MS12-006: פגיעות ב- SSL/TLS עלולה לאפשר גילוי מידע: 10 בינואר 2012

תרגומי מאמרים תרגומי מאמרים
Article ID: 2643584 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

מבוא

Microsoft פרסמה את עלון אבטחה מס' MS12-006. כדי להציג את עלון האבטחה המלא, בקר באחד מאתרי האינטרנט הבאים של Microsoft:

כיצד להשיג עזרה ותמיכה עבור עדכון אבטחה זה

עבור משתמשים ביתיים, תמיכה ללא תשלום זמינה על-ידי חיוג 1-866-PCSAFETY בארה"ב ובקנדה
(בקר בדף זה למציאת מספר הטלפון המקומי)
או על-ידי פנייה לנציגות Microsoft המקומית. לקבלת מידע אודות אופן הפנייה לנציגות Microsoft המקומית לתמיכה בבעיות עם עדכוני אבטחה, בקר באתר האינטרנט של התמיכה הבינלאומית של Microsoft:
http://support.microsoft.com/common/international.aspx?ln=he&rdpath=4
לקוחות מצפון אמריקה יכולים גם לקבל גישה מיידית לתמיכה בלתי מוגבלת ללא תשלום בדואר אלקטרוני או לתמיכה בלתי מוגבלת באמצעות שיחת צ'אט אישית על-ידי ביקור באתר האינטרנט הבא של Microsoft:
http://support.microsoft.com/oas/default.aspx?&prid=7552
עבור לקוחות ארגוניים, תמיכה בעדכוני אבטחה זמינה באמצעות אנשי הקשר הרגילים של התמיכה.

תקנו עבורי

זמינים שני פתרונות תיקון.
  • פתרון תיקון עבור Transport Layer Security (TLS) 1.1 ב-Internet Explorer: הפתרון מאפשר את TLS 1.1, שאינו מושפע מפגיעות זו, ב-Windows Internet Explorer. למרבית המשתמשים הטיפוסיים מומלץ להתקין פתרון תיקון זה.
  • פתרון תיקון עבור TLS 1.1 בשרתים מבוססי Windows: הפתרון מאפשר את TLS 1.1, שאינו מושפע מפגיעות זו.
פתרונות תיקון המתוארים בסעיף זה אינם מהווים תחליף לעדכוני אבטחה כלשהם. אנו ממליצים להתקין תמיד את עדכוני האבטחה העדכניים ביותר. עם זאת, אנו מציעים פתרונות תיקון אלה כאפשרויות מעקף בתרחישים מסוימים.

לקבלת מידע נוסף אודות הדרכים לעקיפת הבעיה, עיין בעלון אבטחה MS12-006:
http://technet.microsoft.com/security/bulletin/MS12-006
עלון המידע מספק מידע נוסף אודות הבעיה וכולל גם:
  • התרחישים שבהם ניתן להחיל או להשבית את הפתרון העוקף
  • גורמים מקלים
  • דרכים לעקיפת הבעיה
  • שאלות נפוצות
במפורש, להצגת מידע זה, חפש את הסעיף פרטים על פגיעות, ואז הרחב את הפסקה פתרונות לעקיפת הבעיה תחת הפסקה פגיעות פרוטוקולים מסוג SSL ו-TLS - CVE-2011-3389.

פתרון תיקון עבור TLS 1.1 ב-Internet Explorer

כדי להפעיל או להשבית פתרון תיקון זה, לחץ על הלחצן או הקישור תיקון תחת הכותרת הפעל או הכותרת השבת. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ובצע את הצעדים באשף התיקון.
כווץ את הטבלההרחב את הטבלה
הפעלהפוך ללא זמין
תקן בעיה זו
Microsoft Fix it 50773
תקן בעיה זו
Microsoft Fix it 50772

הערות

  • ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.
  • אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.

פתרון תיקון עבור TLS 1.1 בשרתים מבוססי Windows

כדי להפעיל או להשבית פתרון תיקון זה, לחץ על הלחצן או הקישור תיקון תחת הכותרת הפעל או הכותרת השבת. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ובצע את הצעדים באשף התיקון.
כווץ את הטבלההרחב את הטבלה
הפעלהפוך ללא זמין
תקן בעיה זו
Microsoft Fix it 50774
תקן בעיה זו
Microsoft Fix it 50775

הערות

  • ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.
  • אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.

בעיות מוכרות בעדכון אבטחה זה

לאחר התקנת עדכון אבטחה זה, ייתכן שתיתקל בכשל אימות או אובדן קישוריות לשרתי HTTPS אחדים. בעיה זו מתרחשת מכיוון שעדכון אבטחה זה משנה את האופן שבו רשומות נשלחות אל שרתי HTTPS.

