MS12-006: De vulnerabilitate în SSL/TLS ar putea permite dezvăluirea de informații: 10 ianuarie 2012

Traduceri articole Traduceri articole
ID articol: 2643584 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

INTRODUCERE

Microsoft a lansat buletinul de securitate MS12-006. Pentru a vizualiza buletinul de securitate completă, du-te la unul dintre următoarele site-uri Web Microsoft:

Cum se obține ajutor și sprijin pentru această actualizare de securitate

Ajuta la instalarea de actualizări: Suport pentru Microsoft Update

Solutii de securitate pentru profesioniștii IT: TechNet rezolvarea problemelor de securitate și de sprijin

Ajuta la protejarea computerului care execută Windows de viruși și malware:Soluție virus și centrul de securitate

Suport local în funcție de țara dumneavoastră: Sprijin internațional

Remediere automată

Două Fix it solutions sunt disponibile.
  • Fix it solution pentru protocol TLS (TLS) 1.1 în Internet Explorer: această soluție permite 1.1 TLS, care nu este afectată de această vulnerabilitate în Windows Internet Explorer. Cele mai tipice utilizatorii ar trebui să instalați acest lucru Fix it solution.
  • Fix it solution pentru TLS 1.1 pe serverele bazate pe Windows: această soluție permite 1.1 TLS, care nu este afectată de vulnerabilitate.
Fix it soluții care sunt descrise în această secțiune nu sunt destinate ca înlocuitori pentru orice actualizare de securitate. Vă recomandăm să instalați întotdeauna cele mai recente actualizări de securitate. Cu toate acestea, noi oferim aceste repara soluții ca soluție opțiuni pentru câteva scenarii.

Pentru mai multe informații despre soluții, vedeți buletinul de securitate MS12-006:
http://technet.Microsoft.com/Security/Bulletin/ms12-006
Buletinul oferă mai multe informații despre problema și include următoarele:
  • Scenarii în care s-ar putea aplica sau dezactiva soluție
  • Factori de atenuare
  • Soluții
  • întrebări frecvente
În special, pentru a vedea aceste informații, uita-te pentru secțiunea Informații de vulnerabilitate , și apoi atunci expand paragraful Workarounds alineatul SSL și TLS protocoale vulnerabilitate - CVE-2011-3389 .

Fix it solution pentru TLS 1.1 pe Internet Explorer

Pentru a activa sau dezactiva acest lucru Fix it solution, faceți clic pe butonul Fix it sau link-ul caseta Către activasau dezactiva . Faceți clic pe alerga în Descărcați fișierul casetă de dialog, și apoi urmați pașii din Fix este expertul.
Reduceți tabelulMăriți tabelul
PermiteNu fi de acord
Remediază această problemă
Microsoft Fix it 50773
Remediază această problemă
Microsoft Fix it 50772

Note

  • Aceste experți poate fi numai în limba engleză. Cu toate acestea, automat stabilește, de asemenea, de lucru pentru alte versiuni lingvistice ale Windows.
  • Dacă nu sunteți pe computerul care are problema, salva?i remedierea automată o unitate flash sau pe un CD, și apoi puteți rula pe computerul care are problema.

Solu?ie Fix it pentru TLS 1.1 pe serverele bazate pe Windows

Pentru a activa sau dezactiva acest lucru Fix it solution, faceți clic pe butonul Fix it sau link-ul caseta Către activasau dezactiva . Faceți clic pe alerga în <b00> </b00>Descărcați fișierul casetă de dialog, și apoi urmați pașii din Fix este expertul.
Reduceți tabelulMăriți tabelul
PermiteNu fi de acord
Remediază această problemă
Microsoft Fix it 50774
Remediază această problemă
Microsoft Fix it 50775

Note

  • Aceste experți poate fi numai în limba engleză. Cu toate acestea, automat stabilește, de asemenea, de lucru pentru alte versiuni lingvistice ale Windows.
  • Dacă nu sunteți pe computerul care are problema, salva?i remedierea automată o unitate flash sau pe un CD, și apoi puteți rula pe computerul care are problema.

Probleme cunoscute cu această actualizare de securitate

După ce instalați această actualizare de securitate, este posibil să apară e?ec de autentificare sau de pierdere de conectivitate la unele fermă de servere HTTPS. Această problemă apare deoarece această securitate actualizare modificări modul în care înregistrările sunt trimise la serverele de HTTPS.

