MS12-006: Chyba zabezpečení protokolu SSL/TLS by mohla umožnit přístup k informacím: 10. ledna 2012

Překlady článku Překlady článku
ID článku: 2643584 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Společnost Microsoft vydala bulletin zabezpečení MS12-006. Chcete-li zobrazit celý bulletin zabezpečení, navštivte jeden z následujících webů společnosti Microsoft:

Pomoc a podpora pro tuto aktualizaci zabezpečení

Pro domácí uživatele je k dispozici bezplatná podpora na čísle 1-866-PCSAFETY ve Spojených státech a v Kanadě
(místní čísla podpory naleznete na této stránce)
, nebo se mohou obrátit na místní pobočku společnosti Microsoft. Informace o tom, jak kontaktovat místní pobočku společnosti Microsoft ohledně podpory aktualizace zabezpečení, naleznete na následujícím webu mezinárodní podpory:
http://support.microsoft.com/common/international.aspx?ln=cs&rdpath=4
Zákazníci v Severní Americe mohou také na následujícím webu společnosti Microsoft získat neomezenou bezplatnou podporu e-mailem nebo neomezenou individuální podporu formou chatu:
https://support.microsoft.com/oas/default.aspx?ln=cs&prid=7552&st=1&wfxredirect=1&sd=gn
Pro podnikové zákazníky je podpora pro aktualizace zabezpečení k dispozici prostřednictvím standardních kontaktů podpory.

Automatická oprava

Jsou k dispozici dvě opravy.
  • Oprava pro protokol TLS (Transport Layer Security) 1.1 v aplikaci Internet Explorer: Toto řešení povoluje protokol TLS 1.1, který není touto chybou zabezpečení ovlivněn, v aplikaci Windows Internet Explorer. Tuto opravu by si měla nainstalovat většina běžných uživatelů.
  • Oprava pro protokol TLS 1.1 na serverech se systémem Windows: Toto řešení povoluje protokol TLS 1.1, který není touto chybou zabezpečení ovlivněn.
Opravy popsané v této části nemají nahrazovat žádné aktualizace zabezpečení. Doporučujeme vždy nainstalovat nejnovější aktualizace zabezpečení. Tyto opravy však nabízíme jako alternativní řešení pro některé situace.

Další informace o těchto alternativních řešeních naleznete v bulletinu zabezpečení MS12-006:
http://technet.microsoft.com/security/bulletin/MS12-006
Tento bulletin obsahuje další informace o tomto problému a obsahuje následující témata:
  • Situace, v nichž lze toto řešení použít nebo zakázat
  • Zklidňující fakta
  • Řešení
  • Nejčastější dotazy
Chcete-li zobrazit konkrétně tyto informace, vyhledejte nadpis Vulnerability Information (Informace o chybě zabezpečení) a poté rozbalte odstavec Workarounds (Alternativní řešení) v části SSL and TLS Protocols Vulnerability - CVE-2011-3389 (Chyba zabezpečení protokolů SSL a TLS – CVE-2011-3389).

Oprava pro protokol TLS 1.1 v aplikaci Internet Explorer

Chcete-li povolit nebo zakázat tuto opravu, klikněte na tlačítko Opravit, na odkaz pod nadpisem Povolit nebo na odkaz pod nadpisem Zakázat. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.
Zmenšit tuto tabulkuRozšířit tuto tabulku
PovolitZakázat / Vypnout
Opravit tyto potíže
Microsoft Fix it 50773
Opravit tyto potíže
Microsoft Fix it 50772

Poznámky

  • Tito průvodci mohou být k dispozici pouze v angličtině. Tyto automatické opravy však fungují i pro ostatní jazykové verze systému Windows.
  • Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB Flash nebo na disk CD a spustit ji v příslušném počítači později.

Oprava pro protokol TLS 1.1 na serverech se systémem Windows

Chcete-li povolit nebo zakázat tuto opravu, klikněte na tlačítko Opravit, na odkaz pod nadpisem Povolit nebo na odkaz pod nadpisem Zakázat. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.
Zmenšit tuto tabulkuRozšířit tuto tabulku
PovolitZakázat / Vypnout
Opravit tyto potíže
Microsoft Fix it 50774
Opravit tyto potíže
Microsoft Fix it 50775

Poznámky

  • Tito průvodci mohou být k dispozici pouze v angličtině. Tyto automatické opravy však fungují i pro ostatní jazykové verze systému Windows.
  • Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB Flash nebo na disk CD a spustit ji v příslušném počítači později.

Známé problémy s touto aktualizací zabezpečení

Po dokončení instalace této aktualizace zabezpečení může docházet k selhání ověření nebo ztrátě připojení k některým serverům HTTPS. Tento problém je způsoben tím, že tato aktualizace zabezpečení mění způsob, jakým jsou odesílány záznamy na servery HTTPS. 

Chcete-li dočasně povolit nebo zakázat tuto aktualizaci zabezpečení, klikněte na tlačítko Opravit, na odkaz pod nadpisem Zákaz aktualizace zabezpečení nebo na odkaz pod nadpisem Znovupovolení aktualizace zabezpečení. V dialogovém okně Stažení souboru klikněte na položku Spustit a postupujte podle kroků v průvodci opravou.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Zákaz aktualizace zabezpečení Znovupovolení aktualizace zabezpečení
Opravit tyto potíže
Microsoft Fix it 50824
Opravit tyto potíže
Microsoft Fix it 50825
Poznámky
  • Tito průvodci mohou být k dispozici pouze v angličtině. Tyto automatické opravy však fungují i pro ostatní jazykové verze systému Windows.
  • Pokud právě nejste u počítače, který má tyto potíže, můžete automatickou opravu uložit na jednotku USB Flash nebo na disk CD a spustit ji v příslušném počítači později.
V následující tabulce jsou uvedeny hodnoty, které tyto opravy používají pro položku registru SendExtraRecord typu DWORD: 
Zmenšit tuto tabulkuRozšířit tuto tabulku
Nadpis Hodnota použitá pro položku SendExtraRecord
Zákaz aktualizace zabezpečení 2
Znovupovolení aktualizace zabezpečení 0

Známé problémy a další informace o této aktualizaci zabezpečení

Následující články obsahují další informace o této aktualizaci zabezpečení týkající se jednotlivých verzí produktů. Články mohou obsahovat informace o známých problémech. Pokud tomu tak je, je pod daným odkazem na článek uveden příslušný známý problém:
  • 2585542 MS12-006: Popis aktualizace zabezpečení pro Webio, Winhttp a zprostředkovatele schannel v systému Windows: 10. ledna 2012
  • 2638806 MS12-006: Popis aktualizace zabezpečení pro službu Winhttp v systému Windows Server 2003 a Windows XP Professional x64 Edition: 10. ledna 2012

Informace o registru

Nedoporučeno Nedoporučujeme používat následující postup k zákazu této aktualizace zabezpečení. Poskytujeme jej však pro případy, v nichž můžete používat aplikace, které jsou nekompatibilní s touto aktualizací zabezpečení, a je třeba povolit pro všechny aplikace rozdělené záznamy SSL.

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zazálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru v systému Windows


Ve výchozím nastavení tato aktualizace zabezpečení nastavuje režim možnosti přihlášení na úrovni kanálu Schannel, a to z důvodů potíží s kompatibilitou aplikací. Chcete-li zakázat tuto aktualizaci zabezpečení pro všechny aplikace v rámci systému, přidejte hodnotu DWORD s názvem SendExtraRecord a hodnotou 2 do následujícího podklíče registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Chcete-li přidat tuto položku registru zprostředkovatele Schannel, postupujte takto:
  1. V nabídce Start klikněte na příkaz Spustit, do pole Otevřít zadejte příkaz regedit a klikněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klikněte na něj:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. V nabídce Úpravy přejděte na příkaz Nový a potom klikněte na příkaz Hodnota DWORD.
  4. Jako název hodnoty DWORD zadejte SendExtraRecord a potom stiskněte klávesu ENTER.
  5. Klikněte pravým tlačítkem na položku SendExtraRecord a potom klikněte na příkaz Změnit.
  6. Do pole Údaj hodnoty zadejte hodnotu 2, čímž zakážete rozdělení záznamů ve zprostředkovateli Schannel, a pak klikněte na tlačítko OK.
  7. Ukončete program Editor registru.
Tato položka registru může mít tři hodnoty, které představují různé režimy provozu:
Zmenšit tuto tabulkuRozšířit tuto tabulku
Hodnota klíče registru Popis
0Ve výchozím nastavení je zprostředkoval Schannel zahrnut v režimu Optin. To znamená, že tato aktualizace zabezpečení bude fungovat pro všechny volající, kteří zprostředkovateli Schannel odešlou příznak zabezpečení. Položka registru SendExtraRecord zprostředkovatele Schannel nebude balíčkem zabezpečení vytvořena. Proto absence položky registru zprostředkovatele Schannel znamená, že systém je spuštěn v tomto režimu. Pokud někdo vytvoří tento klíč registru a nastaví pro něj hodnotu 0, zprostředkovatel Schannel bude znovu spuštěn v tomto režimu. 

Toto nastavení má stejný efekt, jako když tato položka registru není vůbec vytvořena. Aplikace, které zprostředkovali Schannel odešlou příznak zabezpečení v průběhu inicializace relace, využijí pouze opravenou cestu k zabezpečenému kódu. U ostatních aplikací nedojde k žádné změně chování zprostředkovatele Schannel.

Tato aktualizace zabezpečení rovněž opravuje aplikační vrstvy, které jsou zapojeny do procházení webu pomocí aplikace Internet Explorer, aby odesílaly příznak zabezpečení, a napomohly tak zabezpečit scénáře využití prohlížeče.

Poznámka: V systému Windows Server 2003 je v rámci zabezpečení klientských aplikací HTTP využívajících rozhraní WinHTTP API třeba, aby byla nainstalována aktualizace zabezpečení 2638806. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
2638806 MS12-006: Popis aktualizace zabezpečení pro službu Winhttp v systému Windows Server 2003 a Windows XP Professional x64 Edition: 10. ledna 2012
1 Nastavení hodnoty 1 znamená „povoleno pro všechny“. To znamená, že volající nemusí odesílat příznak a zprostředkovatel Schannel rozdělí všechny záznamy SSL. Je-li nastavena tato hodnota, aplikace nemusejí provádět žádné změny. Zákazníci, kteří kladou velký důraz na zabezpečení systému, mohou napomoci zvýšení zabezpečení systému povolením tohoto klíče registru. 
2 Nastavení hodnoty 2 znamená „zakázáno pro všechny“. To znamená, že zprostředkovatel Schannel nerozdělí záznamy pro žádná volání šifrování provedená aplikacemi. Tento režim nerespektuje příznak zabezpečení, který aplikace odešle. 
Na základě interního testování jsme zjistili, že není vhodné nastavit tuto položku registru na hodnotu 1, protože může v rámci podniku dojít k porušení příliš mnoha scénářů. Proto uživatele zrazujeme od jejího použití.

Známé potíže s povolením položky registru SendExtraRecord

  • Nastavení položky registru SendExtraRecord na hodnotu 1 vynutí rozdělení záznamů v rámci každého volání šifrování dat u zprostředkovatele Schannel. K tomu dojde bez ohledu na to, zda volající v průběhu inicializace relace odeslal příznak zabezpečení.
  • Řada aplikací využívajících zprostředkovatele Schannel je napsána tak, že se na straně příjemce předpokládá, že data aplikace budou zabalena do jednoho balíčku. K tomu dojde i v případě, že aplikace volá zprostředkovatele Schannel kvůli dešifrování. Aplikace ignorují příznak, který je nastaven zprostředkovatelem Schannel. Tento příznak aplikaci signalizuje, že na dešifrování a převzetí příjemcem čekají další data. Tato metoda nevyužívá postup použití zprostředkovatele Schannel předepsaný službou MSDN. Protože tato aktualizace zabezpečení vynucuje rozdělení záznamů, dochází k chybám takových aplikací.
  • Mezi poškozené aplikace patří produkty společnosti Microsoft i komponenty obsažené v balení. Dále jsou uvedeny příklady scénářů, které mohou být při nastavení položky registru SendExtraRecord na hodnotu 1 poškozeny:
    • Všechny produkty SQL a aplikace založené na systému SQL.
    • Terminálové servery se zapnutým ověřováním na úrovni sítě (NLA). Ve výchozím nastavení je ověřování NLA povoleno v systému Windows Vista a novějších verzích systému Windows.
    • Některé scénáře služby RRAS (Routing Remote Access Service).

Nastavení položky registru SendExtraRecord na hodnotu 1 vynutí zabezpečené rozdělení záznamů pro všechny aplikace využívající protokol Windows TLS/SSL. Toto nastavení však pravděpodobně způsobí potíže s kompatibilitou aplikací. Proto zákazníkům doporučujeme, aby místo použití tohoto nastavení registru nakonfigurovali protokoly TLS 1.1 a TLS 1.2. Protokoly TLS 1.1 a TLS 1.2 nejsou těmito potížemi ohroženy.

Pokud uživatel zamýšlí použít toto nastavení registru, doporučujeme před zahájením implementace důkladně otestovat kompatibilitu aplikací. Mezi běžné produkty, které jsou tímto nastavením ovlivněny, patří produkty Microsoft SQL, Windows Terminal Server a Windows Remote Access Server.

Nejčastější dotazy

Otázka: Jak může společnost Microsoft pomoci opravit aplikaci na straně serveru?
Odpověď: Zkontrolujte, zda dokáže aplikace zpracovat fragmentaci aplikačních záznamů protokolu SSL/TLS, jak je popsáno v následujících dokumentech RFC:
Poznámka: Toto je článek určený k rychlému zveřejnění, který vydala přímo služba podpory společnosti Microsoft. Uvedené informace jsou poskytovány jako odpověď na vzniklé problémy. Vzhledem k požadavku na rychlé zveřejnění je možné, že zpráva obsahuje typografické chyby, a může být kdykoli bez ohlášení revidována. Další pokyny naleznete v dokumentu Podmínky užití.

Vlastnosti

ID článku: 2643584 - Poslední aktualizace: 26. ledna 2012 - Revize: 4.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows 7 Service Pack 1 na těchto platformách
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 na těchto platformách
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 na těchto platformách
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 na těchto platformách
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Klíčová slova: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com