כדי להשבית זמנית או להפעיל מחדש עדכון זה, לחץ על הלחצן או הקישור תיקון תחת הכותרת השבת את עדכון האבטחה או הכותרת הפעל מחדש את עדכון האבטחה. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ופעל בהתאם לשלבים באשף התיקון.
כווץ את הטבלההרחב את הטבלה
השבת את עדכון האבטחה הפעל מחדש את עדכון האבטחה
תקן בעיה זו
Microsoft Fix it 50824
תקן בעיה זו
Microsoft Fix it 50825
הערות
  • ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.
  • אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.
הטבלה הבאה מציגה את הערכים המוחלים על-ידי פתרונות תיקון אלה לערך DWORD ברישום SendExtraRecord: 
כווץ את הטבלההרחב את הטבלה
כותרת ערך המוחל על ערך SendExtraRecord
השבת את עדכון האבטחה 2
הפעל מחדש את עדכון האבטחה 0

בעיות ידועות ומידע נוסף אודות עדכון אבטחה זה

המאמרים הבאים מכילים מידע נוסף אודות עדכון אבטחה זה כפי שהוא מתייחס לגירסאות מוצר שונות. המאמרים עשויים להכיל מידע על בעיות מוכרות. במקרה זה, הבעיה המוכרת רשומה מתחת לכל קישור למאמר:
  • 2585542 MS12-006: תיאור של עדכון האבטחה עבור Webio, Winhttp, ו-schannel ב- Windows: 10 בינואר 2012
  • 2638806 MS12-006: תיאור של עדכון האבטחה עבור Winhttp ב-Windows Server 2003 וב-Windows XP Professional x64 Edition: 10 בינואר 2012

פרטי רישום

לא מומלץ אנו לא ממליצים להשתמש בתהליך הבא להשבתת עדכון אבטחה זה. עם זאת, אנו מספקים תהליך זה עבור תרחישים שבהם ייתכן שאתה משתמש ביישומים שאינם תואמים לעדכון אבטחה זה, המאפשר רשומות SSL מפוצלות עבור כל היישומים.

חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת תוספת הגנה, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756 כיצד לגבות ולשחזר את הרישום ב- Windows


כברירת מחדל, עדכון אבטחה זה מגדיר מצב Opt-in ברמת schannel, עקב בעיות של תאימות יישומים. כדי להשבית עדכון אבטחה זה עבור כל היישומים ברמת המערכת, עליך להוסיף ערך DWORD בשם SendExtraRecord בעל ערך של 2 למפתח המשנה הבא של הרישום:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
כדי להוסיף ערך רישום schannel זה, בצע את הפעולות הבאות:
  1. לחץ על התחל, לחץ על הפעלה, הקלד regedit בתיבה פתח את, ולאחר מכן לחץ על אישור.
  2. אתר את מפתח המשנה הבא ברישום ולחץ עליו:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.
  4. הקלד SendExtraRecord כשמו של DWORD ולאחר מכן הקש ENTER.
  5. לחץ באמצעות לחצן העכבר הימני על SendExtraRecord ולאחר מכן לחץ על שנה.
  6. בתיבה נתוני ערך, הקלד 2 כדי להשבית את הרשומה המפוצלת ב-schannel ולאחר מכן לחץ על אישור.
  7. צא מעורך הרישום.
ערך רישום זה יכול לכלול שלושה ערכים, המספקים מצבי פעולה שונים:
כווץ את הטבלההרחב את הטבלה
ערך מפתח Reg תיאור
0כברירת מחדל, schannel נכלל ב-""Optin Mode". פירוש הדבר הוא שעדכון אבטחה זה יפעל עבור כל המתקשרים השולחים את הדגל Secure אל schannel. ערך הרישום "SendExtraRecord" של schannel לא ייווצר על-ידי חבילת האבטחה. לכן, העדר ערך רישום של schannel משמעו שהמערכת פועלת במצב זה. אם מישהו יוצר מפתח רישום זה ומגדיר את הערך ל-0, schannel יפעל שוב במצב זה.

להגדרה זו יש השפעה זהה למצב שבו ערך רישום זה לא נוצר כלל. יישומים השולחים דגל Secure אל schannel במהלך אתחול התקשרות ישתמשו רק בנתיב הקוד הבטוח הקבוע. עבור יישומים אחרים, לא יהיה שינוי בהתנהגות schannel.

עדכון אבטחה זה גם מתקן את שכבות היישום המעורבות בגלישה באינטרנט על-ידי שימוש ב-Internet Explorer לשליחת דגל Secure כדי לסייע לאבטח את תרחישי השימוש בדפדפן.

שים לב ב-Windows Server 2003, עדכון אבטחה 2638806 חייב להיות מותקן כדי לסייע באבטחה של יישומי לקוח HTTP המשתמשים בממשקי תכנות יישומים (API) של WinHTTP. לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
2638806 MS12-006: תיאור של עדכון האבטחה עבור Winhttp ב-Windows Server 2003 וב-Windows XP Professional x64 Edition: 10 בינואר 2012
1 קביעת ערך של 1 פירושה "מופעל עבור הכול". משמעות הדבר היא שמתקשרים לא צריכים לשלוח את הדגל, schannel יפצל את כל הרשומות ב-SSL. עם הגדרת ערך זה, יישומים אינם צריכים לבצע כל שינוי. לקוח שמודאג מאוד מאבטחת המערכת יכול לסייע באבטחת המערכת שלו על-ידי הפעלת מפתח רישום זה.
2 קביעת ערך של 2 פירושה "מושבת עבור הכול". משמעות הדבר היא ש- schannel לא יפצל את הרשומות עבור קריאת הצפנה כלשהי שהיישום מבצע. מצב זה לא מכבד את הדגל Secure אשר יישום שולח.
על סמך בדיקות פנימיות, גילינו שלא ניתן לקבוע בפועל את ערך הרישום ל- 1 מכיוון שהדבר עלול להפר תרחישים רבים מדי בארגון. לכן, אנו מרתיעים משתמשים מלהשתמש בו.

בעיות מוכרות עם הפעלת את ערך הרישום SendExtraRecord

  • הגדרת ערך הרישום SendExtraRecord ל- 1 אוכפת פיצול רשומות בכל קריאה להצפנת נתונים ב-schannel. דבר זה מתרחש ללא קשר אם הגורם הקורא שלח את דגל Secure במהלך אתחול התקשרות.
  • יישומים רבים המשתמשים ב-schannel נכתבים כך שהצד המקבל מניח שנתוני יישום יהיו ארוזים בחבילה בודדת. מצב זה מתרחש למרות שהיישום מתקשר אל schannel לצורך פענוח. היישומים מתעלמים מדגל שמוגדר על-ידי schannel. הדגל מציין ליישום שקיימים נתונים נוספים לפענוח ולאיסוף על-ידי המקבל. שיטה זו אינה פועלת לפי השיטה המומלצת על-ידי MSDN לשימוש ב-schannel. מאחר שעדכון האבטחה אוכף פיצול רשומה, הדבר פוגע ביישומים כאלה.
  • יישומים שנפגעים כוללים מוצרי Microsoft ורכיבים "בקופסה". להלן דוגמאות לתרחישים שעלולים להיפגע כאשר ערך הרישום SendExtraRecord נקבע ל-1:
    • כל מוצרי SQL, ויישומים בנויים על SQL.
    • שרתי מסוף בהם מופעל אימות ברמת הרשת (NLA). כברירת מחדל, NLA מופעל ב-Windows Vista ובגירסאות מתקדמות יותר של Windows.
    • מספר תרחישי Routing Remote Access Service (RRAS).

הגדרת ערך הרישום SendExtraRecord ל- 1 אוכפת את פיצול הרשומות המאובטח עבור כל היישומים המשתמשים ב- TLS/SSL של Windows. עם זאת, סביר שהגדרה זו תגרום לבעיות של תאימות יישומים. לכן, אנו ממליצים ללקוחות להגדיר TLS 1.1 ו- TLS 1.2 במקום להשתמש בהגדרת רישום זו. TLS 1.1 ו- TLS 1.2 אינם חשופים לבעיה זו.

אם משתמש מתכוון להשתמש בהגדרת רישום זו, מומלץ לבצע בדיקות נרחבות של תאימות יישומים לפני מימוש פתרון זה. חלק מהמוצרים הנפוצים הידועים כמושפעים מהגדרה זו כוללים מוצרי Microsoft SQL, Windows Terminal Server, ו-Windows Remote Access Server.

תשובות לשאלות נפוצות

ש: מה יכולה Microsoft לעשות כדי לסייע לי לתקן את היישום שלי בצד השרת?
ת: ודא שהיישום שלך יכול לטפל בפיצול של רשומות יישום SSL/TLS, כמתואר באתרים הבאים:
הערה זהו מאמר מסוג "פרסום מהיר" שנוצר ישירות מתוך ארגון התמיכה של Microsoft. המידע ניתן כפי שהוא (as-is) כתגובה לבעיות שעלו. בשל הדחיפות בהוצאת החומר, שגיאות טיפוגרפיות עשויות להתגלות בו, והחומר עשוי לעבור תיקון בכל שלב ללא הודעה מראש. לקבלת מידע נוסף, עיין בתנאי השימוש.

מאפיינים

Article ID: 2643584 - Last Review: יום חמישי 26 ינואר 2012 - Revision: 4.0
המידע במאמר זה חל על:
  • Windows 7 Service Pack 1, הפועל עם:
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, הפועל עם:
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2, הפועל עם:
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2, הפועל עם:
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
מילות מפתח 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com