Pentru a dezactiva temporar sau reactiva această actualizare de securitate, faceți clic pe butonul Fix it sau link-ul de sub <b00> </b00>dezactiva actualizare de securitatesau în titlul de re-activare actualizare de securitate . Faceți clic pe alerga în Descărcați fișierul casetă de dialog, și apoi urmați pașii din Fix este expertul.
Reduceți tabelulMăriți tabelul
Dezactiva actualizare de securitate Re-permite actualizare de securitate
Remediază această problemă
Microsoft Fix it 50824
Remediază această problemă
Microsoft Fix it 50825
Note
  • Aceste experți poate fi numai în limba engleză. Cu toate acestea, automat stabilește, de asemenea, de lucru pentru alte versiuni lingvistice ale Windows.
  • Dacă nu sunteți pe computerul care are problema, salva?i remedierea automată o unitate flash sau pe un CD, și apoi puteți rula pe computerul care are problema.
Următorul tabel afi?ează valorile care sunt aplicate de aceste Fix soluții la registru SendExtraRecord intrarea DWORD:
Reduceți tabelulMăriți tabelul
Rubrica Valoarea aplicate la intrare de SendExtraRecord
Dezactiva actualizare de securitate 2
Re-permite actualizare de securitate 0
Notă Setarea SendExtraRecord vor fi incluse în versiunile ulterioare de Windows.

Probleme cunoscute și informații suplimentare despre această actualizare de securitate

Următoarele articole conține informații suplimentare despre această actualizare de securitate se referă la produs individuale versiuni. Articolele pot conține informații problemă cunoscută. Dacă este cazul, problemă cunoscută este listat sub fiecare articol link:
  • 2585542 MS12-006: Descrierea actualizare de securitate pentru Webio, Winhttp și schannel în Windows: 10 ianuarie 2012
  • 2638806 MS12-006: Descrierea actualizare de securitate pentru Winhttp în Windows Server 2003 și Windows XP Professional x 64 Edition: 10 ianuarie 2012

Informații cu privire la regi?trii

Nu este recomandat Nu recomandăm să utilizați următoarea procedură pentru a dezactiva această actualizare de securitate. Cu toate acestea, noi oferim această procedură pentru scenariile în care este posibil să utilizați aplicații incompatibile cu această actualizare de securitate, care permite split SSL înregistrările pentru toate aplicațiile.

Important Această secțiune, metodă sau activitate conține pași care vă arată cum să modificați registry-ul. Cu toate acestea, pot apărea probleme grave dacă modificați incorect registry-ul. Prin urmare, asigurați-vă că urmați acești pași cu atenție. Pentru un plus de protecție, copia?i de rezervă registry-ul înainte de a-l modifica. Apoi, aveți posibilitatea să restaura?i registry-ul dacă apare vreo problemă. Pentru mai multe informații despre modul de copiere de rezervă și de restaurare a registry-ului, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
322756Cum se copiază de rezervă ?i cum se restaurează registry-ul în Windows


implicit, această actualizare de securitate stabilește modul de Opt-in la nivelul schannel, din cauza problemelor de compatibilitate cerere. Pentru a dezactiva această actualizare de securitate pentru toate aplicații la nivel de sistem, trebuie să adăugați o valoare DWORD care a numitSendExtraRecordși care are o valoare de 2 la următoarea subcheie de registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Pentru a adăuga acest schannel registru intrare intrare de registry, urmați acești pași:
  1. Faceți clic pe Start, faceți clic pe Run, tip regedit în Deschidere cutie, și apoi faceți clic pe OK.
  2. Localizați și apoi faceți clic pe următoarea subcheie din registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Din meniul Editare , indicați către nou, și apoi faceți clic pe DWORD Value.
  4. Tip SendExtraRecordpentru nume de sign-in de valoare DWORD, și apoi apăsați Enter.
  5. SendExtraRecord, și apoi atunci pocnitură Modify.
  6. În caseta Value data , tastați 2 pentru a dezactiva înregistrare split în schannel, și apoi faceți clic pe OK.
  7. Ieși?i din Registry Editor.
Această intrare de registry poate avea trei valori, și fiecare valoare oferă diferite moduri de operare:
Reduceți tabelulMăriți tabelul
Reg cheie Value Descriere
0Implicit, schannel este inclus în "Modul de Optin." Acest lucru înseamnă că această actualizare de securitate va lucra pentru toti apelantii care trimite Secure pavilion la schannel. Intrarea de registry schannel "SendExtraRecord" nu va fi creată de pachetul de securitate. Prin urmare, nici o intrare de registry schannel înseamnă a sistemului se execută acest mod. Dacă cineva creează această cheie de registry și setați valoarea la 0, schannel va rula din nou în acest mod.

Această setare are același efect ca nu crearea acest registru intrare la toate. Aplicații care trimite o sigure de pavilion să schannel în timpul sesiunii de inițializare numai va exercita calea fix cod sigure. Pentru alte aplicații, nu va fi nici o schimbare în comportamentul schannel.

