MS12-006: Luka w zabezpieczeniach protokołu SSL/TLS umożliwia ujawnienie informacji: 10 stycznia 2012

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 2643584 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

WPROWADZENIE

Firma Microsoft wydała biuletyn zabezpieczeń MS12-006. Aby wyświetlić pełny biuletyn zabezpieczeń, odwiedź jedną z następujących witryn firmy Microsoft w sieci Web:

Jak uzyskać pomoc i obsługę techniczną związaną z tą aktualizacją zabezpieczeń

Pomoc dotycząca instalowania aktualizacji: Pomoc techniczna dotycząca witryny Microsoft Update

Rozwiązania zabezpieczeń dla informatyków: Pomoc techniczna i rozwiązywanie problemów z zabezpieczeniami w witrynie TechNet

Pomoc dotycząca ochrony komputera z systemem Windows przed wirusami i złośliwym oprogramowaniem: Centrum rozwiązań dotyczących wirusów i zabezpieczeń

Lokalna pomoc techniczna dla danego kraju: Międzynarodowa pomoc techniczna

Automatyczne rozwiązywanie problemu

Dostępne są dwa rozwiązania w postaci poprawek automatycznych Fix it.
  • Poprawka automatyczna Fix it dla protokołu TLS (Transport Layer Security) 1.1 w programie Internet Explorer. To rozwiązanie włącza w programie Windows Internet Explorer protokół TLS 1.1, który nie jest narażony na tę lukę w zabezpieczeniach. Tę poprawkę automatyczną powinna zainstalować większość użytkowników.
  • Poprawka automatyczna Fix it dla protokołu TLS 1.1 na serwerach z systemem Windows. To rozwiązanie włącza protokół TLS 1.1, który nie jest narażony na tę lukę w zabezpieczeniach.
Rozwiązania w postaci poprawek automatycznych opisane w tej sekcji nie zastępują żadnych aktualizacji zabezpieczeń. Zalecane jest regularne instalowanie najnowszych aktualizacji zabezpieczeń. Te rozwiązania w postaci poprawek automatycznych są udostępniane jako opcje obejścia problemów w niektórych scenariuszach.

Więcej informacji o obejściach problemu można znaleźć w biuletynie zabezpieczeń MS12-006:
http://technet.microsoft.com/pl-pl/security/bulletin/ms12-006
W tym biuletynie znajduje się więcej informacji o tym problemie, między innymi następujące informacje:
  • Scenariusze, w których można zastosować lub wyłączyć to obejście problemu
  • Czynniki ograniczające ryzyko
  • Obejścia problemu
  • Często zadawane pytania
Aby zapoznać się konkretnie z tymi informacjami, należy odszukać sekcję Vulnerability Information (Informacje o lukach w zabezpieczeniach) i rozwinąć akapit Workarounds (Obejścia problemu) w obszarze SSL and TLS Protocols Vulnerability — CVE-2011-3389 (Luka w zabezpieczeniach protokołów SSL i TLS — CVE-2011-3389).

Poprawka automatyczna Fix it dla protokołu TLS 1.1 w programie Internet Explorer

Aby włączyć lub wyłączyć tę poprawkę automatyczną, należy kliknąć przycisk lub łącze Fix it w obszarze nagłówka Włącz lub Wyłącz. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.
Zwiń tę tabelęRozwiń tę tabelę
WłączWyłącz
Rozwiąż ten problem
Microsoft Fix it 50773
Rozwiąż ten problem
Microsoft Fix it 50772

Uwagi

  • Kreatorzy mogą być dostępni tylko w języku angielskim. Jednak te poprawki automatyczne działają również w innych wersjach językowych systemu Windows.
  • Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.

Poprawka automatyczna Fix it dla protokołu TLS 1.1 na serwerach z systemem Windows

Aby włączyć lub wyłączyć tę poprawkę automatyczną, należy kliknąć przycisk lub łącze Fix it w obszarze nagłówka Włącz lub Wyłącz. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.
Zwiń tę tabelęRozwiń tę tabelę
WłączWyłącz
Rozwiąż ten problem
Microsoft Fix it 50774
Rozwiąż ten problem
Microsoft Fix it 50775

Uwagi

  • Kreatorzy mogą być dostępni tylko w języku angielskim. Jednak te poprawki automatyczne działają również w innych wersjach językowych systemu Windows.
  • Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.

Znane problemy dotyczące tej aktualizacji zabezpieczeń

Po zainstalowaniu tej aktualizacji zabezpieczeń mogą wystąpić błędy uwierzytelniania lub utrata łączności z niektórymi serwerami HTTPS. Przyczyną tego problemu jest to, że ta aktualizacja zabezpieczeń zmienia sposób wysyłania rekordów do serwerów HTTPS.

Aby tymczasowo wyłączyć lub ponownie włączyć tę aktualizację zabezpieczeń, należy kliknąć przycisk bądź łącze Fix it pod nagłówkiem Wyłączanie aktualizacji zabezpieczeń lub Ponowne włączanie aktualizacji zabezpieczeń. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu (Fix it).
Zwiń tę tabelęRozwiń tę tabelę
Wyłączanie aktualizacji zabezpieczeń Ponowne włączanie aktualizacji zabezpieczeń
Rozwiąż ten problem
Microsoft Fix it 50824
Rozwiąż ten problem
Microsoft Fix it 50825
Uwagi
  • Kreatorzy mogą być dostępni tylko w języku angielskim. Jednak te poprawki automatyczne działają również w innych wersjach językowych systemu Windows.
  • Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.
W poniższej tabeli przedstawiono wartości DWORD wpisu rejestru SendExtraRecord stosowane przez te rozwiązania w postaci poprawek automatycznych:
Zwiń tę tabelęRozwiń tę tabelę
Nagłówek Wartość stosowana we wpisie SendExtraRecord
Wyłączanie aktualizacji zabezpieczeń 2
Ponowne włączanie aktualizacji zabezpieczeń 0
Uwaga Ustawienie SendExtraRecord zostanie uwzględnione w przyszłych wersjach systemu Windows.

Znane problemy i dodatkowe informacje dotyczące tej aktualizacji zabezpieczeń

Poniższe artykuły zawierają dodatkowe informacje o tej aktualizacji zabezpieczeń w powiązaniu z poszczególnymi wersjami produktu. Te artykuły mogą zawierać informacje o znanych problemach. W takim przypadku znany problem wymieniono po odpowiednim łączu do artykułu:
  • 2585542 MS12-006: Opis aktualizacji zabezpieczeń protokołów Webio, Winhttp i SChannel w systemie Windows: 10 stycznia 2012
  • 2638806 MS12-006: Opis aktualizacji zabezpieczeń dla protokołu Winhttp w systemach Windows Server 2003 i Windows XP Professional x64 Edition: 10 stycznia 2012

Informacje dotyczące rejestru

Niezalecane Wyłączanie tej aktualizacji zabezpieczeń przy użyciu poniższej procedury nie jest zalecane. Ta procedura została przygotowana na potrzeby scenariuszy, w których używane są aplikacje niezgodne z tą aktualizacją zabezpieczeń. Za pomocą tej procedury można podzielić rekordy SSL dla wszystkich aplikacji.

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić rejestr z kopii zapasowej w systemie Windows


Ze względu na problemy ze zgodnością aplikacji domyślnie ta aktualizacja zabezpieczeń ustawia tryb wyrażania zgody (Opt-in) na poziomie protokołu SChannel. Aby wyłączyć tę aktualizację zabezpieczeń dla wszystkich aplikacji w całym systemie, należy dodać wartość DWORD o nazwie SendExtraRecord z określoną wartością 2 do następującego podklucza rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Aby dodać ten wpis rejestru protokołu SChannel, wykonaj następujące czynności:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, w polu Otwórz wpisz ciąg regedit, a następnie kliknij przycisk OK.
  2. Odszukaj i kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
  4. Wpisz SendExtraRecord jako nazwę wartości DWORD, a następnie naciśnij klawisz Enter.
  5. Kliknij prawym przyciskiem myszy wpis SendExtraRecord, a następnie kliknij polecenie Modyfikuj.
  6. W polu Dane wartości wpisz wartość 2 w celu włączenia dzielenia rekordów w protokole SChannel, a następnie kliknij przycisk OK.
  7. Zakończ działanie Edytora rejestru.
W tym wpisie rejestru można zastosować trzy wartości zapewniające różne tryby działania.
Zwiń tę tabelęRozwiń tę tabelę
Wartość klucza rejestru Opis
0Domyślnie protokół SChannel jest dołączony w trybie wyrażania zgody (Opt-in). Oznacza to, że ta aktualizacja zabezpieczeń ma zastosowanie dla wszystkich procesów wywołujących, które wysyłają bezpieczną (Secure) flagę do protokołu SChannel. Wpis rejestru „SendExtraRecord” protokołu SChannel nie jest tworzony przez pakiet zabezpieczeń. Brak wpisu rejestru protokołu SChannel oznacza pracę systemu w tym trybie. Utworzenie tego wpisu rejestru i ustawienie jego wartości na 0 również powoduje działanie protokołu SChannel w tym trybie.

Takie ustawienie zapewnia jednakowy rezultat, jak brak tego wpisu rejestru. Aplikacje wysyłające bezpieczną flagę (Secure) do protokołu SChannel podczas inicjowania sesji użyją tylko ustalonej bezpiecznej ścieżki kodowej. W przypadku pozostałych aplikacji działanie protokołu SChannel nie ulega zmianie.

Dodatkowo ta aktualizacja zabezpieczeń zawiera poprawkę dla warstw aplikacji używanych podczas przeglądania sieci Web za pomocą programu Internet Explorer do wysyłania bezpiecznej flagi (Secure) na potrzeby bezpiecznego korzystania z przeglądarki.

Uwaga W systemie Windows Server 2003 musi zostać zainstalowana aktualizacja zabezpieczeń 2638806, aby zwiększyć bezpieczeństwo aplikacji klienckich HTTP korzystających z interfejsów API WinHTTP. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
2638806 MS12-006: Opis aktualizacji zabezpieczeń dla protokołu Winhttp w systemach Windows Server 2003 i Windows XP Professional x64 Edition: 10 stycznia 2012
1 Ustawienie wartości 1 oznacza „włączone dla wszystkiego”. Czyli procesy wywołujące nie muszą wysyłać flag i wszystkie rekordy SSL są dzielone na poziomie protokołu SChannel. W przypadku ustawienia tej wartości w aplikacjach nie trzeba wprowadzać żadnych zmian. Włączenie tego klucza rejestru jest zalecane w scenariuszach, w których bezpieczeństwo systemu stanowi wyjątkowo ważne zagadnienie.
2 Ustawienie wartości 2 oznacza „wyłączone dla wszystkiego”. Rekordy nie są dzielone w protokole SChannel dla żadnych wywołań szyfrowania zgłaszanych przez aplikacje. W tym trybie bezpieczna flaga (Secure) wysyłana przez aplikacje nie jest uwzględniana.
Na podstawie wewnętrznych testów stwierdzono, że nie należy ustawiać tej wartości rejestru na 1, ponieważ może to doprowadzić do uszkodzenia wielu scenariuszy w przedsiębiorstwie. Z tego względu ustawianie tej wartości nie jest zalecane.

Znane problemy dotyczące włączania wpisu rejestru SendExtraRecord

  • Ustawienie wartości rejestru SendExtraRecord na 1 wymusza dzielenie rekordów w każdym wywołaniu na potrzeby szyfrowania danych protokołu SChannel. Taka sytuacja występuje niezależnie od tego, czy proces wywołujący wysłał bezpieczną flagę (Secure) podczas inicjowania sesji.
  • Wiele aplikacji korzystających z protokołu SChannel jest zaprogramowanych z założeniem, że strona odbierająca oczekuje danych aplikacji zawartych w pojedynczym pakiecie. Ma to miejsce nawet wtedy, gdy aplikacja wywołuje w protokole SChannel proces odszyfrowywania. Takie aplikacje ignorują flagę ustawioną w protokole SChannel. Za pomocą flagi aplikacja jest informowana, że istnieje więcej danych do odszyfrowania i pobrania przez odbiorcę. Ta metoda korzystania z protokołu SChannel nie jest zgodna z metodą opisaną w witrynie MSDN. Omawiana aktualizacja zabezpieczeń wymusza dzielenie rekordów, co z kolei powoduje uszkodzenie takich aplikacji.
  • Ten problem dotyczy między innymi produktów firmy Microsoft i składników wewnętrznych. Poniżej przedstawiono przykładowe scenariusze zakresu uszkodzeń występujących po ustawieniu wartości rejestru SendExtraRecord na 1:
    • Wszystkie produkty SQL i aplikacje opracowane w oparciu o program SQL.
    • Serwery terminali z włączonym uwierzytelnianiem na poziomie sieci (NLA — Network Level Authentication). Funkcja NLA jest domyślnie włączona w systemach Windows Vista i nowszych.
    • Niektóre zastosowania routingu i dostępu zdalnego (RRAS — Routing Remote Access Service).

Ustawienie wartości rejestru SendExtraRecord na 1 wymusza bezpieczne dzielenie rekordów dla wszystkich aplikacji korzystających z protokołu TLS/SSL w systemach Windows. Jednak zastosowanie tego ustawienia zwykle prowadzi do problemów ze zgodnością aplikacji. Z tego względu zamiast używania tego ustawienia rejestru zaleca się skonfigurowanie protokołów TLS 1.1 i TLS 1.2. W przypadku protokołów TLS 1.1 i TLS 1.2 ten problem nie występuje.

Jeśli planowane jest zastosowanie tego ustawienia rejestru, zaleca się szczegółowe przetestowanie zgodności aplikacji przed wdrożeniem ustawienia. Do znanych produktów, których ten problem dotyczy, należą produkty Microsoft SQL, serwery terminali systemu Windows i serwery dostępu zdalnego systemu Windows.

Często zadawane pytania

P: W jaki sposób firma Microsoft może ułatwić mi naprawienie mojej aplikacji po stronie serwera?
O: Należy się upewnić, że dana aplikacja obsługuje fragmentację rekordów aplikacji SSL/TLS zgodnie z opisem w następujących dokumentach RFC:
Uwaga: Niniejszy artykuł, przeznaczony do „SZYBKIEJ PUBLIKACJI”, został utworzony bezpośrednio przez organizację pomocy technicznej firmy Microsoft. Zawarte w nim informacje są udostępniane „w stanie takim, w jakim są” w odpowiedzi na pojawiające się problemy. W wyniku przyspieszonego trybu udostępniania materiały mogą zawierać błędy typograficzne i mogą zostać poprawione w dowolnym momencie bez uprzedzenia. Więcej informacji można znaleźć w Warunkach użytkowania.

Właściwości

Numer ID artykułu: 2643584 - Ostatnia weryfikacja: 22 kwietnia 2014 - Weryfikacja: 5.0
Informacje zawarte w tym artykule dotyczą:
  • Windows 7 Service Pack 1 na następujących platformach
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 na następujących platformach
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 na następujących platformach
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 na następujących platformach
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Słowa kluczowe: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com