MS12-006: уязвимость в SSL и TLS может послужить причиной раскрытия информации, от 10 января 2012 года

Переводы статьи Переводы статьи
Код статьи: 2643584 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

Корпорация Майкрософт выпустила бюллетень по безопасности MS12-006. Просмотреть его целиком можно на одном из указанных ниже веб-сайтов Майкрософт:

Справка и поддержка по этому обновлению для системы безопасности

Помощь в установке обновлений: поддержка для Центра обновления Майкрософт

Решения по обеспечению безопасности для ИТ-специалистов: устранение неполадок и поддержка по вопросам безопасности на сайте TechNet

Защита компьютера под управлением Windows от вирусов и вредоносных программ: центр обеспечения безопасности и защиты от вирусов

Локальная поддержка в вашей стране: международная поддержка

Помощь в решении проблемы

Для решения этой проблемы выпущено два исправления Fix it.
  • Решение Fix it для протокола TLS 1.1 в браузере Internet Explorer. Это решение включает протокол TLS 1.1, не подверженный данной уязвимости, в Windows Internet Explorer. Большинству пользователей рекомендуется использовать именно это решение Fix it.
  • Решение Fix it для протокола TLS 1.1 на серверах Windows. Это решение включает протокол TLS 1.1, который не подвержен данной уязвимости.
Решения Fix it, описанные в этом разделе, не заменяют обновлений для системы безопасности, последние версии которых всегда должны быть установлены на компьютере. Однако в некоторых ситуациях для обхода проблемы предлагается использовать данные решения.

Дополнительные сведения об обходных способах решения этой проблемы см. в бюллетене по безопасности MS12-006:
http://technet.microsoft.com/ru-ru/security/bulletin/ms12-006
 В бюллетене приведены дополнительные сведения о проблеме, в том числе следующие данные:
  • условия, при которых рекомендуется применять обходное решение;
  • факторы, снижающие опасность;
  • обходные способы решения проблемы;
  • вопросы и ответы.
Для просмотра этих сведений найдите раздел Сведения об уязвимости и разверните абзац Временные решения в абзаце Уязвимость протоколов SSL и TLS (CVE-2011-3389).

Решение Fix it для протокола TLS 1.1 в Internet Explorer

Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить или Отключить. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера Fix it.
Свернуть эту таблицуРазвернуть эту таблицу
ВключитьОтключить
Устранить проблему
Microsoft Fix it 50773
Устранить проблему
Microsoft Fix it 50772

Примечания

  • Мастера могут быть доступны только на английском языке, однако автоматические исправления можно применять в версиях Windows на любых языках.
  • Если используется не тот компьютер, на котором выявлена проблема, средство автоматического исправления можно сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.

Решение Fix it для протокола TLS 1.1 на серверах Windows

Чтобы включить или отключить это решение Fix it, нажмите кнопку Fix it или щелкните ссылку под заголовком Включить или Отключить. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера Fix it.
Свернуть эту таблицуРазвернуть эту таблицу
ВключитьОтключить
Устранить проблему
Microsoft Fix it 50774
Устранить проблему
Microsoft Fix it 50775

Примечания.

  • Эти мастера могут быть доступны только на английском языке, однако автоматические исправления можно применять в версиях Windows на любых языках.
  • Если используется не тот компьютер, на котором выявлена проблема, средство автоматического исправления можно сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.

Известные проблемы, возникающие после установки этого обновления безопасности

После установки этого обновления для системы безопасности на некоторых серверах HTTPS может произойти сбой при проверке подлинности или потеря подключения. Эта проблема возникает из-за того, что данное обновление для системы безопасности изменяет способ отправки записей на HTTPS-серверы.