Această actualizare de securitate rezolvă, de asemenea, straturile de aplicație care sunt implicate în web de navigare prin utilizarea Internet Explorer pentru a trimite steagul sigure, pentru a contribui la securizarea browser-ul scenarii de utilizare.

NotăÎn Windows Server 2003, actualizare de securitate 2638806 trebuie să fie instalat pentru a ajuta sigur HTTP client aplicații thatuse WinHTTP APIs. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
2638806 MS12-006: Descrierea actualizare de securitate pentru Winhttp în Windows Server 2003 și Windows XP Professional x 64 Edition: 10 ianuarie 2012
1 Stabilirea valorii 1 înseamnă "activat pentru toți." Acest lucru înseamnă apelanții nu a trimite pavilion, și schannel va împărți toate înregistrările SSL. Cu acest set de valoare, aplicații nu trebuie să ia orice schimbare. Un client care este foarte preocupat de securitate sistem poate ajuta face sistemul lor mai sigure, permițând acest registru cheie.
2 Setarea valorii la 2 înseamnă "dezactivat pentru toți." Acest lucru înseamnă că schannel nu va împărți înregistrările pentru orice apel sosit de criptare care face cererea. Acest mod nu onoarea steagul sigure, care trimite o cerere.
Pe baza interne de testare, am constatat că imposibil practic de setat valoarea de registry la 1 deoarece se pot sparge prea multe scenarii într-o întreprindere. Prin urmare, vom descuraja utilizatorii de folosind-o.

Probleme cunoscute cu care să permită intrarea de registry SendExtraRecord

  • Stabilirea valorii de registry SendExtraRecord pentru 1 impune scindarea de înregistrare în fiecare apel sosit pentru a cripta datele în schannel. Acest lucru are loc indiferent dacă apelantul a trimis Secure pavilion în timpul ini?ializării ședință.
  • Multe aplicații care utilizează schannel sunt scrise astfel încât partea receptor presupune aplicarea datelor vor fi ambalate într-un singur pachet. Acest lucru se întâmplă chiar dacă aplicarea necesită schannel pentru decriptare. Cererile ignora un steag care este stabilit de schannel. Pavilion indică la cererea că există mai multe date pentru a fi decriptate și preluat de către receptor. Această metodă nu urmează metoda MSDN-prescrise de a folosi schannel. Deoarece actualizare de securitate impune scindarea de înregistrare, acest lucru pauze de astfel de cereri.
  • Rupt cererile includ produsele Microsoft și în caseta de componente. Următoarele sunt exemple de scenarii care poate fi rupt atunci când valoarea registry SendExtraRecord este setat la 1:
    • Toate produsele SQL, și aplicații care sunt construite pe SQL.
    • fermă de servere terminale care au rețea nivel de autentificare (NLA) activat. implicit, NLA este activată în Windows Vista și versiunile ulterioare de Windows.
    • Unele scenarii de rutare Remote Access Service (RRAS).

Stabilirea valorii de registry SendExtraRecord pentru 1 impune înregistrare sigure-divizare pentru toate aplicațiile care utilizează Windows TLS/SSL. Cu toate acestea, această setare este probabil să aibă probleme de compatibilitate cerere. De aceea, vă recomandăm că clienții configura TLS 1.1 și TLS 1.2 în loc să utilizați această setare de registry. TLS 1.1 și TLS 1.2 nu sunt vulnerabili la această problemă.

Dacă un utilizator intenționează să folosească această setare de registry, vă recomandăm ca acestea test extensiv cerere compatibility testare înainte de a le pune în aplicare. Unele produse comune, care sunt cunoscute a fi afectate de această setare includ produse Microsoft SQL, Windows Terminal Server, și Windows Remote Access Server.

FAQ

Q: Ce pot face pentru a ajuta-ma fix cererea mea de partea de server Microsoft?
A: Asigurați-vă că aplicația poate manipula a dosarelor de cerere fragmentarea SSL/TLS, după cum este descris în RFCs următoarele:

Proprietă?i

ID articol: 2643584 - Ultima examinare: 17 aprilie 2014 - Revizie: 2.0
Se aplică la:
  • Windows 7 Service Pack 1, când se utilizează cu:
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, când se utilizează cu:
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2, când se utilizează cu:
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2, când se utilizează cu:
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Cuvinte cheie: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew kbmt KB2643584 KbMtro
Traducere automată
IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată ?i poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate ?i articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cuno?tin?e în mai multe limbi. Articolele traduse automat ?i post-editate pot con?ine gre?eli de vocabular, sintaxă ?i/sau gramatică. Microsoft nu este responsabil de inexactită?ile, erorile sau daunele cauzate de traducerea gre?ită a con?inutului sau de utilizarea acestuia de către clien?i. Găsi?i mai multe informa?ii despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2643584

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com