MS12-006: Sicherheitsanfälligkeit in SSL/TLS kann Offenlegung von Informationen ermöglichen: 10. Januar 2012

Gilt für
Windows 7 Service Pack 1 Windows 7 Enterprise Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Home Basic Windows 7 Enterprise Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Home Basic Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows XP Professional x64 Edition

EINFÜHRUNG

Microsoft hat das Sicherheitsbulletin MS12-006 veröffentlicht. Um das vollständige Sicherheitsbulletin anzuzeigen, wechseln Sie zu einer der folgenden Microsoft-Websites:

Hilfe und Support zum Sicherheitsupdate

Hilfe beim Installieren von Updates:
Support für Microsoft Update

Sicherheitslösungen für IT-Profis:
TechNet Security – Problembehandlung und Support

Hilfe beim Schützen des Computers, auf dem Windows ausgeführt wird, vor Viren und Schadsoftware:
Safety and Security Center

Lokaler Support entsprechend Ihrem Land:
Internationaler Support

Automatisch beheben lassen

Es stehen zwei Fix it-Lösungen zur Verfügung.

  • Behebung der Lösung für Transport Layer Security (TLS) 1.1 in Internet Explorer: Diese Lösung aktiviert TLS 1.1, das von diesem Sicherheitsrisiko nicht betroffen ist, in Windows Internet Explorer. Die meisten typischen Benutzer sollten diese Fix it-Lösung installieren.
  • Behebung der Lösung für TLS 1.1 auf Windows-basierten Servern: Diese Lösung aktiviert TLS 1.1, das von der Sicherheitsanfälligkeit nicht betroffen ist.

Die in diesem Abschnitt beschriebenen Fix it-Lösungen sind nicht als Ersatz für Sicherheitsupdates vorgesehen. Es wird empfohlen, immer die neuesten Sicherheitsupdates zu installieren. Wir bieten diese Fix it-Lösungen jedoch als Problemumgehungsoptionen für einige Szenarien an. 

Weitere Informationen zu den Problemumgehungen finden Sie im Sicherheitsbulletin MS12-006:

http://technet.microsoft.com/security/bulletin/ms12-006 Das Bulletin enthält weitere Informationen zu diesem Problem und enthält Folgendes:

  • Die Szenarien, in denen Sie die Problemumgehung anwenden oder deaktivieren können
  • Mildernde Faktoren
  • Problemumgehungen
  • Häufig gestellte Fragen

Um diese Informationen anzuzeigen, suchen Sie nach dem Abschnitt Informationen zur Sicherheitsanfälligkeit, und erweitern Sie dann den Abschnitt Problemumgehungen im Abschnitt Sicherheitsanfälligkeit in SSL- und TLS-Protokollen – CVE-2011-3389.

Behebung der Lösung für TLS 1.1 im Internet Explorer

Klicken Sie zum Aktivieren oder Deaktivieren dieser Fix it-Lösung auf die Schaltfläche oder den Link Korrigieren unter der Überschrift Aktivieren oder Deaktivieren . Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und führen Sie dann die Schritte im Korrektur-Assistenten aus.

"Enable" Deaktivieren

Notizen

  • Diese Assistenten sind nur in Englisch verfügbar. Die automatischen Korrekturen funktionieren jedoch auch für andere Sprachversionen von Windows.
  • Wenn Sie sich nicht auf dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf einem Flashlaufwerk oder einer CD speichern und dann auf dem Computer ausführen, auf dem das Problem aufgetreten ist.

Behebung der Lösung für TLS 1.1 auf Windows-basierten Servern

Klicken Sie zum Aktivieren oder Deaktivieren dieser Fix it-Lösung auf die Schaltfläche oder den Link Korrigieren unter der Überschrift Aktivieren oder Deaktivieren . Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und führen Sie dann die Schritte im Korrektur-Assistenten aus.

"Enable" Deaktivieren

Notizen

  • Diese Assistenten sind nur in Englisch verfügbar. Die automatischen Korrekturen funktionieren jedoch auch für andere Sprachversionen von Windows.
  • Wenn Sie sich nicht auf dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf einem Flashlaufwerk oder einer CD speichern und dann auf dem Computer ausführen, auf dem das Problem aufgetreten ist.

Bekannte Probleme mit diesem Sicherheitsupdate

Nach der Installation dieses Sicherheitsupdates kann es zu Authentifizierungsfehlern oder Konnektivitätsverlusten bei einigen HTTPS-Servern führen. Dieses Problem tritt auf, weil dieses Sicherheitsupdate die Art und Weise ändert, wie Datensätze an HTTPS-Server gesendet werden.

Um dieses Sicherheitsupdate vorübergehend zu deaktivieren oder erneut zu aktivieren, klicken Sie unter der Überschrift Sicherheitsupdate deaktivieren oder Reaktivieren des Sicherheitsupdates auf die Schaltfläche Oder den Link Korrigieren. Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und führen Sie dann die Schritte im Korrektur-Assistenten aus.

Deaktivieren des Sicherheitsupdates Erneutes Aktivieren des Sicherheitsupdates

Notizen

  • Diese Assistenten sind nur in Englisch verfügbar. Die automatischen Korrekturen funktionieren jedoch auch für andere Sprachversionen von Windows.
  • Wenn Sie sich nicht auf dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf einem Flashlaufwerk oder einer CD speichern und dann auf dem Computer ausführen, auf dem das Problem aufgetreten ist.

Die folgende Tabelle zeigt die Werte, die von diesen Fix it-Lösungen auf den DWORD-Registrierungseintrag SendExtraRecord angewendet werden:

Überschrift Auf sendExtraRecord-Eintrag angewendeter Wert
Deaktivieren des Sicherheitsupdates 2
Erneutes Aktivieren des Sicherheitsupdates 0

Hinweis Die Einstellung SendExtraRecord wird in zukünftigen Versionen von Windows enthalten sein.

Bekannte Probleme und zusätzliche Informationen zu diesem Sicherheitsupdate

Die folgenden Artikel enthalten zusätzliche Informationen zu diesem Sicherheitsupdate bezogen auf einzelne Produktversionen. Die Artikel können Informationen zu bekannten Problemen enthalten. Wenn dies der Fall ist, wird das bekannte Problem unter jedem Artikellink aufgeführt:

  • 2585542 MS12-006: Beschreibung des Sicherheitsupdates für Webio, Winhttp und schannel unter Windows: 10. Januar 2012
  • 2638806 MS12-006: Beschreibung des Sicherheitsupdates für Winhttp in Windows Server 2003 und Windows XP Professional x64 Edition: 10. Januar 2012

Registrierungsinformationen

Nicht empfohlen Es wird nicht empfohlen, das folgende Verfahren zum Deaktivieren dieses Sicherheitsupdates zu verwenden. Dieses Verfahren wird jedoch für Szenarien bereitgestellt, in denen Sie möglicherweise Anwendungen verwenden, die mit diesem Sicherheitsupdate nicht kompatibel sind, wodurch geteilte SSL-Datensätze für alle Anwendungen ermöglicht werden.

Wichtig: Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Ändern der Registrierung. Es können jedoch schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie deshalb sicher, dass Sie diese Schritte sorgfältig ausführen. Als zusätzlichen Schutz erstellen Sie eine Sicherung der Registrierung, bevor Sie sie ändern. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows

Standardmäßig legt dieses Sicherheitsupdate den Opt-In-Modus auf schannel-Ebene fest, da Probleme mit der Anwendungskompatibilität vorliegen. Um dieses Sicherheitsupdate für alle Anwendungen systemweit zu deaktivieren, müssen Sie dem folgenden Registrierungsunterschlüssel einen DWORD-Wert mit dem Namen SendExtraRecord hinzufügen, der den Wert 2 aufweist:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELFühren Sie die folgenden Schritte aus, um diesen Registrierungseintrag schannel hinzuzufügen:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben im Feld Öffnen die Zeichenfolge regedit ein. Klicken Sie anschließend auf OK.

  2. Suchen Sie den folgenden Registrierungsunterschlüssel in der Registrierung, und klicken Sie dann darauf:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.

  4. Geben Sie SendExtraRecord als Namen des DWORD-Werts ein, und drücken Sie dann die EINGABETASTE.

  5. Klicken Sie mit der rechten Maustaste auf SendExtraRecord, und klicken Sie dann auf Ändern.

  6. Geben Sie im Feld Wertdaten den Wert 2 ein, um den geteilten Datensatz in schannel zu deaktivieren, und klicken Sie dann auf OK.

  7. Beenden Sie den Registrierungs-Editor.

Dieser Registrierungseintrag kann drei Werte aufweisen, und jeder Wert bietet unterschiedliche Betriebsmodi:

Reg-Key-Wert Beschreibung
0 Standardmäßig ist schannel im "Optin-Modus" enthalten. Dies bedeutet, dass dieses Sicherheitsupdate für alle Aufrufer funktioniert, die das Secure-Flag an schannel senden. Der Registrierungseintrag "SendExtraRecord" schannel wird nicht vom Sicherheitspaket erstellt. Daher bedeutet kein Schannel-Registrierungseintrag, dass das System diesen Modus ausführt. Wenn jemand diesen Registrierungsschlüssel erstellt und den Wert auf 0 festgelegt hat, wird schannel erneut in diesem Modus ausgeführt.

Diese Einstellung hat die gleiche Auswirkung wie die Erstellung dieses Registrierungseintrags. Anwendungen, die während der Sitzungsinitialisierung ein Secure-Flag an schannel senden, verwenden nur den festen Sicheren Codepfad. Für andere Anwendungen gibt es keine Änderung des schannel-Verhaltens.

Dieses Sicherheitsupdate behebt auch die Anwendungsebenen, die beim Surfen im Web verwendet werden, indem internet Explorer verwendet werden, um das Secure-Flag zu senden, um die Browsernutzungsszenarien zu schützen.

Hinweis In Windows Server 2003 müssen Sicherheitsupdates 2638806 installiert werden, um HTTP-Clientanwendungen zu schützen, die WinHTTP-APIs verwenden. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
2638806 MS12-006: Beschreibung des Sicherheitsupdates für Winhttp in Windows Server 2003 und Windows XP Professional x64 Edition: 10. Januar 2012
1 Das Festlegen des Werts auf 1 bedeutet "für alle aktiviert". Dies bedeutet, dass Aufrufer das Flag nicht senden müssen, und der Schannel teilt alle SSL-Einträge auf. Wenn dieser Wert festgelegt ist, müssen Anwendungen keine Änderungen vornehmen. Ein Kunde, der sich große Sorgen um die Systemsicherheit macht, kann dazu beitragen, sein System sicherer zu machen, indem er diesen Registrierungsschlüssel aktiviert.
2 Das Festlegen des Werts auf 2 bedeutet "für alle deaktiviert". Dies bedeutet, dass die Schannel die Datensätze für einen Verschlüsselungsaufruf, den die Anwendung vornimmt, nicht aufteilt. In diesem Modus wird das Secure-Flag, das von einer Anwendung gesendet wird, nicht berücksichtigt.

Basierend auf internen Tests haben wir festgestellt, dass Sie den Registrierungswert nicht auf 1 festlegen können, da er zu viele Szenarien in einem Unternehmen unterbrechen kann. Daher raten wir Benutzern davon ab, es zu verwenden.

Bekannte Probleme beim Aktivieren des Registrierungseintrags SendExtraRecord

  • Wenn Sie den Registrierungswert SendExtraRecord auf 1 festlegen, wird die Datensatzaufteilung in jedem Aufruf erzwungen, um Daten in schannel zu verschlüsseln. Dies geschieht unabhängig davon, ob der Aufrufer das Secure-Flag während der Sitzungsinitialisierung gesendet hat.
  • Viele Anwendungen, die schannel verwenden, werden so geschrieben, dass die Empfängerseite davon ausgeht, dass Anwendungsdaten in einem einzigen Paket gepackt werden. Dies geschieht, obwohl die Anwendung schannel zur Entschlüsselung aufruft. Die Anwendungen ignorieren ein Flag, das von schannel festgelegt wird. Das Flag gibt der Anwendung an, dass mehr Daten vom Empfänger entschlüsselt und aufgenommen werden müssen. Diese Methode folgt nicht der von MSDN vorgeschriebenen Methode der Verwendung von schannel. Da das Sicherheitsupdate die Datensatzaufteilung erzwingt, werden solche Anwendungen dadurch unterbrochen.
  • Zu den fehlerhaften Anwendungen gehören Microsoft-Produkte und In-Box-Komponenten. Im Folgenden finden Sie Beispiele für Szenarien, die möglicherweise unterbrochen werden, wenn der Registrierungswert SendExtraRecord auf 1 festgelegt ist:
    • Alle SQL-Produkte und Anwendungen, die auf SQL basieren.
    • Terminalserver, auf denen die Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) aktiviert ist. Standardmäßig ist NLA in Windows Vista und höheren Versionen von Windows aktiviert.
    • Einige RRAS-Szenarien (Routing Remote Access Service).

Wenn Sie den Registrierungswert SendExtraRecord auf 1 festlegen, wird die sichere Datensatzaufteilung für alle Anwendungen erzwungen, die Windows TLS/SSL verwenden. Bei dieser Einstellung treten jedoch wahrscheinlich Probleme mit der Anwendungskompatibilität auf. Daher wird empfohlen, dass Kunden TLS 1.1 und TLS 1.2 konfigurieren, anstatt diese Registrierungseinstellung zu verwenden. TLS 1.1 und TLS 1.2 sind für dieses Problem nicht anfällig.

Wenn ein Benutzer diese Registrierungseinstellung verwenden möchte, empfiehlt es sich, die Anwendungskompatibilitätstests vor der Implementierung ausführlich zu testen. Einige gängige Produkte, die bekanntermaßen von dieser Einstellung betroffen sind, sind Microsoft SQL-Produkte, Windows-Terminal Server und Windows-REMOTEzugriffsserver.

Häufig gestellte Fragen

F: Was kann Microsoft tun, um meine serverseitige Anwendung zu beheben?
A: Stellen Sie sicher, dass Ihre Anwendung die Fragmentierung von SSL/TLS-Anwendungsdatensätzen verarbeiten kann, wie in den folgenden RFCs beschrieben: