MS12-006: SSL:n/TLS:n heikkous saattaa mahdollistaa tietojen paljastumisen muille käyttäjille: 10.1.2012

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 2643584 - Näytä tuotteet, joita tämä artikkeli koskee.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

JOHDANTO

Microsoft on julkaissut suojaustiedotteen MS12-006. Voit tarkastella koko suojaustiedotetta seuraavissa Microsoftin verkkosivustoissa:

Ohjeiden ja tuen saaminen tälle suojauspäivitykselle

Kotikäyttäjät saavat maksutonta tukea Yhdysvalloissa ja Kanadassa soittamalla numeroon 1-866-PCSAFETY
(tältä sivulta saat paikallisen puhelinnumeron)
tai ottamalla yhteyttä paikalliseen Microsoftin tytäryhtiöön. Lisätietoja yhteyden ottamisesta paikalliseen Microsoftin tytäryhtiöön suojauspäivitysten tukea varten on seuraavassa Microsoftin kansainvälisessä tukisivustossa:
http://support.microsoft.com/common/international.aspx?ln=fi&rdpath=4
Pohjois-Amerikassa olevat asiakkaat voivat myös saada käyttöönsä heti rajoittamattoman maksuttoman sähköpostituen tai rajoittamattoman henkilökohtaisen keskustelutuen käymällä seuraavassa Microsoftin WWW-sivustossa:
https://support.microsoft.com/oas/default.aspx?&prid=7552&st=1&wfxredirect=1&sd=gn
Yritysasiakkaat saavat tukea suojauspäivityksille tavallisten tukiyhteyshenkilöidensä kautta.

Korjaa ongelma puolestani

Saatavilla on kaksi Fix it -ratkaisua.
  • TLS (Transport Layer Security) 1.1:tä Internet Explorerissa käyttävä Fix it -ratkaisu: Ratkaisu käyttää Windows Internet Explorerissa TLS 1.1:tä, johon tämä heikkous ei vaikuta. Useimpien tyypillisten käyttäjien kannattaa asentaa tämä Fix it -ratkaisu.
  • TLS 1.1:tä käyttävä Fix it -ratkaisu Windows-palvelimissa: Ratkaisu käyttää TLS 1.1:tä, johon tämä heikkous ei vaikuta.
Tässä osassa kuvattuja Fix it -ratkaisuja ei ole tarkoitettu korvaamaan mitään suojauspäivitystä. Microsoft suosittelee, että asennat aina uusimmat suojauspäivitykset. Microsoft kuitenkin tarjoaa nämä Fix it -ratkaisut vaihtoehtoisina kiertotapoina joihinkin tilanteisiin.

Lisätietoja kiertotavoista on suojaustiedotteessa MS12-006:
http://technet.microsoft.com/security/bulletin/MS12-006
 Tiedote sisältää esimerkiksi seuraavia lisätietoja ongelmasta:
  • tilanteet, joissa kiertotapa saatetaan ottaa käyttöön tai poistaa käytöstä
  • riskiä pienentävät tekijät
  • ongelman kiertotavat
  • usein kysytyt kysymykset
Tarkemmin sanottuna löydät nämä tiedot etsimällä heikkouden tietoja käsittelevän osan ja laajentamalla sitten kiertotapoja käsittelevän kappaleen, joka sisältyy SSL- ja TLS-protokollien heikkoutta (CVE-2011-3389) käsittelevään kappaleeseen.

TLS 1.1:tä käyttävä Fix it -ratkaisu Internet Explorerissa

Jos haluat ottaa tämän Fix it -ratkaisun käyttöön tai poistaa sen käytöstä, napsauta Ota käyttöön- tai Poista käytöstä -otsikon alla olevaa Fix it -painiketta tai -linkkiä. Valitse Tiedostojen lataaminen -valintaikkunassa Suorita ja noudata sitten ohjatun Fix it -toiminnon ohjeita.
Kutista tämä taulukkoLaajenna tämä taulukko
Ota käyttöönPoista käytöstä
Korjaa tämä ongelma
Microsoftin Fix it -ratkaisu 50773
Korjaa tämä ongelma
Microsoftin Fix it -ratkaisu 50772

Huomautuksia

  • Nämä ohjatut toiminnot saattavat olla saatavilla vain englanninkielisinä. Automaattiset korjaukset toimivat kuitenkin myös muiden Windowsin kieliversioiden kanssa.
  • Jos et ole käyttämässä tietokonetta, jossa tämä ongelma ilmenee, voit tallentaa automaattisen korjauksen muistitikkuun tai CD-levylle ja suorittaa sen sitten tietokoneessa, jossa ongelma ilmenee.

