BEVEZETÉS
A Microsoft közzétette az MS12-006 jelű biztonsági közleményt, amelynek teljes szövege a Microsoft alábbi webhelyein tekinthető meg:
-
Otthoni felhasználók számára:
http://www.microsoft.com/security/pc-security/bulletins/201201.aspxA részletek átugrása: A frissítések letöltése asztali vagy hordozható számítógépre a Microsoft Update webhelyről:
-
Informatikai szakemberek számára:
http://technet.microsoft.com/hu-hu/security/bulletin/ms12-006
Támogatás és segítségnyújtás a biztonsági frissítéshez
Az otthoni felhasználók az Amerikai Egyesült Államokban és Kanadában díjmentes telefonos támogatást kaphatnak az 1-866-PCSAFETY telefonszámon:
(a helyi telefonszámokról itt tájékozódhat) Más országokban élő ügyfeleinket arra kérjük, lépjenek kapcsolatba a Microsoft helyi képviseletével. A biztonsági frissítésekhez támogatást nyújtó helyi Microsoft-képviseletek elérhetőségéről az alábbi nemzetközi támogatási webhelyen tájékozódhat:
http://support.microsoft.com/common/international.aspx?ln=hu&rdpath=4 Az észak-amerikai ügyfelek továbbá ingyenes és korlátlan e-mailes, illetve csevegőprogramon keresztüli egyedi támogatást is kaphatnak a Microsoft alábbi webhelyén:
https://support.microsoft.com/oas/default.aspx?ln=hu&prid=7552&st=1&wfxredirect=1&sd=gn A vállalati ügyfelek a szokásos támogatási csatornáikon keresztül kaphatnak támogatást a biztonsági frissítésekhez.
Automatikus javítás
Két automatikus javítás érhető el.
-
Automatikus javítás a Transport Layer Security (TLS) 1.1 protokollhoz az Internet Explorer böngészőben: A megoldás engedélyezi a biztonsági rés által nem érintett TLS 1.1 protokollt a Windows Internet Explorer böngészőben. A legtöbb felhasználónak ezt az automatikus javítást kell telepítenie.
-
Automatikus javítás a TLS 1.1 protokollhoz Windows-alapú kiszolgálókon: A megoldás engedélyezi a biztonsági rés által nem érintett TLS 1.1 protokollt.
A jelen szakaszban ismertetett automatikus javítások nem helyettesítik a biztonsági frissítéseket. A Microsoft azt javasolja, hogy mindig telepítse a legfrissebb biztonsági frissítéseket. Ezek az automatikus javítások azonban egyes helyzetekben kerülő megoldásként alkalmazhatók.
A kerülő megoldásokkal kapcsolatos további információt az MS12-006 jelű biztonsági közleményben talál:
http://technet.microsoft.com/hu-hu/security/bulletin/ms12-006 A közlemény további információt biztosít a problémáról, és tartalmazza a következőket:
-
Helyzetek, amikor alkalmazhatja, illetve amikor letilthatja a kerülő megoldást
-
A hibát enyhítő tényezők
-
Kerülő megoldások
-
Gyakori kérdések
Ennek az információnak a megtekintéséhez keresse meg A biztonsági réssel kapcsolatos tudnivalók fejlécet, és Az SSL és TLS protokollok biztonsági rése - CVE-2011-3389 csomópont alatt bontsa ki a Kerülő megoldások szakaszt.
Automatikus javítás a TLS 1.1 protokollhoz az Internet Explorer böngészőben
Az automatikus javítás engedélyezéséhez vagy letiltásához kattintson A probléma javítása gombra vagy hivatkozásra az Engedélyezés vagy a Letiltás szakaszcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
Engedélyezés |
Letiltás |
---|---|
Megjegyzések
-
Előfordulhat, hogy a varázslók csak angol nyelven érhetők el. Az automatikus javítások ugyanakkor a Windows többi nyelvi verziójával is működnek.
-
Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy flash meghajtóra vagy CD lemezre, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.
Automatikus javítás a TLS 1.1 protokollhoz a Windows-alapú kiszolgálókon
Az automatikus javítás engedélyezéséhez vagy letiltásához kattintson A probléma javítása gombra vagy hivatkozásra az Engedélyezés vagy a Letiltás szakaszcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
Engedélyezés |
Letiltás |
---|---|
Megjegyzések
-
Előfordulhat, hogy a varázslók csak angol nyelven érhetők el. Az automatikus javítások ugyanakkor a Windows többi nyelvi verziójával is működnek.