Чтобы временно отключить или повторно включить это обновление для системы безопасности, нажмите кнопку Fix it или щелкните ссылку под заголовком Отключить обновление для системы безопасности или Повторно включить обновление для системы безопасности. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера устранения проблем.
Свернуть эту таблицуРазвернуть эту таблицу
Отключить обновление для системы безопасности Повторно включить обновление для системы безопасности
Устранить проблему
Microsoft Fix it 50824
Устранить проблему
Microsoft Fix it 50825
Примечания.
  • Эти мастера могут быть доступны только на английском языке, однако автоматические исправления можно применять в версиях Windows на любых языках.
  • Если используется не тот компьютер, на котором выявлена проблема, средство автоматического исправления можно сохранить на устройстве флэш-памяти или компакт-диске и затем запустить на нужном компьютере.
В следующей таблице приведены значения, которые применяются этими решениями Fix it к записи реестра DWORD SendExtraRecord:
Свернуть эту таблицуРазвернуть эту таблицу
Заголовок Значение, применяемое к записи SendExtraRecord
Отключить обновление для системы безопасности 2
Повторно включить обновление для системы безопасности 0
Примечание. Параметр SendExtraRecord будет входить в следующие версии Windows.

Известные проблемы и подробные сведения, связанные с этим обновлением для системы безопасности

В указанных ниже статьях содержится дополнительная информация об этом обновлении для системы безопасности, предназначенная для отдельных версий продуктов, Кроме того, в них могут быть указаны сведения об известных проблемах. Известные проблемы указаны после ссылки на статью.
  • 2585542 MS12-006: описание обновления для системы безопасности Webio, Winhttp и Schannel в Windows, от 10 января 2012 года
  • 2638806 MS12-006: описание обновления для системы безопасности Winhttp в 64-разрядном (x64) выпуске Windows XP Professional и Windows Server 2003, от 10 января 2012 года

Сведения о внесении изменений в реестр

Не рекомендуется Мы не рекомендуем использовать описанную ниже процедуру в целях отключения данного обновления для системы безопасности. Однако мы приводим эту процедуру для сценариев, в которых вы можете использовать приложения, несовместимые с этим обновлением для системы безопасности, что позволяет включить разделяемые записи SSL для всех приложений.

Внимание! В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако их неправильное изменение может привести к возникновению серьезных проблем. Поэтому при выполнении этих действий рекомендуется строго соблюдать инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр в случае возникновения проблем. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows


По умолчанию это обновление для системы безопасности устанавливает режим явного согласия на уровне Schannel из-за проблемы с совместимостью приложений. Чтобы отключить это обновление для системы безопасности для всех приложений в системе, добавьте в следующий подраздел реестра параметр DWORD с именем SendExtraRecord и значением 2:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Чтобы добавить эту запись реестра Schannel, выполните следующие действия:
  1. В меню Пуск выберите пункт Выполнить, в поле Открыть: введите команду regedit и нажмите кнопку ОК.
  2. Найдите и выделите указанный ниже подраздел реестра.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. В меню Правка выберите пункт Создать, а затем — Параметр DWORD.
  4. Введите SendExtraRecord в качестве имени параметра DWORD и нажмите клавишу ВВОД.
  5. Щелкните правой кнопкой мыши значение SendExtraRecord и выберите команду Изменить.
  6. В поле Значение введите 2, чтобы отключить разделяемую запись в Schannel, и нажмите кнопку ОК.
  7. Закройте редактор реестра.
Эта запись реестра может иметь три значения, каждое из которых соответствует отдельному режиму работы:
Свернуть эту таблицуРазвернуть эту таблицу
Значение раздела реестра: Описание
0По умолчанию Schannel включается в режим явного согласия. Это значит, что данное обновление для системы безопасности будет работать для всех вызывающих объектов, которые отправляют флаг Secure в Schannel. Пакет безопасности не создает запись реестра "SendExtraRecord" Schannel. Таким образом, отсутствие записи реестра Schannel означает, что система работает в этом режиме. Если кто-то создает этот раздел реестра и устанавливает его значение равным 0, Schannel опять выполняется в этом режиме. 

Влияние этого параметра аналогично отказу от создания этой записи реестра. Приложения, которые отправляют флаг Secure в Schannel во время инициализации сеанса, используют только фиксированную безопасную папку кода. Для других приложений изменения в режиме работы Schannel будут отсутствовать.

Это обновление для системы безопасности также исправляет прикладные уровни, которые вовлечены в просмотр веб-страниц с помощью Internet Explorer, для отправки флага Secure, чтобы помочь обеспечить безопасность сценариев использования браузера.

Примечание. В Windows Server 2003 должно быть установлено обновление для системы безопасности 2638806, чтобы обеспечить безопасность клиентских HTTP-приложений, использующих API WinHTTP. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
2638806 MS12-006: описание обновления для системы безопасности Winhttp в 64-разрядном (x64) выпуске Windows XP Professional и Windows Server 2003, от 10 января 2012 года
1 Установка значения 1 соответствует режиму "включено для всех". Это значит, что вызывающим объектам не требуется отправлять флаг, а Schannel разделяет все записи SSL. При таком значении приложениям не требуется вносить никаких изменений. Клиент, сильно обеспокоенный безопасностью системы, может повысить ее уровень, разрешив этот раздел реестра. 
2 Установка значения 2 соответствует режиму "отключено для всех". Это означает, что Schannel не разделяет записи для любых выполняемых приложением вызовов шифрования. В этом режиме отправляемый приложением флаг Secure не обрабатывается. 
Результаты нашего внутреннего тестирования показали, что вам нецелесообразно устанавливать значение реестра равным 1, так как это может нарушить работу слишком большого числа сценариев на предприятии. Поэтому мы не рекомендуем пользователям так поступать.

Известные проблемы, связанные с разрешением записи реестра SendExtraRecord

  • Установка значения реестра SendExtraRecord равным 1 включает принудительное разделение записей в каждом вызове для шифрования данных в Schannel. Это происходит независимо от того, отправляет ли вызывающий объект флаг Secure во время инициализации сеанса.
  • Многие приложения, использующие Schannel, написаны таким образом, что на стороне приемника действует предположение об упаковке данных приложения в один пакет. Это происходит даже несмотря на то, что приложение вызывает Schannel для расшифровки. Приложения игнорируют флаг который устанавливает Schannel. Этот флаг указывает приложению, что имеются дополнительные данные для расшифровки и извлечения приемником. Этот метод не соответствует предписаниям MSDN по использованию Schannel. Поскольку данное обновление для системы безопасности включает принудительное разделение записей, оно нарушает работу таких приложений.
  • К таким приложениям относятся продукты корпорации Майкрософт и стандартные компоненты. Ниже приведены примеры сценариев, работа которых может быть нарушена при установке значения реестра SendExtraRecord равным 1:
    • Все продукты SQL, а также приложения, которые построены на базе SQL.
    • Серверы терминалов, для которых включена проверка подлинности на уровне сети (Network Level Authentication, NLA). По умолчанию проверка подлинности на уровне сети включена в Windows Vista и более поздних версиях операционной системы Windows.
    • Некоторые сценарии службы маршрутизации и удаленного доступа (Routing Remote Access Service, RRAS).

Установка значения реестра SendExtraRecord равным 1 включает принудительное безопасное разделение записей для всех приложений, которые используют TLS/SSL в Windows. Однако этот параметр с высокой вероятностью вызывает проблемы совместимости приложений. Поэтому мы рекомендуем клиентам вместо использования этого параметра реестра настроить TLS 1.1 и TLS 1.2. TLS 1.1 и TLS 1.2 не вызывают проявление такой проблемы.

Если пользователь намеревается использовать этот параметр реестра, мы рекомендуем предварительно провести тщательный тест совместимости приложений. К распространенным продуктам, которые подвержены влиянию этого параметра, относятся продукты Microsoft SQL, Windows Terminal Server и сервер удаленного доступа Windows.

Часто задаваемые вопросы

Вопрос. Как Майкрософт помогает защищать серверные приложения?
Ответ. Убедитесь, что ваше приложение может работать с фрагментацией записей приложений SSL/TLS согласно описанию в следующих RFC:
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 2643584 - Последний отзыв: 22 апреля 2014 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Windows 7 Service Pack 1 на следующих платформах
    • Windows 7 Корпоративная
    • Windows 7 Домашняя расширенная
    • Windows 7 Профессиональная
    • Windows 7 Максимальная
    • Windows 7 Домашняя базовая
  • Windows 7 Корпоративная
  • Windows 7 Домашняя расширенная
  • Windows 7 Профессиональная
  • Windows 7 Максимальная
  • Windows 7 Домашняя базовая
  • Windows Server 2008 R2 Service Pack 1 на следующих платформах
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 на следующих платформах
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 на следующих платформах
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Ключевые слова: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com