 CU のセキュリティ更新プログラムの説明: 2016 年 11 月 8 日 11.0.5500.0 - 11.0.5675.0 SQL Server 2012 SP2 CU15
3194721 MS16-136: SQL Server 2012 Service Pack 3 GDR のセキュリティ更新プログラムの説明: 2016 年 11 月 8 日 11.0.6020.0 - 11.0.6247.0 SQL Server 2012 SP3
3194724 MS16-136: SQL Server 2012 Service Pack 3 CU のセキュリティ更新プログラムの説明: 2016 年 11 月 8 日 11.0.6300.0 - 11.0.6566.0 SQL Server 2012 SP3 CU6
3194720 MS16-136: SQL Server 2014 Service Pack 1 GDR のセキュリティ更新プログラムの説明: 2016 年 11 月 8 日 12.0.4100.0 - 12.0.4231.0 SQL Server 2014 SP1 の重要な更新プログラム (KB (キロバイト)3070446)
3194722 MS16-136: SQL Server 2014 Service Pack 1 CU のセキュリティ更新プログラムの説明: 2016 年 11 月 8 日 12.0.4400.0 - 12.0.4486.0 SQL Server 2014 SP1 CU9
3194714 MS16-136: SQL Server 2014 Service Pack 2 GDR のセキュリティ更新プログラムの説明: 2016 年 11 月 8 日 12.0.5000.0 - 12.0.5202.0 SQL Server 2014 SP2
3194718 MS16-136: SQL Server 2014 Service Pack 2 CU のセキュリティ更新プログラムの説明: 2016 年 11 月 8 日 12.0.5400.0 - 12.0.5531.0 SQL Server 2014 SP2 CU2
3194716 MS16-136: SQL Server 2016 GDR のセキュリティ更新プログラムの説明: 2016 年 11 月 8 日 13.0.1605.0 - 13.0.1721.0 SQL Server 2016 Analysis Services の緊急更新プログラム (KB3179258)
3194717 MS16-136: SQL Server 2016 CU のセキュリティ更新プログラムの説明: 2016 年 11 月 8 日 13.0.2100.0 - 13.0.2182.0 SQL Server 2016 CU3

追加のインストール手順については、「更新情報」セクションの「SQL Server エディションのセキュリティ更新情報」サブセクションを参照してください。

GDR と CU の更新プログラムの指定と違いは何ですか? 
一般配布リリース (GDR) と累積的な更新プログラム (CU) の指定は、SQL Server の 2 つの異なる更新サービス ブランチに対応しています。 2 つの主な違いは、CU 分岐には特定のベースラインのすべての更新プログラムが累積的に含まれるのに対し、GDR ブランチには特定のベースラインの累積的な重要な更新のみが含まれるということです。 ベースラインには、初期 RTM リリースまたは Service Pack を指定できます。

任意のベースラインに対して、ベースラインにいる場合、またはそのベースラインの以前の GDR 更新プログラムのみをインストールしている場合は、GDR または CU ブランチの更新プログラムがオプションになります。 使用しているベースラインに対して以前の SQL Server CU をインストールしている場合は、CU ブランチが唯一のオプションです。

これらのセキュリティ更新プログラムは SQL Server クラスターに提供されますか? 
はい。 更新プログラムは、クラスター化された SQL Server 2012 SP2/SP3、SQL Server 2014 SP1/SP2、および SQL Server 2016 RTM インスタンスにも提供されます。 SQL Server クラスターの更新には、ユーザーの操作が必要です。

SQL Server 2012 SP2/SP3、SQL Server 2014 SP1/SP2、および SQL Server 2016 RTM クラスターにパッシブ ノードがある場合は、ダウンタイムを減らすために、最初に非アクティブ ノードに更新プログラムをスキャンして適用してから、それをスキャンしてアクティブ ノードに適用することをお勧めします。 すべてのノードですべてのコンポーネントが更新されると、更新プログラムは提供されなくなります。

