NVD脆弱性詳細

CVE-2015-1761

概要	Microsoft SQL Server 2008 SP3 and SP4, 2008 R2 SP2 and SP3, 2012 SP1 and SP2, and 2014 uses an incorrect class during casts of unspecified pointers, which allows remote authenticated users to gain privileges by leveraging certain write access, aka "SQL Server Elevation of Privilege Vulnerability."
公表日	2015年7月15日8:59
登録日	2021年1月26日14:46
最終更新日	2024年11月21日11:26

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:microsoft:sql_server:2008:r2_sp2::::::
cpe:2.3:a:microsoft:sql_server:2008:sp3::::::
cpe:2.3:a:microsoft:sql_server:2014:::::::*
cpe:2.3:a:microsoft:sql_server:2012:sp2::::::
cpe:2.3:a:microsoft:sql_server:2008:sp4::::::
cpe:2.3:a:microsoft:sql_server:2012:sp1::::::
cpe:2.3:a:microsoft:sql_server:2008:r2_sp3::::::

関連情報、対策とツール

No	URL	refsource	タグ
1	http://www.securitytracker.com/id/1032893
2	http://www.securitytracker.com/id/1032893
3	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-058
4	https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-058
5	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05382740
6	https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05382740

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html

JVN脆弱性情報

Microsoft SQL Server における権限昇格の脆弱性

タイトル	Microsoft SQL Server における権限昇格の脆弱性
概要	Microsoft SQL Server は、不特定のポインタのキャストを処理する際に不正なクラスを使用するため、権限を取得される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「SQL Server 特権の昇格の脆弱性」と記載されています。補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html
想定される影響	リモート認証されたユーザにより、特定の書き込みへのアクセスを利用されることで、権限を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年7月14日0:00
登録日	2015年7月16日11:02
最終更新日	2015年7月16日11:02

影響を受けるシステム

マイクロソフト

Microsoft SQL Server 2008 for 32-bit Systems SP3

Microsoft SQL Server 2008 for 32-bit Systems SP4

Microsoft SQL Server 2008 for Itanium-based Systems SP3

Microsoft SQL Server 2008 for x64-based Systems SP3

Microsoft SQL Server 2008 for x64-based Systems SP4

Microsoft SQL Server 2008 R2 for 32-bit Systems SP2

Microsoft SQL Server 2008 R2 for 32-bit Systems SP3

Microsoft SQL Server 2008 R2 for Itanium-based Systems SP2

Microsoft SQL Server 2008 R2 for x64-based Systems SP2

Microsoft SQL Server 2008 R2 for x64-based Systems SP3

Microsoft SQL Server 2012 for 32-bit Systems SP1

Microsoft SQL Server 2012 for 32-bit Systems SP2

Microsoft SQL Server 2012 for x64-based Systems SP1

Microsoft SQL Server 2012 for x64-based Systems SP2

Microsoft SQL Server 2014 for 32-bit Systems

Microsoft SQL Server 2014 for x64-based Systems

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-1761	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1761
National Vulnerability Database (NVD)
2	CVE-2015-1761	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1761

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Microsoft Security Bulletin
1	MS15-058	https://technet.microsoft.com/en-us/library/security/ms15-058.aspx
マイクロソフトセキュリティ情報
2	MS15-058	https://technet.microsoft.com/ja-jp/library/security/ms15-058.aspx

その他

No	名前	URL
IPA 重要なセキュリティ情報
1	Microsoft 製品の脆弱性対策について(2015年7月)	http://www.ipa.go.jp/security/ciadr/vul/20150715-ms.html
JPCERT 注意喚起
2	JPCERT-AT-2015-0025	http://www.jpcert.or.jp/at/2015/at150025.html
警察庁 @police
3	マイクロソフト社のセキュリティ修正プログラムについて(MS15-058,065,066,067,068,069,070,071,072,073,074,075,076,077)(2015年07月15日)	http://www.npa.go.jp/cyberpolice/topics/?seq=16615

変更履歴

No	変更内容	変更日
0	[2015年07月16日] 掲載	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:microsoft:sql_server:2008:r2_sp2::::::
cpe:2.3:a:microsoft:sql_server:2008:sp3::::::
cpe:2.3:a:microsoft:sql_server:2014:::::::*
cpe:2.3:a:microsoft:sql_server:2012:sp2::::::
cpe:2.3:a:microsoft:sql_server:2008:sp4::::::
cpe:2.3:a:microsoft:sql_server:2012:sp1::::::
cpe:2.3:a:microsoft:sql_server:2008:r2_sp3::::::