Microsoft Security Bulletin MS15-058 - Importante

Vulnerabilidades no SQL Server podem permitir a execução remota de código (3065718)

Publicado: terça-feira, 14 de julho de 2015 | Atualizado: December 9, 2015

Versão: 1.2

Resumo executivo

Esta atualização de segurança resolve vulnerabilidades no Microsoft SQL Server. As vulnerabilidades mais graves podem permitir a execução remota de código se um invasor autenticado executar uma consulta especialmente criada projetada para executar uma função virtual a partir de um endereço errado, levando a uma chamada de função para a memória não inicializada. Para explorar essa vulnerabilidade, um invasor precisaria de permissões para criar ou modificar um banco de dados.

Esta atualização de segurança é classificada como Importante para edições com suporte do Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft SQL Server 2012 e Microsoft SQL Server 2014. Para obter mais informações, consulte a seção Softwares afetados.

A atualização de segurança elimina as vulnerabilidades corrigindo como o SQL Server lida com chamadas de função internas e conversão de ponteiro. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3065718 da Base de Dados de Conhecimento Microsoft.

Softwares afetados

O software a seguir foi testado para determinar quais versões ou edições são afetadas. Outras versões ou edições já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

Softwares afetados 

Atualizações de software GDR Atualizações de software QFE Impacto máximo na segurança Classificação de gravidade agregada Atualizações substituídas
SQL Server 2008 Service Pack 3
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3 (3045305) Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3 (3045303) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 3 (3045305) Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 3 (3045303) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 para sistemas baseados em Itanium Service Pack 3 (3045305) Microsoft SQL Server 2008 para sistemas baseados em Itanium Service Pack 3 (3045303) Execução remota de código Importante Nenhum
SQL Server 2008 Service Pack 4
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 4 (3045311) Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 4 (3045308) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 4 (3045311) Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 4 (3045308) Execução remota de código Importante Nenhum
SQL Server 2008 R2 Service Pack 2
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 2 (3045312) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 2 (3045312) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 R2 para sistemas baseados em Itanium Service Pack 2 (3045313) Microsoft SQL Server 2008 R2 para sistemas baseados em Itanium Service Pack 2 (3045312) Execução remota de código Importante Nenhum
SQL Server 2008 R2 Service Pack 3
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 3 (3045316) Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 3 (3045314) Execução remota de código Importante Nenhum
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 3 (3045316) Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 3 (3045314) Execução remota de código Importante Nenhum
SQL Server 2012 Service Pack 1
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 1 (3045318) Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 1 (3045317) Execução remota de código Importante Nenhum
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 1 (3045318) Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 1 (3045317) Execução remota de código Importante Nenhum
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 (3045321) Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 (3045319) Execução remota de código Importante Nenhum
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2 (3045321) Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2 (3045319) Execução remota de código Importante Nenhum
SQL Server 2014
Microsoft SQL Server 2014 para sistemas de 32 bits (3045324) Microsoft SQL Server 2014 para sistemas de 32 bits (3045323) Execução remota de código Importante Nenhum
Microsoft SQL Server 2014 para sistemas baseados em x64 (3045324) Microsoft SQL Server 2014 para sistemas baseados em x64 (3045323) Execução remota de código Importante Nenhum

Perguntas frequentes sobre atualizações

Há atualizações GDR e/ou QFE oferecidas para minha versão do SQL Server. Como saber qual atualização usar?
Primeiro, determine o número da versão do SQL Server. Para obter mais informações sobre como determinar o número da versão do SQL Server, consulte o artigo 321185 da Base de Dados de Conhecimento Microsoft.

Em segundo lugar, na tabela abaixo, localize o número da versão ou o intervalo de versões no qual o número da versão se encaixa. A atualização correspondente é a que você precisa instalar.

Observação Se o número da versão do SQL Server não estiver representado na tabela abaixo, a versão do SQL Server não terá mais suporte. Atualize para o Service Pack ou produto SQL Server mais recente para aplicar esta e futuras atualizações de segurança.

Número da atualização Título Aplicar se a versão atual do produto for... Esta atualização de segurança também inclui versões de manutenção através...
3045305 MS15-058: Descrição da actualização de segurança para o SQL Server 2008 Service Pack 3 GDR: 14 de Julho de 2015 10.00.5500.00 ou 10.00.5520.00 2008 SP3 RDA (MS14-044)
3045303 MS15-058: Descrição da actualização de segurança para o SQL Server 2008 Service Pack 3 QFE: 14 de Julho de 2015 10.00.5750. - 10.00.5869.00 2008 SP3 CU17
3045311 MS15-058: Descrição da actualização de segurança para o SQL Server 2008 Service Pack 4 GDR: 14 de Julho de 2015 10.0.6000.29 SP4 2008
3045308 MS15-058: Descrição da actualização de segurança para o SQL Server 2008 Service Pack 4 QFE: 14 de Julho de 2015 10.0.6500.00 - 10.0.6526.0 SP4 2008
3045313 MS15-058: Descrição da actualização de segurança para o SQL Server 2008 R2 Service Pack 2 GDR: 14 de Julho de 2015 10.50.4000.0 ou 10.50.4033.0 2008 R2 SP2 RDA (MS14-044)
3045312 MS15-058: Descrição da actualização de segurança para o SQL Server 2008 R2 Service Pack 2 QFE: 14 de Julho de 2015 10.50.4251.0 - 10.50.4331.0 2008 R2 SP2 CU13
3045316 MS15-058: Descrição da actualização de segurança para o SQL Server 2008 R2 Service Pack 3 GDR: 14 de Julho de 2015 10.50.6000.34 2008 R2 SP3
3045314 MS15-058: Descrição da actualização de segurança para o SQL Server 2008 R2 Service Pack 3 QFE: 14 de Julho de 2015 10.50.6500.0 - 10.50.6525.0 2008 R2 SP3
3045318 MS15-058: Descrição da actualização de segurança para o SQL Server 2012 SP1 GDR: 14 de Julho de 2015 11.0.3000.0 ou 11.0.3153.0 2012 SP1 RDA (MS14-044)
3045317 MS15-058: Descrição da actualização de segurança para o SQL Server 2012 SP1 QFE: 14 de Julho de 2015 11.0.3300.0 - 11.0.3492.0 2012 SP1 CU16
3045321 MS15-058: Descrição da actualização de segurança para o SQL Server 2012 Service Pack 2 GDR: 14 de Julho de 2015 11.0.5058.0 SP2 2012
3045319 MS15-058: Descrição da actualização de segurança para o SQL Server 2012 Service Pack 2 QFE: 14 de Julho de 2015 11.0.5500.0 - 11.0.5592.0 2012 SP2 CU6
3045324 MS15-058: Descrição da actualização de segurança para o SQL Server 2014 GDR: 14 de Julho de 2015 12.0.2000.8 ou 12.0.2254.0 2014 RTM RDA (MS14-044)
3045323 MS15-058: Descrição da actualização de segurança para o SQL Server 2014 QFE: 14 de Julho de 2015 12.0.2300.0 - 12.0.2546.0 2014 RTM CU8
3070446 MS15-058: Descrição da actualização não relacionada com segurança para o SQL Server 2014 Service Pack 1 GDR: 14 de Julho de 2015 12.0.4100.1 SP1 2014

Observação Para a ramificação GDR, depois de aplicar a atualização, você não verá a execução do script de atualização do banco de dados. Esse é o comportamento esperado, já que o patch substitui apenas os arquivos binários.

Para obter instruções de instalação adicionais, consulte a subseção Informações de atualização de segurança para sua edição do SQL Server na seção Informações de atualização.

Quais são as designações de atualização GDR e QFE e como elas diferem?
As designações GDR (General Distribution Release) e QFE (Quick Fix Engineering) correspondem às duas ramificações de serviço de atualização diferentes em vigor para o SQL Server. A principal diferença entre os dois é que as ramificações QFE incluem cumulativamente todas as atualizações, enquanto as ramificações GDR incluem apenas atualizações de segurança para uma determinada linha de base. Uma linha de base pode ser a versão RTM inicial ou um Service Pack.

Para qualquer linha de base específica, as atualizações de ramificação GDR ou QFE são opções se você estiver na linha de base ou tiver instalado uma atualização GDR anterior para essa linha de base. A ramificação do QFE é a única opção se você tiver instalado um QFE anterior para a linha de base em que você está.

Essas atualizações de segurança serão oferecidas a clusters do SQL Server? 
Sim. As atualizações também serão oferecidas para instâncias do SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 e SQL Server 2014 que estão em cluster. As atualizações para clusters do SQL Server exigirão interação do usuário.

Se o cluster do SQL Server 2008, SQL Server 2008 R2, SQL Server 2012 ou SQL Server 2014 tiver um nó passivo, para reduzir o tempo de inatividade, a Microsoft recomenda que você verifique e aplique a atualização ao nó inativo primeiro, depois faça a varredura e aplique-a ao nó ativo. Quando todos os componentes tiverem sido atualizados em todos os nós, a atualização não será mais oferecida.

As atualizações de segurança podem ser aplicadas a instâncias do SQL Server no Windows Azure (IaaS)?
Sim. As instâncias do SQL Server no Windows Azure (IaaS) podem receber as atualizações de segurança por meio do Microsoft Update ou os clientes podem baixar as atualizações de segurança do Centro de Download da Microsoft e aplicá-las manualmente.

Esta atualização de segurança contém alguma alteração de funcionalidade não relacionada à segurança?
Sim. Além das alterações relacionadas à segurança discutidas na seção Detalhes da vulnerabilidade deste boletim, a atualização de segurança também inclui algumas correções importantes não relacionadas à segurança. Para obter mais informações, consulte o artigo 3065718 da Base de Dados de Conhecimento Microsoft.

Estou executando o Microsoft SQL Server 2014 Service Pack 1, que não está listado como software afetado. Por que está sendo oferecida uma atualização?
O Microsoft SQL Server 2014 Service Pack 1 não é afetado pelas vulnerabilidades discutidas neste boletim, mas está sujeito a uma importante correção não relacionada à segurança que está sendo lançada com esta atualização de segurança. Portanto, os clientes que executam a ramificação GDR do Microsoft SQL Server 2014 Service Pack 1 receberão 3070446 de atualização não relacionadas à segurança. Para obter uma descrição geral da atualização não relacionada à segurança, consulte o Artigo 3070446 (em inglês) da Microsoft Knowledge Base. Para obter mais informações sobre a correção não relacionada à segurança, consulte o Artigo 3067257 (em inglês) da Microsoft Knowledge Base.

Classificações de gravidade e identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de julho.

Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado
Softwares afetados Vulnerabilidade de elevação de privilégio do SQL Server - CVE-2015-1761 Vulnerabilidade de execução remota de código do SQL Server - CVE-2015-1762 Vulnerabilidade de execução remota de código do SQL Server - CVE-2015-1763 Classificação de gravidade agregada
SQL Server 2008 Service Pack 3
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 3 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 3 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
Microsoft SQL Server 2008 para sistemas baseados em Itanium Service Pack 3 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
SQL Server 2008 Service Pack 4
Microsoft SQL Server 2008 para sistemas de 32 bits Service Pack 4 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
Microsoft SQL Server 2008 para sistemas baseados em x64 Service Pack 4 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
SQL Server 2008 R2 Service Pack 2
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 2 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 2 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
Microsoft SQL Server 2008 R2 para sistemas baseados em Itanium Service Pack 2 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
SQL Server 2008 R2 Service Pack 3
Microsoft SQL Server 2008 R2 para sistemas de 32 bits Service Pack 3 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
Microsoft SQL Server 2008 R2 para sistemas baseados em x64 Service Pack 3 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
SQL Server 2012 Service Pack 1
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 1 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 1 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
SQL Server 2012 Service Pack 2
Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 2 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
Microsoft SQL Server 2012 para sistemas baseados em x64 Service Pack 2 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
SQL Server 2014
Microsoft SQL Server 2014 para sistemas de 32 bits Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante
Microsoft SQL Server 2014 para sistemas baseados em x64 Importante elevação de privilégio Execução remota de código importante Execução remota de código importante Importante

Informações de vulnerabilidade

Vulnerabilidade de elevação de privilégio do SQL Server - CVE-2015-1761

Existe uma vulnerabilidade de elevação de privilégio no Microsoft SQL Server quando ele converte incorretamente ponteiros para uma classe incorreta. Um invasor pode explorar a vulnerabilidade se suas credenciais permitirem acesso a um banco de dados SQL Server afetado. Um invasor que explorar com êxito essa vulnerabilidade poderá obter privilégios elevados que poderão ser usados para exibir, alterar ou excluir dados; ou criar novas contas.

A atualização de segurança elimina a vulnerabilidade corrigindo como o SQL Server manipula a conversão de ponteiros.

A Microsoft recebeu informações sobre a vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Requer permissões para criar ou modificar dados ou esquema de banco de dados
    Para explorar essa vulnerabilidade, um invasor precisaria de permissões para criar ou modificar um banco de dados.

Soluções Alternativas

As seguintes soluções alternativas podem ser úteis em sua situação:

  • Limitar permissões no servidor para criação de banco de dados e esquema
    Como a vulnerabilidade só pode ser explorada no contexto de esquemas de banco de dados, dados e consultas muito específicos, a exploração pode ser evitada controlando estritamente quem tem permissões para criar bancos de dados e esquemas no servidor. Observe que a vulnerabilidade é exposta em casos de borda muito específicos; É extremamente difícil definir o esquema e a consulta que exporiam a vulnerabilidade.

    Orientação adicional: no caso improvável de o SQL Server causar um erro de violação de acesso/prevenção de execução de dados durante a execução de uma consulta específica, reescreva a consulta dividindo-a em partes e/ou adicionando dicas de consulta.

Vulnerabilidade de execução remota de código do SQL Server - CVE-2015-1762

Existe uma vulnerabilidade de execução remota de código no Microsoft SQL Server quando ele manipula incorretamente chamadas de função interna para memória não inicializada. Um invasor pode explorar a vulnerabilidade se um usuário privilegiado executar uma consulta especialmente criada em um servidor SQL afetado que tenha configurações de permissão especiais (como VIEW SERVER STATE) ativadas. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas.

A atualização de segurança elimina a vulnerabilidade corrigindo como o SQL Server manipula chamadas de função internas para memória não inicializada.

A Microsoft recebeu informações sobre a vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Requer configuração específica
    Para explorar essa vulnerabilidade , a replicação transacional deve estar habilitada e o invasor deve ter configurações de permissão especiais (como VIEW SERVER STATE) ativadas.

Soluções Alternativas

A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.

Vulnerabilidade de execução remota de código do SQL Server - CVE-2015-1763

Existe uma vulnerabilidade de execução remota de código autenticado no Microsoft SQL Server quando ele manipula incorretamente chamadas de função interna para memória não inicializada. Um invasor pode explorar a vulnerabilidade se um usuário privilegiado executar uma consulta especialmente criada projetada para executar uma função virtual a partir de um endereço errado, levando a uma chamada de função para a memória não inicializada. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas.

A atualização de segurança elimina a vulnerabilidade corrigindo como o SQL Server manipula chamadas de função internas para memória não inicializada.

A Microsoft recebeu informações sobre a vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.

Soluções Alternativas

As seguintes soluções alternativas podem ser úteis em sua situação:

  • Limitar permissões no servidor para criação de banco de dados e esquema
    Como a vulnerabilidade só pode ser explorada no contexto de esquemas de banco de dados, dados e consultas muito específicos, a exploração pode ser evitada controlando estritamente quem tem permissões para criar bancos de dados e esquemas no servidor. Observe que a vulnerabilidade é exposta em casos de borda muito específicos; É extremamente difícil definir o esquema e a consulta que exporiam a vulnerabilidade.

    Orientação adicional: no caso improvável de o SQL Server causar um erro de violação de acesso/prevenção de execução de dados durante a execução de uma consulta específica, reescreva a consulta dividindo-a em partes e/ou adicionando dicas de consulta.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (14 de julho de 2015): Boletim publicado.
  • V1.1 (22 de julho de 2015): Boletim revisado para melhorar a seção Perguntas frequentes sobre atualizações para ajudar os clientes a identificar mais facilmente a atualização correta a ser aplicada com base em uma versão atualmente instalada do SQL Server. Esta é apenas uma alteração informativa. Os clientes que já instalaram a atualização com êxito não precisam executar nenhuma ação.
  • V1.2 (9 de dezembro de 2015): Boletim revisado para esclarecer as diretrizes de versão do produto na seção Perguntas frequentes sobre atualizações, alinhando-as com as diretrizes fornecidas em versões anteriores. Esta é apenas uma alteração informativa. Os clientes que já instalaram a atualização com êxito não precisam executar nenhuma ação.

Página gerada em 09/12/2015 11:11Z-08:00.