Windows Azure (IaaS) 上の SQL Server インスタンスにセキュリティ更新プログラムを適用できますか?
はい。 Windows Azure (IaaS) 上の SQL Server インスタンスは、Microsoft Update を通じてセキュリティ更新プログラムを提供することも、Microsoft ダウンロード センターからセキュリティ更新プログラムをダウンロードして手動で適用することもできます。

重大度の評価と脆弱性識別子

次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、重大度評価とセキュリティへの影響に関連する脆弱性の悪用可能性の可能性については、11 月のセキュリティ情報の概要Exploitability Index を参照してください。

脆弱性の重大度評価と影響を受けるソフトウェアによる最大のセキュリティ影響
影響を受けるソフトウェア SQL RDBMS エンジンの EoP の脆弱性 - CVE-2016-7249 SQL RDBMS エンジンの EoP の脆弱性 - CVE-2016-7250 SQL RDBMS エンジンの EoP の脆弱性 - CVE-2016-7254 MDS API XSS の脆弱性 - CVE-2016-7251 SQL Analysis Services の情報漏えいの脆弱性 - CVE-2016-7252 SQL Server エージェント特権の昇格の脆弱性 - CVE-2016-7253
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 for 32-bit Systems Service Pack 2 適用なし 適用なし 特権の重要な 昇格 適用なし 適用なし 特権の重要な 昇格
x64 ベースシステム Service Pack 2 用 Microsoft SQL Server 2012 適用なし 適用なし 特権の重要な 昇格 適用なし 適用なし 特権の重要な 昇格
SQL Server 2012 Service Pack 3
Microsoft SQL Server 2012 for 32-bit Systems Service Pack 3 適用なし 適用なし 特権の重要な 昇格 適用なし 適用なし 特権の重要な 昇格
x64 ベースシステム Service Pack 3 用 Microsoft SQL Server 2012 適用なし 適用なし 特権の重要な 昇格 適用なし 適用なし 特権の重要な 昇格
SQL Server 2014 Service Pack 1
32 ビット システム用 Microsoft SQL Server 2014 Service Pack 1 適用なし 特権の重要な 昇格 適用なし 適用なし 適用なし 特権の重要な 昇格
x64 ベースシステム用 Microsoft SQL Server 2014 Service Pack 1 適用なし 特権の重要な 昇格 適用なし 適用なし 適用なし 特権の重要な 昇格
SQL Server 2014 Service Pack 2
32 ビット システム用 Microsoft SQL Server 2014 Service Pack 2 適用なし 特権の重要な 昇格 適用なし 適用なし 適用なし 特権の重要な 昇格
x64 ベースシステム用 Microsoft SQL Server 2014 Service Pack 2 適用なし 特権の重要な 昇格 適用なし 適用なし 適用なし 特権の重要な 昇格
SQL Server 2016
x64 ベースシステム用 Microsoft SQL Server 2016 特権の重要な 昇格 特権の重要な 昇格 適用なし 特権の重要な 昇格 重要 \ 情報の開示 適用なし

脆弱性情報

複数の SQL RDBMS エンジンによる特権の昇格の脆弱性

ポインターのキャストを正しく処理しない場合、特権の昇格の脆弱性が Microsoft SQL Server に存在します。 攻撃者は、資格情報によって影響を受ける SQL Server データベースへのアクセスが許可されている場合に、この脆弱性を悪用する可能性があります。 攻撃者がこの脆弱性を悪用した場合、データの表示、変更、または削除に使用できる昇格された特権を取得する可能性があります。または新しいアカウントを作成します。

このセキュリティ更新プログラムは、SQL Server がポインター キャストを処理する方法を修正することで、この脆弱性を解決します

次の表に、一般的な脆弱性と公開の一覧の各脆弱性の標準エントリへのリンクを示します。

脆弱性のタイトル CVE 番号 公開 悪用
SQL RDBMS エンジンの特権昇格の脆弱性 CVE-2016-7249 いいえ いいえ
SQL RDBMS エンジンの特権昇格の脆弱性 CVE-2016-7250 いいえ いいえ
SQL RDBMS エンジンの特権昇格の脆弱性 CVE-2016-7254 いいえ いいえ

軽減要因

Microsoft は、これらの脆弱性の 軽減要因 を特定していません。

対処方法

Microsoft は、これらの脆弱性の 回避策を 特定していません。

MDS API XSS の脆弱性 - CVE-2016-7251

SQL Server MDS に XSS 特権の昇格の脆弱性が存在し、攻撃者がインターネット エクスプローラーのユーザーのインスタンスにクライアント側スクリプトを挿入する可能性があります。 この脆弱性は、SQL Server MDS が SQL Server サイトで要求パラメーターを正しく検証しない場合に発生します。 スクリプトは、コンテンツのなりすまし、情報の開示、またはユーザーが対象ユーザーに代わってサイトで実行できるあらゆるアクションを実行する可能性があります。

このセキュリティ更新プログラムは、SQL Server MDS が要求パラメーターを検証する方法を修正することで、この脆弱性を解決します。

次の表に、一般的な脆弱性と公開の一覧の脆弱性の標準エントリへのリンクを示します。

脆弱性のタイトル CVE 番号 公開 悪用
MDS API XSS の脆弱性 CVE-2016-7251 いいえ いいえ

軽減要因

Microsoft は、この脆弱性の 軽減要因 を特定していません。

対処方法

Microsoft は、この脆弱性の 回避策を 特定していません。

SQL Analysis Services の情報漏えいの脆弱性 - CVE-2016-7252

FILESTREAM パスが正しくチェックされていない場合、Microsoft SQL Analysis Services に情報漏えいの脆弱性が存在します。 攻撃者は、資格情報によって影響を受ける SQL Server データベースへのアクセスが許可されている場合、この脆弱性を悪用する可能性があります。 攻撃者がこの脆弱性を悪用した場合、追加のデータベースとファイル情報を取得する可能性があります。

このセキュリティ更新プログラムは、SQL Server が FILESTREAM パスを処理する方法を修正することで、この脆弱性を解決します。

次の表に、一般的な脆弱性と公開の一覧の脆弱性の標準エントリへのリンクを示します。

脆弱性のタイトル CVE 番号 公開 悪用
SQL Analysis Services の情報漏えいの脆弱性 CVE-2016-7252 いいえ いいえ

軽減要因

Microsoft は、この脆弱性の 軽減要因 を特定していません

対処方法

Microsoft は、この脆弱性の 回避策を 特定していません。

SQL Server エージェント特権の昇格の脆弱性 - CVE-2016-7253

atxcore.dllでSQL SERVER エージェントが正しく ACL をチェックしない場合、特権の昇格の脆弱性が Microsoft SQL Server エンジンに存在します。 攻撃者は、資格情報によって影響を受ける SQL Server データベースへのアクセスが許可されている場合、この脆弱性を悪用する可能性があります。 攻撃者がこの脆弱性を悪用した場合、データの表示、変更、または削除に使用できる昇格された特権を取得する可能性があります。または新しいアカウントを作成します。

このセキュリティ更新プログラムは、SQL Server エンジンが ACL を処理する方法を修正することで、この脆弱性を解決します。

次の表に、一般的な脆弱性と公開の一覧の脆弱性の標準エントリへのリンクを示します。

脆弱性のタイトル CVE 番号 公開 悪用
SQL Server エージェント特権の昇格の脆弱性 CVE-2016-7253 いいえ いいえ

軽減要因

Microsoft は、この脆弱性の 軽減要因 を特定していません。

対処方法

Microsoft は、この脆弱性の 回避策を 特定していません。

謝辞

Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。

免責情報

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2016 年 11 月 8 日): セキュリティ情報が公開されました。

Page generated 2016-11-09 08:02-08:00.