-
Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy flash meghajtóra vagy CD lemezre, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.
A biztonsági frissítéssel kapcsolatos ismert problémák
A biztonsági frissítés telepítését követően néhány HTTP-kiszolgálóval kapcsolatban sikertelen hitelesítést, illetve a kapcsolat megszakadását tapasztalhatja. Ennek a problémának az oka, hogy a biztonsági frissítés módosítja a rekordok küldésének módját a HTTPS-kiszolgálók felé.
A biztonsági frissítés ideiglenes letiltásához vagy ismételt engedélyezéséhez kattintson a Probléma javítása gombra, illetve a A biztonsági frissítés letiltása vagy a A biztonsági frissítés ismételt engedélyezése alcím alatti hivatkozásra. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
A biztonsági frissítés letiltása |
A biztonsági frissítés ismételt engedélyezése |
---|---|
Megjegyzések
-
Előfordulhat, hogy a varázslók csak angol nyelven érhetők el. Az automatikus javítások ugyanakkor a Windows többi nyelvi verziójával is működnek.
-
Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy flash meghajtóra vagy CD lemezre, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.
A következő táblázat az automatikus javítási megoldások által a beállításjegyzék SendExtraRecord duplaszó-bejegyzésén alkalmazott értékeket mutatja:
Címsor |
A SendExtraRecord bejegyzésen alkalmazott érték |
---|---|
A biztonsági frissítés letiltása |
2 |
A biztonsági frissítés ismételt engedélyezése |
0 |
A biztonsági frissítéssel kapcsolatos ismert problémák és további információk
A következő cikkek további információt tartalmaznak a biztonsági frissítésről az egyes termékverziókhoz kapcsolódóan. A cikkek tartalmazhatnak ismert problémákra vonatkozó tudnivalókat is. Ebben az esetben az ismert problémák az egyes cikkhivatkozások alatt szerepelnek:
A beállításjegyzékkel kapcsolatos információk
Nem ajánlott A biztonsági frissítések letiltása nem ajánlott a következő eljárás használatával. Ennek ellenére elérhetővé tesszük ezt az eljárást azokra a lehetséges esetekre, ha olyan alkalmazásokat használna, amelyek nem kompatibilisek a biztonsági frissítéssel, ami lehetővé teszi osztott SSL-rekordok elérését az összes alkalmazás számára.
Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat. Ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről a módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben
A frissítés az alkalmazáskompatibilitási problémák miatt az schannel szintjén az engedélyezési módot állítja be alapértelmezés szerint. Ha a rendszer minden alkalmazása számára tiltani szeretné a biztonsági frissítést, adja hozzá a 2 értékű, SendExtraRecord elnevezésű duplaszót a beállításjegyzékbeli következő kulcshoz:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL Az schannel beállításjegyzékbeli bejegyzésének hozzáadásához kövesse az alábbi lépéseket:
-
Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
-
Keresse meg a következő beállításkulcsot, majd kattintson rá:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
-
Mutasson a Szerkesztés menü Új elemére, majd kattintson a Duplaszó parancsra.
-
Adja meg a SendExtraRecord értéket a duplaszó neveként, majd nyomja le az ENTER billentyűt.
-
Kattintson jobb gombbal a SendExtraRecord bejegyzésre, majd kattintson a Módosítás parancsra.
-
Az Érték mezőbe írja be a 2 értéket az schannel osztott rekordjának letiltásához, majd kattintson az OK gombra.
-
Zárja be a beállításszerkesztőt.
Ez a beállításjegyzékbeli bejegyzés három értéket vehet fel, amelyek mindegyike különböző működési módokat tesz elérhetővé:
Beállításkulcs értéke |
Leírás |
---|---|
0 |
Alapértelmezés szerint az schannel az „engedélyezési módban” van. Ez azt jelenti, hogy a biztonsági frissítés minden olyan hívó számára működni fog, akik a Biztonságos jelzőt küldik az schannel számára. A biztonsági csomag nem hozza létre az schannel "SendExtraRecord" beállításjegyzékbeli bejegyzését. Ezért az schannel beállításjegyzékbeli bejegyzésének hiánya azt jelenti, hogy a rendszer ebben a módban fut. Ha valaki létrehozza a beállításkulcsot, majd 0 értéket ad meg a számára, az schannel ismét ebben a módban fut majd. 2638806 MS12-006: A Windows Server 2003 vagy Windows XP Professional x64 Edition rendszerek Winhttp biztonsági frissítése: 2012. január 10. |
1 |
Az 1 érték beállítása az „összes részére engedélyezve” módot jelenti. Ez azt jelenti, hogy a hívóknak nem kell elküldeniük a jelzést, és az schannel minden SSL-rekordot feloszt. Ha ez az érték van beállítva, az alkalmazásokon nincs szükség változtatásra. Azok az ügyfelek, akik aggódnak a rendszer biztonsága miatt, ennek a beállításkulcsnak az engedélyezésével javíthatják a rendszerük biztonságát. |
2 |
A 2 érték beállítása az „összes részére tiltva” módot jelenti. Ez azt jelenti, hogy az schannel az alkalmazás egyetlen titkosítási hívásának rekordjait sem osztja fel. Ez a mód nem veszi figyelembe az alkalmazások által küldött Biztonságos jelzést. |
A belső tesztelés alapján úgy találtuk, hogy a beállításjegyzékbeli érték 1 értékűre állítása nem kivitelezhető, mivel túl sok esetben okoz hibát a vállalati környezetekben. Ezért nem ajánljuk a felhasználók számára a használatát.
A SendExtraRecord beállításjegyzékbeli bejegyzés engedélyezésével kapcsolatos, ismert problémák
-
A SendExtraRecord beállításjegyzékbeli bejegyzés 1 értékűre állítása minden adattitkosítási hívásra érvényesíti a rekordok felosztását az schannel esetében. Ez mindenképp megtörténik, akár elküldte a hívó a Biztonságos jelzőt a munkamenet inicializálásakor, akár nem.
-
Számos olyan alkalmazás, amely az schannelt használja úgy van megírva, hogy a fogadó oldal feltételezi azt, hogy az alkalmazásadatok egyetlen csomagba lettek csomagolva. Ez annak ellenére is így van, hogy az alkalmazás meghívja az schannelt a visszafejtés érdekében. Az alkalmazások nem veszik figyelembe az schannel által beállított jelzést. A jelző jelzi az alkalmazásnak, hogy további adatok várnak visszafejtésre, illetve fogadó általi fogadásra. Ez a módszer nem követi az schannel használatának az MSDN által előírt módját. Mivel a biztonsági frissítés kényszeríti a rekordok felosztását, ezért ez az ilyen alkalmazások működési hibáját okozza.
-
A hibás működésű alkalmazások közé tartoznak a Microsoft termékek és a beépített összetevők. A következő példák olyan helyzeteket mutatnak be, amelyek hibás működést okozhatnak abban az esetben, ha a SendExtraRecord beállításkulcs értéke 1:
-
-
Minden SQL-termék, illetve olyan alkalmazások, amelyek az SQL-re épülnek.
-
Azok a terminálkiszolgálók, amelyek esetében a hálózati szintű hitelesítés (NLA) be van kapcsolva. Windows Vista és későbbi Windows verziók esetében az NLA alapértelmezés szerint engedélyezve van.
-
Egyes Routing Remote Access Service (RRAS) szolgáltatások folyamatai.
-
A SendExtraRecord beállításkulcs 1 értékűre állítása kikényszeríti a biztonsági rekordok felosztását minden Windows TLS/SSL protokollt használó alkalmazás esetén. De ez a beállítás okozhat alkalmazáskompatibilitási problémákat. Ezért azt javasoljuk, hogy az ügyfelek konfigurálják a TLS 1.1 és TLS 1.2 protokollokat ennek a beállításjegyzékbeli beállításnak a használata helyett. A TLS 1.1 és a TLS 1.2 a biztonsági rés által nem érintett.
Amennyiben egy felhasználó használni kívánja ezt a beállításjegyzékbeli beállítást, azt javasoljuk, hogy mélyrehatóan vizsgálja meg az alkalmazások kompatibilitását a használata előtt. Néhány azon gyakori termékek közül, amelyekre ez a beállítás hatással lehet: a Microsoft SQL termékek, a Windows Terminálkiszolgáló, valamint a Windows Távelérési kiszolgáló.
Gyakori kérdések
K: Hogyan segíthet a Microsoft a kiszolgálóoldali alkalmazásom javításában?
V: Győződjön meg arról, hogy az alkalmazás tudja kezelni az SSL/TLS alkalmazásrekordok töredezettségét a következő RFC-dokumentumokban leírt módon: