MS12-006: Az SSL/TLS biztonsági rése az adatok kiszivárgását teheti lehetővé: 2012. január 10.

A cikk fordítása A cikk fordítása
Cikk azonosítója: 2643584 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

BEVEZETÉS

A Microsoft közzétette az MS12-006 jelű biztonsági közleményt, amelynek teljes szövege a Microsoft alábbi webhelyein tekinthető meg:

Támogatás és segítségnyújtás a biztonsági frissítéshez

Az otthoni felhasználók az Amerikai Egyesült Államokban és Kanadában díjmentes telefonos támogatást kaphatnak az 1-866-PCSAFETY telefonszámon:
(a helyi telefonszámokról itt tájékozódhat)
Más országokban élő ügyfeleinket arra kérjük, lépjenek kapcsolatba a Microsoft helyi képviseletével. A biztonsági frissítésekhez támogatást nyújtó helyi Microsoft-képviseletek elérhetőségéről az alábbi nemzetközi támogatási webhelyen tájékozódhat:
http://support.microsoft.com/common/international.aspx?ln=hu&rdpath=4
Az észak-amerikai ügyfelek továbbá ingyenes és korlátlan e-mailes, illetve csevegőprogramon keresztüli egyedi támogatást is kaphatnak a Microsoft alábbi webhelyén:
https://support.microsoft.com/oas/default.aspx?ln=hu&prid=7552&st=1&wfxredirect=1&sd=gn
A vállalati ügyfelek a szokásos támogatási csatornáikon keresztül kaphatnak támogatást a biztonsági frissítésekhez.

Automatikus javítás

Két automatikus javítás érhető el.
  • Automatikus javítás a Transport Layer Security (TLS) 1.1 protokollhoz az Internet Explorer böngészőben: A megoldás engedélyezi a biztonsági rés által nem érintett TLS 1.1 protokollt a Windows Internet Explorer böngészőben. A legtöbb felhasználónak ezt az automatikus javítást kell telepítenie.
  • Automatikus javítás a TLS 1.1 protokollhoz Windows-alapú kiszolgálókon: A megoldás engedélyezi a biztonsági rés által nem érintett TLS 1.1 protokollt.
A jelen szakaszban ismertetett automatikus javítások nem helyettesítik a biztonsági frissítéseket. A Microsoft azt javasolja, hogy mindig telepítse a legfrissebb biztonsági frissítéseket. Ezek az automatikus javítások azonban egyes helyzetekben kerülő megoldásként alkalmazhatók.

A kerülő megoldásokkal kapcsolatos további információt az MS12-006 jelű biztonsági közleményben talál:
http://technet.microsoft.com/hu-hu/security/bulletin/ms12-006
A közlemény további információt biztosít a problémáról, és tartalmazza a következőket:
  • Helyzetek, amikor alkalmazhatja, illetve amikor letilthatja a kerülő megoldást
  • A hibát enyhítő tényezők
  • Kerülő megoldások
  • Gyakori kérdések
Ennek az információnak a megtekintéséhez keresse meg A biztonsági réssel kapcsolatos tudnivalók fejlécet, és Az SSL és TLS protokollok biztonsági rése - CVE-2011-3389 csomópont alatt bontsa ki a Kerülő megoldások szakaszt.

Automatikus javítás a TLS 1.1 protokollhoz az Internet Explorer böngészőben

Az automatikus javítás engedélyezéséhez vagy letiltásához kattintson A probléma javítása gombra vagy hivatkozásra az Engedélyezés vagy a Letiltás szakaszcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
A táblázat összecsukásaA táblázat kibontása
EngedélyezésLetiltás
A probléma javítása
Microsoft Fix it 50773
A probléma javítása
Microsoft Fix it 50772

Megjegyzések

  • Előfordulhat, hogy a varázslók csak angol nyelven érhetők el. Az automatikus javítások ugyanakkor a Windows többi nyelvi verziójával is működnek.
  • Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy flash meghajtóra vagy CD lemezre, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.

Automatikus javítás a TLS 1.1 protokollhoz a Windows-alapú kiszolgálókon

Az automatikus javítás engedélyezéséhez vagy letiltásához kattintson A probléma javítása gombra vagy hivatkozásra az Engedélyezés vagy a Letiltás szakaszcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
A táblázat összecsukásaA táblázat kibontása
EngedélyezésLetiltás
A probléma javítása
Microsoft Fix it 50774
A probléma javítása
Microsoft Fix it 50775

Megjegyzések

  • Előfordulhat, hogy a varázslók csak angol nyelven érhetők el. Az automatikus javítások ugyanakkor a Windows többi nyelvi verziójával is működnek.
  • Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy flash meghajtóra vagy CD lemezre, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.

A biztonsági frissítéssel kapcsolatos ismert problémák

A biztonsági frissítés telepítését követően néhány HTTP-kiszolgálóval kapcsolatban sikertelen hitelesítést, illetve a kapcsolat megszakadását tapasztalhatja. Ennek a problémának az oka, hogy a biztonsági frissítés módosítja a rekordok küldésének módját a HTTPS-kiszolgálók felé. 

A biztonsági frissítés ideiglenes letiltásához vagy ismételt engedélyezéséhez kattintson a Probléma javítása gombra, illetve a A biztonsági frissítés letiltása vagy a A biztonsági frissítés ismételt engedélyezése alcím alatti hivatkozásra. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
A táblázat összecsukásaA táblázat kibontása
A biztonsági frissítés letiltása A biztonsági frissítés ismételt engedélyezése
A probléma javítása
Microsoft Fix it 50824
A probléma javítása
Microsoft Fix it 50825
Megjegyzések
  • Előfordulhat, hogy a varázslók csak angol nyelven érhetők el. Az automatikus javítások ugyanakkor a Windows többi nyelvi verziójával is működnek.
  • Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy flash meghajtóra vagy CD lemezre, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.
A következő táblázat az automatikus javítási megoldások által a beállításjegyzék SendExtraRecord duplaszó-bejegyzésén alkalmazott értékeket mutatja:
A táblázat összecsukásaA táblázat kibontása
Címsor A SendExtraRecord bejegyzésen alkalmazott érték
A biztonsági frissítés letiltása 2
A biztonsági frissítés ismételt engedélyezése 0

A biztonsági frissítéssel kapcsolatos ismert problémák és további információk

A következő cikkek további információt tartalmaznak a biztonsági frissítésről az egyes termékverziókhoz kapcsolódóan. A cikkek tartalmazhatnak ismert problémákra vonatkozó tudnivalókat is. Ebben az esetben az ismert problémák az egyes cikkhivatkozások alatt szerepelnek:
  • 2585542 MS12-006: A Windows Webio, Winhttp és schannel biztonsági frissítésének ismertetése: 2012. január 10.
  • 2638806 MS12-006: A Windows Server 2003 vagy Windows XP Professional x64 Edition rendszerek Winhttp biztonsági frissítése: 2012. január 10.

A beállításjegyzékkel kapcsolatos információk

Nem ajánlott A biztonsági frissítések letiltása nem ajánlott a következő eljárás használatával. Ennek ellenére elérhetővé tesszük ezt az eljárást azokra a lehetséges esetekre, ha olyan alkalmazásokat használna, amelyek nem kompatibilisek a biztonsági frissítéssel, ami lehetővé teszi osztott SSL-rekordok elérését az összes alkalmazás számára.

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat. Ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről a módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben


A frissítés az alkalmazáskompatibilitási problémák miatt az schannel szintjén az engedélyezési módot állítja be alapértelmezés szerint. Ha a rendszer minden alkalmazása számára tiltani szeretné a biztonsági frissítést, adja hozzá a 2 értékű, SendExtraRecord elnevezésű duplaszót a beállításjegyzékbeli következő kulcshoz:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Az schannel beállításjegyzékbeli bejegyzésének hozzáadásához kövesse az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot, majd kattintson rá:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Mutasson a Szerkesztés menü Új elemére, majd kattintson a Duplaszó parancsra.
  4. Adja meg a SendExtraRecord értéket a duplaszó neveként, majd nyomja le az ENTER billentyűt.
  5. Kattintson jobb gombbal a SendExtraRecord bejegyzésre, majd kattintson a Módosítás parancsra.
  6. Az Érték mezőbe írja be a 2 értéket az schannel osztott rekordjának letiltásához, majd kattintson az OK gombra.
  7. Zárja be a beállításszerkesztőt.
Ez a beállításjegyzékbeli bejegyzés három értéket vehet fel, amelyek mindegyike különböző működési módokat tesz elérhetővé:
A táblázat összecsukásaA táblázat kibontása
Beállításkulcs értéke Leírás
0Alapértelmezés szerint az schannel az „engedélyezési módban” van. Ez azt jelenti, hogy a biztonsági frissítés minden olyan hívó számára működni fog, akik a Biztonságos jelzőt küldik az schannel számára. A biztonsági csomag nem hozza létre az schannel "SendExtraRecord" beállításjegyzékbeli bejegyzését. Ezért az schannel beállításjegyzékbeli bejegyzésének hiánya azt jelenti, hogy a rendszer ebben a módban fut. Ha valaki létrehozza a beállításkulcsot, majd 0 értéket ad meg a számára, az schannel ismét ebben a módban fut majd.

Ez a beállítás ugyanazt eredményezi, mintha nem is jött volna létre a beállításjegyzékbeli bejegyzés. Azok az alkalmazások, amelyek a Biztonságos jelzőt küldik a munkamenet inicializálása alatt az schannel számára, csak a rögzített biztonságos kód útvonalát fogják használni. A többi alkalmazás esetében nem lesz változás az schannel viselkedésében.

A biztonsági frissítés kijavítja a webböngészésben érintett alkalmazási rétegeket azáltal, hogy az Internet Explorer segítségével küldi a Biztonságos jelzést, ezzel elősegítve a böngészőhasználati esetek biztonságosabbá tételét.

Megjegyzés: Windows Server 2003 rendszer esetén a 2638806. számú biztonsági frissítés telepítése elengedhetetlen az ezen WinHTTP API felületeket kihasználó HTTP-ügyfélalkalmazások biztonságosabbá tétele érdekében. További információkért kattintson az alábbi cikkszámra a Microsoft Tudásbázis megfelelő cikkének megtekintéséhez:
2638806 MS12-006: A Windows Server 2003 vagy Windows XP Professional x64 Edition rendszerek Winhttp biztonsági frissítése: 2012. január 10.
1 Az 1 érték beállítása az „összes részére engedélyezve” módot jelenti. Ez azt jelenti, hogy a hívóknak nem kell elküldeniük a jelzést, és az schannel minden SSL-rekordot feloszt. Ha ez az érték van beállítva, az alkalmazásokon nincs szükség változtatásra. Azok az ügyfelek, akik aggódnak a rendszer biztonsága miatt, ennek a beállításkulcsnak az engedélyezésével javíthatják a rendszerük biztonságát.
2 A 2 érték beállítása az „összes részére tiltva” módot jelenti. Ez azt jelenti, hogy az schannel az alkalmazás egyetlen titkosítási hívásának rekordjait sem osztja fel. Ez a mód nem veszi figyelembe az alkalmazások által küldött Biztonságos jelzést.
A belső tesztelés alapján úgy találtuk, hogy a beállításjegyzékbeli érték 1 értékűre állítása nem kivitelezhető, mivel túl sok esetben okoz hibát a vállalati környezetekben. Ezért nem ajánljuk a felhasználók számára a használatát.

A SendExtraRecord beállításjegyzékbeli bejegyzés engedélyezésével kapcsolatos, ismert problémák

  • A SendExtraRecord beállításjegyzékbeli bejegyzés 1 értékűre állítása minden adattitkosítási hívásra érvényesíti a rekordok felosztását az schannel esetében. Ez mindenképp megtörténik, akár elküldte a hívó a Biztonságos jelzőt a munkamenet inicializálásakor, akár nem.
  • Számos olyan alkalmazás, amely az schannelt használja úgy van megírva, hogy a fogadó oldal feltételezi azt, hogy az alkalmazásadatok egyetlen csomagba lettek csomagolva. Ez annak ellenére is így van, hogy az alkalmazás meghívja az schannelt a visszafejtés érdekében. Az alkalmazások nem veszik figyelembe az schannel által beállított jelzést. A jelző jelzi az alkalmazásnak, hogy további adatok várnak visszafejtésre, illetve fogadó általi fogadásra. Ez a módszer nem követi az schannel használatának az MSDN által előírt módját. Mivel a biztonsági frissítés kényszeríti a rekordok felosztását, ezért ez az ilyen alkalmazások működési hibáját okozza.
  • A hibás működésű alkalmazások közé tartoznak a Microsoft termékek és a beépített összetevők. A következő példák olyan helyzeteket mutatnak be, amelyek hibás működést okozhatnak abban az esetben, ha a SendExtraRecord beállításkulcs értéke 1:
    • Minden SQL-termék, illetve olyan alkalmazások, amelyek az SQL-re épülnek.
    • Azok a terminálkiszolgálók, amelyek esetében a hálózati szintű hitelesítés (NLA) be van kapcsolva. Windows Vista és későbbi Windows verziók esetében az NLA alapértelmezés szerint engedélyezve van.
    • Egyes Routing Remote Access Service (RRAS) szolgáltatások folyamatai.

A SendExtraRecord beállításkulcs 1 értékűre állítása kikényszeríti a biztonsági rekordok felosztását minden Windows TLS/SSL protokollt használó alkalmazás esetén. De ez a beállítás okozhat alkalmazáskompatibilitási problémákat. Ezért azt javasoljuk, hogy az ügyfelek konfigurálják a TLS 1.1 és TLS 1.2 protokollokat ennek a beállításjegyzékbeli beállításnak a használata helyett. A TLS 1.1 és a TLS 1.2 a biztonsági rés által nem érintett.

Amennyiben egy felhasználó használni kívánja ezt a beállításjegyzékbeli beállítást, azt javasoljuk, hogy mélyrehatóan vizsgálja meg az alkalmazások kompatibilitását a használata előtt. Néhány azon gyakori termékek közül, amelyekre ez a beállítás hatással lehet: a Microsoft SQL termékek, a Windows Terminálkiszolgáló, valamint a Windows Távelérési kiszolgáló.

Gyakori kérdések

K: Hogyan segíthet a Microsoft a kiszolgálóoldali alkalmazásom javításában?
V: Győződjön meg arról, hogy az alkalmazás tudja kezelni az SSL/TLS alkalmazásrekordok töredezettségét a következő RFC-dokumentumokban leírt módon:
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.

Tulajdonságok

Cikk azonosítója: 2643584 - Utolsó ellenőrzés: 2012. január 26. - Verziószám: 4.0
A cikkben található információ a következő(k)re vonatkozik:
  • Windows 7 Service Pack 1 a következő platformokon
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 a következő platformokon
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 a következő platformokon
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 a következő platformokon
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Kulcsszavak: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com