MS12-006: Kerentanan dalam SSL/TLS dapat memungkinkan keterbukaan informasi: 10 Januari 2012

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2643584 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

PENGENALAN

Microsoft telah meluncurkan buletin keamanan MS12-006. Untuk melihat buletin keamanan yang lengkap, kunjungi salah satu website Microsoft berikut:

Cara mendapatkan bantuan dan dukungan untuk pembaruan keamanan

Membantu menginstal pembaruan: Dukungan untuk Microsoft Update

Solusi keamanan untuk profesional TI: Dan dukungan pemecahan masalah keamanan TechNet

Membantu melindungi komputer yang menjalankan Windows dari virus dan malware:Solusi virus dan pusat keamanan

Dukungan lokal negara: Dukungan internasional

Perbaiki untuk saya

Dua memperbaikinya solusi tersedia.
  • Solusi untuk Transport Layer Security (TLS) 1.1 di Internet Explorer memperbaikinya: solusi ini memungkinkan TLS 1.1, yang tidak dipengaruhi oleh kerentanan ini, di Windows Internet Explorer. Paling khas pengguna harus menginstal ini solusi memperbaikinya.
  • Solusi untuk TLS 1.1 pada Windows berbasis server memperbaikinya: solusi ini memungkinkan TLS 1.1, yang tidak dipengaruhi oleh kerentanan.
Perbaikan itu solusi yang dijelaskan dalam bagian ini tidak dimaksudkan sebagai pengganti untuk setiap update keamanan. Kami menyarankan bahwa Anda selalu menginstal pembaruan keamanan terkini. Namun, kami menawarkan ini memperbaikinya solusi sebagai solusi pilihan untuk beberapa skenario.

Untuk informasi lebih lanjut tentang workarounds, lihat buletin keamanan MS12-006:
http://technet.Microsoft.com/Security/Bulletin/ms12-006
Buletin memberikan informasi lebih lanjut tentang masalah dan meliputi:
  • Skenario-skenario di mana Anda mungkin berlaku atau menonaktifkan solusi
  • Mengurangi faktor
  • Workarounds
  • pertanyaan yang sering diajukan
Secara khusus, untuk melihat informasi ini, lihat bagian Kerentanan informasi , dan kemudian memperluas paragraf Workarounds di bawah paragraf SSL dan TLS protokol kerentanan - CVE-2011-3389 .

Perbaiki solusi untuk TLS 1.1 pada Internet Explorer

Untuk mengaktifkan atau menonaktifkan ini solusi memperbaikinya, klik memperbaikinya tombol tekan atau link di bawah judul mengaktifkanatau menonaktifkan . Klik Jalankan di File Download kotak dialog, dan kemudian ikuti langkah-langkah di memperbaiki itu Wizard.
Perkecil tabel iniPerbesar tabel ini
MengaktifkanMenonaktifkan
Perbaiki masalah ini
Microsoft Fix it 50773
Perbaiki masalah ini
Microsoft Fix it 50772

Catatan

  • Wisaya ini mungkin hanya dalam bahasa Perserikatan Kerajaan. Namun, otomatis perbaikan juga bekerja untuk Windows versi bahasa lainnya.
  • Jika Anda tidak berada di depan komputer yang mengalami masalah, Anda dapat menyimpan perbaikan otomatis ke kandar flash atau CD dan kemudian jalankan di komputer yang memiliki masalah.

Perbaiki solusi untuk TLS 1.1 pada server berbasis Windows

Untuk mengaktifkan atau menonaktifkan ini solusi memperbaikinya, klik memperbaikinya tombol tekan atau link di bawah judul mengaktifkanatau menonaktifkan . Klik Jalankan di <b00> </b00>File Download kotak dialog, dan kemudian ikuti langkah-langkah di memperbaiki itu Wizard.
Perkecil tabel iniPerbesar tabel ini
MengaktifkanMenonaktifkan
Perbaiki masalah ini
Microsoft Fix it 50774
Perbaiki masalah ini
Microsoft Fix it 50775

Catatan

  • Wisaya ini mungkin hanya dalam bahasa Perserikatan Kerajaan. Namun, otomatis perbaikan juga bekerja untuk Windows versi bahasa lainnya.
  • Jika Anda tidak berada di depan komputer yang mengalami masalah, Anda dapat menyimpan perbaikan otomatis ke kandar flash atau CD dan kemudian jalankan di komputer yang memiliki masalah.

Masalah yang dikenal dengan pembaruan keamanan

Setelah Anda menginstal pembaruan keamanan ini, Anda mungkin mengalami kegagalan otentikasi atau hilangnya konektivitas ke beberapa server HTTPS. Masalah ini terjadi karena perubahan pembaruan keamanan ini cara yang mencatat yang dikirim ke server HTTPS.

Untuk sementara menonaktifkan atau mengaktifkan ulang pembaruan keamanan, klik memperbaikinya tombol tekan atau link di bawah <b00> </b00>menonaktifkan pembaruan keamananatau menuju mengaktifkan ulang pembaruan keamanan . Klik Jalankan di File Download kotak dialog, dan kemudian ikuti langkah-langkah dalam memperbaikinya Wisaya.
Perkecil tabel iniPerbesar tabel ini
Menonaktifkan pembaruan keamanan Mengaktifkan ulang pembaruan keamanan
Perbaiki masalah ini
Microsoft Fix it 50824
Perbaiki masalah ini
Microsoft Fix it 50825
Catatan
  • Wisaya ini mungkin hanya dalam bahasa Perserikatan Kerajaan. Namun, otomatis perbaikan juga bekerja untuk Windows versi bahasa lainnya.
  • Jika Anda tidak berada di depan komputer yang mengalami masalah, Anda dapat menyimpan perbaikan otomatis ke kandar flash atau CD dan kemudian jalankan di komputer yang memiliki masalah.
Daftar Tabel berikut menunjukkan nilai-nilai yang diterapkan oleh ini memperbaikinya solusi ke DWORD entri registri SendExtraRecord :
Perkecil tabel iniPerbesar tabel ini
Judul Nilai yang diterapkan untuk SendExtraRecord entri
Menonaktifkan pembaruan keamanan 2
Mengaktifkan ulang pembaruan keamanan 0
Catatan Pengaturan SendExtraRecord yang akan disertakan dalam rilis Windows di masa depan.

Masalah yang diketahui dan informasi tambahan tentang pembaruan keamanan

Artikel berikut berisi informasi tambahan tentang pembaruan keamanan yang berhubungan dengan versi produk individu. Artikel ini mungkin berisi informasi masalah dikenal. Jika hal ini terjadi, masalah dikenal tercantum link setiap artikel di bawah ini:
  • 2585542 MS12-006: Deskripsi dari pembaruan keamanan untuk Webio, Winhttp dan schannel di Windows: 10 Januari 2012
  • 2638806 MS12-006: Deskripsi dari pembaruan keamanan untuk Winhttp di Windows Server 2003 dan Windows XP Professional x 64 Edition: 10 Januari 2012

Informasi registri

Tidak direkomendasikan Kami tidak menganjurkan bahwa Anda menggunakan prosedur berikut ini untuk menonaktifkan pembaruan keamanan ini. Namun, kami menyediakan prosedur ini untuk skenario di mana Anda mungkin menggunakan aplikasi yang tidak kompatibel dengan pembaruan keamanan, yang memungkinkan split SSL catatan untuk semua aplikasi.

PentingPada bagian ini, cara atau tugas mengandung langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius mungkin akan muncul jika Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322756Cara membuat cadangan dan memulihkan registri pada Windows


secara asali, pembaruan keamanan ini set modus pilih ikut di tingkat schannel, karena masalah kompatibilitas mundur aplikasi. Untuk menonaktifkan pembaruan keamanan untuk semua aplikasi sistem-lebar, Anda harus menambahkan nilai DWORD yang telah bernamaSendExtraRecorddan yang memiliki nilai 2 untuk subkunci registri berikut:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Untuk menambahkan ini schannel entri registri entri registri, ikuti langkah berikut:
  1. Klik mulai, klik menjalankan, jenis regedit dalam terbuka kotak, dan kemudian klik OK.
  2. Temukan dan kemudian klik subkunci berikut di dalam registri:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Pada Edit menu, arahkan ke baru, dan kemudian klik Nilai DWORD.
  4. Jenis SendExtraRecorduntuk nama nilai DWORD, dan kemudian tekan Enter.
  5. Klik kanan-atas SendExtraRecord, dan kemudian klik memodifikasi.
  6. Dalam kotak data nilai , ketik 2 untuk menonaktifkan split dicatat dalam schannel, dan kemudian klik OK.
  7. keluar dari Registry Editor.
Entri registri ini dapat memiliki tiga nilai, dan setiap nilai menyediakan mode operasi:
Perkecil tabel iniPerbesar tabel ini
Reg-kunci nilai Deskripsi
0secara asali, schannel termasuk dalam "Optin Mode." Ini berarti bahwa pembaruan keamanan ini akan bekerja untuk semua panggilan yang mengirim Secure bendera untuk schannel. Entri registri schannel "SendExtraRecord" tidak akan dibuat oleh paket keamanan. Oleh karena itu, tidak ada entri registri schannel berarti sistem ini berjalan mode ini. Jika seseorang membuat ini bukti kunci registri dan menetapkan nilai ke 0, schannel akan kembali berjalan dalam mode ini.

Pengaturan ini memiliki efek yang sama sebagai tidak menciptakan entri registri ini sama sekali. Aplikasi yang mengirim Secure bendera untuk schannel selama sesi inisialisasi hanya akan melatih jalan tetap kode yang aman. Untuk aplikasi lain, tidak akan ada perubahan dalam perilaku schannel.

