MS12-006: Een beveiligingsprobleem in SSL/TLS kan leiden tot het vrijgeven van informatie: 10 januari 2012

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 2643584 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Inleiding

Microsoft heeft beveiligingsbulletin MS12-006 uitgebracht. Ga naar een van de volgende Microsoft-websites als u het volledige beveiligingsbulletin wilt weergeven:

Hulp en ondersteuning voor deze beveiligingsupdate

Hulp bij installatie van updates: Ondersteuning voor Microsoft Windows Update

Beveiligingsoplossingen voor IT-professionals: TechNet Oplossingen voor beveiligingsproblemen en ondersteuning

Uw Windows-computer beter beveiligen tegen virussen en malware: Support voor Microsoft-virusbescherming en Windows-beveiliging

Lokale ondersteuning voor uw land: Internationale ondersteuning

Het probleem voor mij oplossen

Er zijn twee Fix it-oplossingen beschikbaar.
  • Fix it-oplossing voor TLS 1.1 (Transport Layer Security) in Internet Explorer: Bij deze oplossing wordt TLS 1.1, dat geen last heeft van dit beveiligingsprobleem, ingeschakeld in Windows Internet Explorer. De meeste gebruikers moeten deze Fix it-oplossing installeren.
  • Fix it-oplossing voor TLS 1.1 op Windows-servers: Bij deze oplossing wordt TLS 1.1, dat geen last heeft van dit beveiligingsprobleem, ingeschakeld.
De Fix it-oplossingen die in deze sectie worden beschreven, zijn niet bedoeld als vervanging voor beveiligingsupdates. Het is aan te raden altijd de nieuwste beveiligingsupdates te installeren. In bepaalde scenario's kunnen deze Fix it-oplossingen echter als tijdelijke oplossing dienen.

Zie beveiligingsbulletin MS12-006 voor meer informatie over de tijdelijke oplossingen:
http://technet.microsoft.com/nl-nl/security/bulletin/ms12-006
In dit bulletin vindt u meer informatie over het probleem, waaronder:
  • De scenario's waarin u de tijdelijke oplossing kunt toepassen of uitschakelen.
  • Beperkende factoren.
  • Tijdelijke oplossingen
  • Veelgestelde vragen
U vindt deze informatie door te zoeken naar de sectie Informatie over het beveiligingslek en vervolgens Tijdelijke oplossingen onder Beveiligingslek in SSL- en TLS-protocollen - CVE-2011-3389 uit te vouwen.

Fix it-oplossing voor TLS 1.1 in Internet Explorer

U kunt deze Fix it-oplossing in- of uitschakelen door te klikken op de knop of koppeling Fix it onder de kop Inschakelen of Uitschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.
Deze tabel samenvouwenDeze tabel uitklappen
InschakelenUitschakelen
Dit probleem oplossen
Microsoft Fix it 50773
Dit probleem oplossen
Microsoft Fix it 50772

Opmerkingen

  • Deze wizards zijn mogelijk alleen beschikbaar in het Engels. De automatische correcties werken echter ook voor andere taalversies van Windows.
  • Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.

Fix it-oplossing voor TLS 1.1 op servers op basis van Windows

U kunt deze Fix it-oplossing in- of uitschakelen door te klikken op de knop of koppeling Fix it onder de kop Inschakelen of Uitschakelen. Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.
Deze tabel samenvouwenDeze tabel uitklappen
InschakelenUitschakelen
Dit probleem oplossen
Microsoft Fix it 50774
Dit probleem oplossen
Microsoft Fix it 50775

Opmerkingen

  • Deze wizards zijn mogelijk alleen beschikbaar in het Engels. De automatische correcties werken echter ook voor andere taalversies van Windows.
  • Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.

Bekende problemen met deze beveiligingsupdate

Nadat u deze beveiligingsupdate hebt geïnstalleerd, kunnen verificatiefouten optreden of kan de verbinding met bepaalde HTTPS-servers worden verbroken. Dit probleem treedt op doordat met deze update de manier wordt gewijzigd waarop records naar de HTTPS-servers worden verzonden.

U kunt deze beveiligingsupdate tijdelijk uitschakelen of weer inschakelen door te klikken op de knop of koppeling Dit probleem oplossen onder de kop De beveiligingsupdate uitschakelen of De beveiligingsupdate weer inschakelen . Klik op Uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de wizard.
Deze tabel samenvouwenDeze tabel uitklappen
De beveiligingsupdate uitschakelen De beveiligingsupdate weer inschakelen
Dit probleem oplossen
Microsoft Fix it 50824
Dit probleem oplossen
Microsoft Fix it 50825
Opmerkingen
  • Deze wizards zijn mogelijk alleen beschikbaar in het Engels. De automatische correcties werken echter ook voor andere taalversies van Windows.
  • Als u niet op de computer werkt waarop het probleem optreedt, kunt u de automatische correctie opslaan op een flashstation of een cd, zodat u de correctie kunt uitvoeren op de computer waarop sprake is van het probleem.
De volgende tabel bevat de waarden die door deze Fix it-oplossingen worden toegekend aan de DWORD-registervermelding SendExtraRecord:
Deze tabel samenvouwenDeze tabel uitklappen
Kop Waarde die wordt toegekend aan de vermelding SendExtraRecord
De beveiligingsupdate uitschakelen 2
De beveiligingsupdate weer inschakelen 0
Opmerking De instelling SendExtraRecord wordt opgenomen in toekomstige versies van Windows.

Bekende problemen en aanvullende informatie over deze beveiligingsupdate

De volgende artikelen bevatten aanvullende informatie over deze beveiligingsupdate met betrekking tot afzonderlijke productversies. De artikelen kunnen informatie over bekende problemen bevatten. Als dit het geval is, wordt het bekende probleem onder de artikelkoppeling weergegeven:
  • 2585542 MS12-006: Beschrijving van de beveiligingsupdate voor Webio, Winhttp en Schannel in Windows van 10 januari 2012
  • 2638806 MS12-006: Beschrijving van de beveiligingsupdate voor Winhttp in Windows Server 2003 en Windows XP Professional x64 Edition van 10 januari 2012

Registerinformatie

Niet aanbevolen Het is niet aan te raden de volgende procedure te gebruiken om de beveiligingsupdate uit te schakelen. We bieden deze procedure toch aan voor als u toepassingen gebruikt die niet compatibel zijn met deze beveiligingsupdate. Door deze beveiligingsupdate wordt het splitsen van SSL-records ingeschakeld voor alle toepassingen.

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
322756 Back-ups van het register maken en het register terugzetten in Windows


Vanwege compatibiliteitsproblemen met toepassingen wordt de Opt-in-modus door deze beveiligingsupdate standaard ingesteld op Schannelniveau. Als u deze beveiligingsupdate wilt uitschakelen voor alle toepassingen in het hele systeem, moet u de DWORD-waarde SendExtraRecord met de waarde 2 toevoegen aan de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Ga als volgt te werk om deze registerwaarde toe te voegen:
  1. Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.
  2. Selecteer de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
  4. Typ SendExtraRecord als naam van de DWORD-waarde en druk op Enter.
  5. Klik met de rechtermuisknop op SendExtraRecord en klik op Wijzigen.
  6. Typ 2 in het vak Waardegegevens om het splitsen van records in Schannel uit te schakelen en klik op OK.
  7. Sluit de Register-editor af.
Deze registervermelding kan drie verschillende waarden hebben, die elk de verschillende werkmodi representeren:
Deze tabel samenvouwenDeze tabel uitklappen
Waarde registersleutel Beschrijving
0Schannel is standaard opgenomen in de Opt-in-modus. Dat betekent dat deze beveiligingsupdate werkt voor alle aanroepende toepassingen waarin de vlag Secure naar Schannel wordt verzonden. De Schannelregistervermelding SendExtraRecord wordt niet door het beveiligingspakket gemaakt. Als deze Schannelregistervermelding niet aanwezig is, betekent dit dat het systeem in deze modus werkt. Als iemand de registersleutel maakt en de waarde instelt op 0, werkt Schannel ook in deze modus.

Deze instelling heeft hetzelfde effect als wanneer deze registervermelding niet is gemaakt. In toepassingen waarin een vlag Secure naar Schannel wordt verzonden tijdens de sessie-initialisatie, zal uitsluitend gebruik worden gemaakt van het vaste beveiligde codepad. In andere toepassingen verandert er niets aan het Schannelgedrag.

Voor een betere beveiliging bij gebruik van de webbrowser worden door deze beveiligingsupdate ook de toepassingslagen gecorrigeerd waarin de vlag Secure via Internet Explorer wordt verzonden.

Opmerking In Windows Server 2003 moet beveiligingsupdate 2638806 worden geïnstalleerd voor een betere beveiliging van HTTP-clienttoepassingen die WinHTTP-API's gebruiken. Klik voor meer informatie op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
2638806 MS12-006: Beschrijving van de beveiligingsupdate voor Winhttp in Windows Server 2003 en Windows XP Professional x64 Edition van 10 januari 2012
1 Als de waarde is ingesteld op 1 betekent dat: voor alle ingeschakeld. Dit betekent dat de vlag niet door de aanroepende toepassing hoeft te worden verzonden, en dat alle SSL-records in Schannel worden gesplitst. Als deze waarde is ingesteld, hoeft er niets in de toepassingen te worden aangepast. Klanten die zich veel zorgen maken over de systeembeveiliging kunnen hun systeem veiliger maken door deze registerinstelling in te schakelen.
2 Als de waarde is ingesteld op 2 betekent dat: voor alle uitgeschakeld. Dit betekent dat de records voor geen enkele coderingsaanroep vanuit de toepassing worden gesplitst in Schannel. In deze modus wordt de vlag Secure genegeerd die vanuit een toepassing wordt verzonden.
Op basis van interne tests hebben we vastgesteld dat het problematisch kan zijn om de registerwaarde op 1 in te stellen, omdat daardoor te veel scenario's in een onderneming kunnen worden verstoord. Daarom raden we het gebruik van deze waarde af.

Bekende problemen bij het inschakelen van de registervermelding SendExtraRecord

  • Als u de registerwaarde SendExtraRecord instelt op 1, wordt het splitsen van records afgedwongen bij elke aanroep om gegevens te coderen in Schannel. Dit gebeurt ongeacht of door de aanroepende toepassing de vlag Secure is verzonden tijdens de sessie-initialisatie.
  • Veel toepassingen waarin Schannel wordt gebruikt, zijn zodanig geschreven dat er aan de ontvangende kant wordt aangenomen dat de toepassingsgegevens in een enkel pakket worden verzonden. Dat is ook het geval als Schannel door de toepassing wordt aangeroepen voor decodering. Een door Schannel ingestelde vlag wordt door de toepassingen genegeerd. De vlag geeft aan dat er meer gegevens zijn die aan de ontvangende kant moeten worden gedecodeerd en opgehaald. Deze methode wijkt af van de door MSDN voorgeschreven methode voor het gebruik van Schannel. Doordat het splitsten van records door de beveiligingsupdate wordt afgedwongen, worden dergelijke toepassingen verstoord.
  • Toepassingen die worden verstoord, zijn onder meer Microsoft-producten en meegeleverde onderdelen. Hier volgen voorbeelden van scenario's die kunnen worden verstoord wanneer de registerwaarde SendExtraRecord op 1 wordt ingesteld:
    • Alle SQL-producten en toepassingen die op SQL gebouwd zijn.
    • Terminalservers waarop NLA (Network Level Authentication) is ingeschakeld. NLA is standaard ingeschakeld in Windows Vista en latere versies van Windows.
    • Sommige RRAS-scenario's (Routing Remote Access Service).

Als u de registerwaarde SendExtraRecord instelt op 1, wordt het splitsen van beveiligde records afgedwongen voor alle toepassingen die gebruikmaken van Windows TLS/SSL. Bij deze instelling is de kans op compatibiliteitsproblemen met toepassingen echter groot. Daarom raden wij klanten aan TLS 1.1 en TLS 1.2 in te stellen in plaats van deze registerinstelling te gebruiken. TLS 1.1 en TLS 1.2 zijn niet vatbaar voor dit probleem.

Gebruikers die deze registerinstelling willen gebruiken, raden we aan toepassingen uitgebreid te testen op compatibiliteit alvorens deze registerinstelling te implementeren. Sommige veelgebruikte producten waarvan bekend is dat ze door deze instelling worden getroffen, zijn Microsoft SQL-producten, Windows Terminal Server en Windows Remote Access Server.

Veelgestelde vragen

V: Wat kan Microsoft doen om mij te helpen problemen in mijn servertoepassing op te lossen?
A: Ervoor zorgen dat uw toepassing bestand is tegen de fragmentatie van records van een SSL/TLS-toepassing, zoals beschreven in de volgende RFC's:
Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst voor overige aandachtspunten.

Eigenschappen

Artikel ID: 2643584 - Laatste beoordeling: dinsdag 22 april 2014 - Wijziging: 5.0
De informatie in dit artikel is van toepassing op:
  • Windows 7 Service Pack 1 op de volgende platformen
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 op de volgende platformen
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 op de volgende platformen
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 op de volgende platformen
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Trefwoorden: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com