TLS 1.1:tä käyttävä Fix it -ratkaisu Windows-palvelimissa

Jos haluat ottaa tämän Fix it -ratkaisun käyttöön tai poistaa sen käytöstä, napsauta Ota käyttöön- tai Poista käytöstä -otsikon alla olevaa Fix it -painiketta tai -linkkiä. Valitse Tiedostojen lataaminen -valintaikkunassa Suorita ja noudata sitten ohjatun Fix it -toiminnon ohjeita.
Kutista tämä taulukkoLaajenna tämä taulukko
Ota käyttöönPoista käytöstä
Korjaa tämä ongelma
Microsoftin Fix it -ratkaisu 50774
Korjaa tämä ongelma
Microsoftin Fix it -ratkaisu 50775

Huomautuksia

  • Nämä ohjatut toiminnot saattavat olla saatavilla vain englanninkielisinä. Automaattiset korjaukset toimivat kuitenkin myös muiden Windowsin kieliversioiden kanssa.
  • Jos et ole käyttämässä tietokonetta, jossa tämä ongelma ilmenee, voit tallentaa automaattisen korjauksen muistitikkuun tai CD-levylle ja suorittaa sen sitten tietokoneessa, jossa ongelma ilmenee.

Tunnettuja tämän suojauspäivityksen yhteydessä ilmeneviä ongelmia

Tämän suojauspäivityksen asentamisen jälkeen saatat havaita todennusvirheitä tai joidenkin HTTPS-palvelimien yhteyskatkoksia. Tämä ongelma ilmenee, koska suojauspäivitys muuttaa tapaa, jolla tietueet lähetetään HTTPS-palvelimiin. 

Voit poistaa tämän suojauspäivityksen tilapäisesti käytöstä tai ottaa sen käyttöön uudelleen napsauttamalla Poista suojauspäivitys käytöstä -otsikon tai Ota suojauspäivitys uudelleen käyttöön -otsikon alla olevaa Fix it -painiketta tai -linkkiä. Valitse Tiedostojen lataaminen -valintaikkunassa Suorita ja noudata sitten ohjatun Fix it -toiminnon ohjeita.
Kutista tämä taulukkoLaajenna tämä taulukko
Poista suojauspäivitys käytöstä Ota suojauspäivitys uudelleen käyttöön
Korjaa tämä ongelma
Microsoftin Fix it -ratkaisu 50824
Korjaa tämä ongelma
Microsoftin Fix it -ratkaisu 50825
Huomautuksia
  • Nämä ohjatut toiminnot saattavat olla saatavilla vain englanninkielisinä. Automaattiset korjaukset toimivat kuitenkin myös muiden Windowsin kieliversioiden kanssa.
  • Jos et ole käyttämässä tietokonetta, jossa tämä ongelma ilmenee, voit tallentaa automaattisen korjauksen muistitikkuun tai CD-levylle ja suorittaa sen sitten tietokoneessa, jossa ongelma ilmenee.
Seuraavassa taulukossa ovat näillä Fix it -ratkaisuilla DWORD-rekisterimerkinnässä SendExtraRecord käyttöön otettavat arvot:
Kutista tämä taulukkoLaajenna tämä taulukko
Otsikko SendExtraRecord-merkinnässä käyttöön otettu arvo
Poista suojauspäivitys käytöstä 2
Ota suojauspäivitys uudelleen käyttöön 0

Tämän suojauspäivityksen tunnetut ongelmat ja lisätiedot

Seuraavissa artikkeleissa on lisätietoja tästä suojauspäivityksestä ja siitä, miten se liittyy yksittäisiin tuoteversioihin. Artikkelit saattavat sisältää tietoja tunnetuista ongelmista. Tässä tapauksessa tunnetut ongelmat on lueteltu ennen kutakin artikkelilinkkiä:
  • 2585542 MS12-006: Windowsin Webio-, Winhttp- ja schannel-suojauspäivityksen kuvaus: 10.1.2012
  • 2638806 MS12-006: Windows Server 2003:n ja Windows XP Professional x64 Editionin Winhttp-suojauspäivityksen kuvaus: 10.1.2012

Rekisteritiedot

Ei suositella Microsoft ei suosittele tämän suojauspäivityksen käytöstä poistamista seuraavalla toimenpiteellä. Tämä toimenpide on kuvattu kuitenkin sellaisia tilanteita varten, joissa käytössä saattaa olla tämän suojauspäivityksen kanssa epäyhteensopivia sovelluksia, jotka mahdollistavat kaikkien sovellusten jaetut SSL-tietueet.

Tärkeää Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Vakavia ongelmia saattaa kuitenkin ilmetä, jos rekisteriä muokataan virheellisesti. Varmista siis, että noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Tällöin voit palauttaa sen, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322756 Rekisterin varmuuskopioiminen ja palauttaminen Windowsissa (tämä artikkeli saattaa olla englanninkielinen)


Oletusarvon mukaan tämä suojauspäivitys määrittää valintatilan schannel-tasolle sovellusten yhteensopivuusongelmien vuoksi. Jos haluat poistaa tämän suojauspäivityksen käytöstä kaikissa sovelluksissa koko järjestelmässä, sinun on lisättävä seuraavaan rekisterin aliavaimeen DWORD-arvo nimeltä SendExtraRecord, jonka arvo on 2:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Voit lisätä tämän schannel-rekisterimerkinnän seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita Avaa-ruutuun regedit ja valitse sitten OK.
  2. Etsi seuraava aliavain rekisteristä ja napsauta sitä:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Valitse Muokkaa-valikosta Uusi ja valitse sitten DWORD-arvo.
  4. Kirjoita DWORD-arvon nimeksi SendExtraRecord ja paina sitten ENTER-näppäintä.
  5. Napsauta hiiren kakkospainikkeella SendExtraRecord-arvoa ja valitse sitten Muokkaa.
  6. Poista jaettu tietue schannel-tasolla käytöstä kirjoittamalla Arvon data -ruutuun 2 ja valitsemalla sitten OK.
  7. Sulje Rekisterieditori.
Tällä rekisterimerkinnällä voi olla kolme arvoa, joilla on eri toimintatilat:
Kutista tämä taulukkoLaajenna tämä taulukko
Rekisteriavaimen arvo Kuvaus
0Oletusarvon mukaan schannel sisältyy "valintatilaan". Tämä tarkoittaa, että tämä suojauspäivitys toimii kaikilla kutsujilla, jotka lähettävät Suojattu-lipun schannelille. Suojauspaketti ei luo "SendExtraRecord"-nimistä schannel-rekisterimerkintää. Jos schannel-rekisterimerkintää ei siis ole, järjestelmä on käynnissä tässä tilassa. Jos joku luo tämän rekisteriavaimen ja määrittää sen arvoksi 0, schannel suoritetaan uudelleen tässä tilassa.

Tämä asetus vaikuttaa samalla tavalla kuin se, että rekisterimerkintää ei luoda ollenkaan. Suojattu-lipun schannelille istunnon alustuksen aikana lähettävät sovellukset käyttävät vain kiinteää suojattua koodipolkua. Muiden sovellusten schannel-toiminta ei muutu.

Tämä suojauspäivitys korjaa myös verkkoselaukseen liittyvät sovelluskerrokset, jotka käyttävät Internet Exploreria Suojattu-lipun lähettämiseen, mikä auttaa suojaamaan selaimen käyttötilanteita.

Huomautus Windows Server 2003:ssa suojauspäivitys 2638806 on asennettava, jotta WinHTTP-ohjelmointirajapintaa käyttävien HTTP-asiakassovellusten käyttöä voidaan suojata. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
2638806 MS12-006: Windows Server 2003:n ja Windows XP Professional x64 Editionin Winhttp-suojauspäivityksen kuvaus: 10.1.2012
1 Jos arvoksi asetetaan 1, tämä tarkoittaa, että toiminto on "käytössä kaikille". Tämä tarkoittaa, että kutsujien ei tarvitse lähettää lippua ja että schannel jakaa kaikki SSL-tietueet. Kun tämä arvo on asetettu, sovellusten ei tarvitse tehdä muutoksia. Järjestelmän suojauksesta huolissaan oleva asiakas voi parantaa järjestelmänsä suojausta ottamalla tämän rekisteriavaimen käyttöön. 
2 Jos arvoksi asetetaan 2, tämä tarkoittaa, että toiminto on "poistettu kaikkien käytöstä". Tämä tarkoittaa, että schannel ei jaa tietueita sovelluksen tekemän salauskutsun perusteella. Tämä tila ei noudata sovelluksen lähettämää Suojattu-lippua. 
Sisäisen testauksen perusteella olemme havainneet, että rekisteriarvoksi ei ole järkevää asettaa arvoa 1, koska se voi haitata liian monia käyttötilanteita yrityksessä. Tästä syystä suosittelemme käyttäjiä olemaan käyttämättä sitä.

Tunnettuja SendExtraRecord-rekisterimerkinnän käyttöönoton yhteydessä ilmeneviä ongelmia

  • Jos SendExtraRecord-rekisterimerkinnän arvoksi määritetään 1, tietueiden jakaminen pakotetaan jokaisessa kutsussa, jotta tiedot voidaan salata schannelissa. Tämä ilmenee riippumatta siitä, onko kutsuja lähettänyt Suojattu-lipun istunnon alustuksen aikana.
  • Monet schannelia käyttävät sovellukset on kirjoitettu siten, että vastaanottajapuoli olettaa, että sovellustiedot paketoidaan yksittäiseen pakettiin. Tämä ilmenee, vaikka sovellus kutsuu schannelia salauksen purkua varten. Sovellukset ohittavat schannelin määrittämän lipun. Lippu ilmaisee sovellukselle, että vastaanottimen on purettava lisää tietojen salausta ja kerättävä lisää tietoja. Tämä tapa ei noudata valmiiksi määritettyä MSDN-tapaa, jolla schannelia voidaan käyttää. Koska suojauspäivitys pakottaa tietueiden jakamisen, tämä haittaa tällaisten sovellusten käyttöä.
  • Sovelluksia, joita tämä haittaa, ovat muun muassa Microsoft-tuotteet ja valmiit komponentit. Seuraavassa on esimerkkejä mahdollisesti haitallisista tilanteista, kun SendExtraRecord-rekisteriarvoksi määritetään 1:
    • Kaikki SQL-tuotteet ja SQL:ään perustuvat sovellukset.
    • Terminal Server -palvelimet, joiden NLA (Network Level Authentication) on otettu käyttöön. NLA on oletusarvon mukaan käytössä Windows Vistassa ja uudemmissa Windows-versioissa.
    • Jotkin RRAS (Routing Remote Access Service) -tilanteet.

Jos SendExtraRecord-rekisterimerkinnän arvoksi määritetään 1, tietueiden jakaminen pakotetaan kaikissa Windowsin TLS-/SSL-salausta käyttävissä sovelluksissa. Tämä asetus aiheuttaa todennäköisesti yhteensopivuusongelmia sovelluksissa. Siksi asiakkaiden kannattaa määrittää käyttöön TLS 1.1 ja TLS 1.2 tämän rekisteriasetuksen käyttämisen sijasta. TLS 1.1 ja TLS 1.2 eivät ole alttiita tälle ongelmalle.

Jos käyttäjä aikoo käyttää tätä rekisteriasetusta, sovellusten yhteensopivuutta kannattaa testata perusteellisesti ennen asetuksen käyttöönottoa. Joitakin yleisiä tuotteita, joihin tämän asetuksen tiedetään vaikuttavan, ovat Microsoftin SQL-tuotteet, Windows Terminal Server ja Windows Remote Access Server.

Usein kysytyt kysymykset

Kysymys: Miten Microsoft voi auttaa minua korjaamaan palvelinpuolen sovelluksen?
Vastaus: Varmista, että sovelluksesi voi käsitellä SSL-/TLS-sovellustietueiden pirstoutumisen seuraavissa RFC-asiakirjoissa kuvatulla tavalla:
Huomautus Tämä on niin sanottu nopeasti julkaistava (?fast publish?) artikkeli, joka on laadittu suoraan Microsoftin tukiorganisaatiossa. Tässä olevat tiedot toimitetaan sellaisenaan vastauksena esiin tulleisiin ongelmiin. Koska aineisto on tuotu saataville nopeasti, se saattaa sisältää painovirheitä ja tietoja saatetaan muokata milloin tahansa ilman erillistä ilmoitusta. Lue muut huomioon otettavat seikat käyttöehdoista.

Ominaisuudet

Artikkelin tunnus: 2643584 - Viimeisin tarkistus: 26. tammikuuta 2012 - Versio: 4.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Windows 7 Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 seuraavilla käyttöjärjestelmillä
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Hakusanat: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com