Pembaruan keamanan ini juga memperbaiki lapisan aplikasi yang terlibat dalam web browsing dengan menggunakan Internet Explorer untuk mengirim tanda aman, untuk membantu mengamankan browser penggunaan skenario.

Catatan:Windows Server 2003, pembaruan keamanan 2638806 harus diinstal untuk membantu HTTP aman klien aplikasi thatuse WinHTTP api. Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Microsoft Knowledge Base:
2638806 MS12-006: Deskripsi dari pembaruan keamanan untuk Winhttp di Windows Server 2003 dan Windows XP Professional x 64 Edition: 10 Januari 2012
1 Menetapkan nilai ke 1 berarti "diaktifkan untuk semua." Ini berarti pemanggil tidak perlu mengirim bendera, dan schannel akan membagi semua catatan SSL. Dengan mengatur nilai ini, aplikasi tidak harus mengambil perubahan. Pelanggan yang sangat prihatin dengan keamanan sistem dapat membantu membuat sistem mereka lebih aman dengan mengaktifkan bukti kunci registri ini.
2 Menetapkan nilai ke 2 berarti "dinonaktifkan untuk semua." Ini berarti bahwa schannel tidak akan membagi catatan untuk panggilan enkripsi apapun yang membuat aplikasi. Mode ini tidak menghormati bendera aman yang mengirim aplikasi.
Berdasarkan pengujian internal, kami menemukan bahwa Anda tidak dapat menetapkan nilai registri untuk 1 karena dapat memecah terlalu banyak skenario dalam suatu perusahaan. Oleh karena itu, kami tidak menyarankan pengguna dari menggunakannya.

Masalah yang dikenal dengan memungkinkan entri registri SendExtraRecord

  • Menetapkan nilai registri SendExtraRecord ke 1 memberlakukan membelah catatan dalam setiap panggilan untuk mengenkripsi data dalam schannel. Hal ini terjadi terlepas dari apakah pemanggil dikirim Secure bendera selama sesi inisialisasi.
  • Banyak aplikasi yang menggunakan schannel ditulis sehingga sisi receiver mengasumsikan aplikasi data akan dimasukkan ke dalam satu paket. Hal ini terjadi meskipun aplikasi panggilan schannel untuk dekripsi. Aplikasi mengabaikan bendera yang diatur oleh schannel. Bendera menunjukkan ke aplikasi bahwa ada lebih banyak data harus didekripsi dan dijemput oleh Penerima. Metode ini tidak mengikuti metode MSDN-ditentukan menggunakan schannel. Karena pembaruan keamanan yang memberlakukan membelah catatan, istirahat ini aplikasi tersebut.
  • Rusak aplikasi termasuk produk Microsoft dan komponen dalam kotak. Berikut ini adalah contoh skenario yang mungkin rusak ketika nilai registri SendExtraRecord diatur ke 1:
    • Semua produk SQL, dan aplikasi yang dibangun ke SQL.
    • Terminal server yang memiliki jaringan tingkat otentikasi (NLA) diaktifkan. secara asali, NLA diaktifkan dalam Windows Vista dan Windows versi yang lebih baru.
    • Beberapa skenario perutean Remote akses layanan (RRAS).

Menetapkan nilai registri SendExtraRecord ke 1 memberlakukan aman catatan membelah untuk semua aplikasi yang menggunakan Windows TLS/SSL. Namun, pengaturan ini cenderung memiliki masalah kompatibilitas mundur aplikasi. Oleh karena itu, kami merekomendasikan bahwa pelanggan mengkonfigurasi TLS 1.1 dan 1,2 TLS daripada menggunakan pengaturan registri ini. TLS 1.1 dan 1,2 TLS yang tidak rentan terhadap masalah ini.

Jika pengguna berniat untuk menggunakan pengaturan registri ini, kami merekomendasikan bahwa mereka secara ekstensif menguji aplikasi kompatibilitas mundur pengujian sebelum mereka menerapkannya. Beberapa produk umum yang dikenal akan terpengaruh oleh pengaturan ini meliputi produk Microsoft SQL, Windows Terminal Server dan Windows Remote Access Server.

FAQ

Q: Apa yang dapat lakukan Microsoft untuk membantu saya memperbaiki aplikasi sisi server saya?
A: Pastikan bahwa aplikasi Anda dapat menangani dalam catatan aplikasi fragmentasi SSL/TLS, seperti yang digambarkan dalam RFC berikut:

Properti

ID Artikel: 2643584 - Kajian Terakhir: 17 April 2014 - Revisi: 2.0
Berlaku bagi:
  • Windows 7 Service Pack 1, ketika digunakan dengan:
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, ketika digunakan dengan:
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2, ketika digunakan dengan:
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2, ketika digunakan dengan:
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Kata kunci: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew kbmt KB2643584 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 2643584

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com