MS12-006: Nedostatočné zabezpečenie SSL/TLS môže umožniť zverejnenie informácií: január 10, 2012

Preklady článku Preklady článku
ID článku: 2643584 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

ÚVOD

Spoločnosť Microsoft vydala bezpečnostný bulletin MS12-006. Ak chcete zobraziť celý bezpečnostný bulletin, prejdite na jednu z nasledujúcich webových lokalít spoločnosti Microsoft:

Ako získať pomoc a technická podpora pre túto aktualizáciu zabezpečenia

Pomoc pri inštalácii aktualizácie: Podpora pre službu Microsoft Update

Riešenia zabezpečenia pre profesionálov z oblasti IT: Podpora a riešenie problémov zabezpečenia TechNet

Pomôžte chrániť svoj počítač, ktorý beží Windows pred vírusmi a škodlivým softvérom:Virus riešenie a centrum zabezpečenia

Miestnej podpory podľa vašej krajine: Medzinárodná podpora

Opravte to za mňa

Dve opraviť riešenia sú k dispozícii.
  • Opraviť riešenie pre Transport Layer Security (TLS) 1.1 v programe Internet Explorer: Toto riešenie umožňuje TLS 1.1, ktorá nie je ovplyvnená tejto zraniteľnosti, v programe Windows Internet Explorer. Najtypickejšie užívatelia mali nainštalovať roztoku opraviť.
  • Opraviť riešenie pre TLS 1.1 serveroch so systémom Windows: Toto riešenie umožňuje TLS 1.1, ktorá nie je ovplyvnená zraniteľnosti.
Fix it riešenia, ktoré sú popísané v tejto časti nie sú určené ako náhrada za akékoľvek aktualizácie zabezpečenia. Odporúčame, aby ste vždy inštalovať najnovšie aktualizácie zabezpečenia. Avšak, ponúkame vám tieto riešenia Fix it riešenie možnosti pre niektoré scenáre.

Ďalšie informácie o riešení, zobraziť bulletin MS12-006:
http://technet.Microsoft.com/Security/Bulletin/MS12-006
Bulletin obsahuje ďalšie informácie o probléme a zahŕňa nasledujúce:
  • Scenáre, v ktorých môže požiadať alebo zakázať riešenie
  • Zmierňujúce faktory
  • Riešenia
  • Často kladené otázky
Konkrétne, vidieť tieto informácie, vyhľadajte časti Informácie , a potom rozbaľte položku riešenia odsek bodu SSL a TLS protokoly zraniteľnosti - CVE-2011-3389 .

Opraviť riešenie pre TLS 1.1 na Internet Explorer

Na povolenie alebo zakázanie tohto roztoku opraviť, kliknite na opraviť tlačidlo alebo odkaz v položke Zapnúťalebo vypnúť . Kliknite na položku spustiť v súbor na stiahnutie dialógové okno, a potom postupujte podľa krokov v opraviť ho sprievodca.
Zbaliť túto tabuľkuRozbaliť túto tabuľku
ZapnúťVypnúť
Opraviť tento problém
Microsoft Fix it 50773
Opraviť tento problém
Microsoft Fix it 50772

Poznámky

  • Týchto sprievodcov môže byť iba v angličtine. Však, automatické opravy aj prácu pre iných jazykových verziách systému Windows.
  • Ak nie ste na počítači, ktorý má problém, môžete automatickú opravu uložiť na jednotku flash alebo na disk CD a potom ho môžete spustiť v počítači, ktorý má problém.

Opraviť riešenie pre TLS 1.1 serveroch so systémom Windows

Na povolenie alebo zakázanie tohto roztoku opraviť, kliknite na opraviť tlačidlo alebo odkaz v položke Zapnúťalebo vypnúť . Kliknite na položku spustiť v <b00> </b00>súbor na stiahnutie dialógové okno, a potom postupujte podľa krokov v opraviť ho sprievodca.
Zbaliť túto tabuľkuRozbaliť túto tabuľku
ZapnúťVypnúť
Opraviť tento problém
Microsoft Fix it 50774
Opraviť tento problém
Microsoft Fix it 50775

Poznámky

  • Týchto sprievodcov môže byť iba v angličtine. Však, automatické opravy aj prácu pre iných jazykových verziách systému Windows.
  • Ak nie ste na počítači, ktorý má problém, môžete automatickú opravu uložiť na jednotku flash alebo na disk CD a potom ho môžete spustiť v počítači, ktorý má problém.

Známe problémy pri túto aktualizáciu zabezpečenia

Ak nainštalujete túto aktualizáciu zabezpečenia, môže dôjsť zlyhanie overenia alebo strata pripojenie k niektorým serverom HTTPS. Tento problém sa vyskytuje, pretože tejto zmeny Aktualizácia zabezpečenia tak, že záznamy sú zasielané na HTTPS servery.

Dočasne vypnúť znova povoliť túto aktualizáciu zabezpečenia, kliknite na tlačidlo opraviť alebo odkaz pod <b00> </b00>vypnúť aktualizácie zabezpečeniaalebo opätovne povoliť aktualizáciu zabezpečenia položky. Kliknite na položku spustiť v súbor stiahnuť dialógové okno, a potom postupujte podľa krokov v opraviť ho sprievodca.
Zbaliť túto tabuľkuRozbaliť túto tabuľku
Vypnúť aktualizáciu zabezpečenia Re-povoliť aktualizáciu zabezpečenia
Opraviť tento problém
Microsoft Fix it 50824
Opraviť tento problém
Microsoft Fix it 50825
Poznámky
  • Týchto sprievodcov môže byť iba v angličtine. Však, automatické opravy aj prácu pre iných jazykových verziách systému Windows.
  • Ak nie ste na počítači, ktorý má problém, môžete automatickú opravu uložiť na jednotku flash alebo na disk CD a potom ho môžete spustiť v počítači, ktorý má problém.
Nasledujúca tabuľka zobrazuje hodnoty, ktoré sa uplatňujú tieto riešenia Fix it do registra SendExtraRecord položke DWORD:
Zbaliť túto tabuľkuRozbaliť túto tabuľku
Nadpis Hodnota položky SendExtraRecord
Vypnúť aktualizáciu zabezpečenia 2
Re-povoliť aktualizáciu zabezpečenia 0
Poznámka: SendExtraRecord nastavenie budú zahrnuté v budúcich vydaniach systému Windows.

Známe problémy a ďalšie informácie o tejto aktualizácii zabezpečenia

Tieto články obsahujú ďalšie informácie o tejto aktualizácii zabezpečenia sa týka jednotlivých produktových verzií. Články môžu obsahovať informácie známy problém. Ak ide o prípad, známy problém je uvedené nižšie každého článku odkaz:
  • 2585542 MS12-006: Popis aktualizácie zabezpečenia pre Webio a Winhttp schannel vo Windows: január 10, 2012
  • 2638806 MS12-006: Popis aktualizácie zabezpečenia služby Winhttp v systéme Windows Server 2003 a Windows XP Professional x 64 Edition: január 10, 2012

Informácie databázy Registry

Neodporúča Neodporúčame, že použijete nasledovný postup zakázať túto aktualizáciu zabezpečenia. Však ponúkame tento postup pre scenáre, v ktorých môžete používať aplikácie, ktoré sú nezlučiteľné s túto aktualizáciu zabezpečenia, ktorá umožňuje rozdeliť záznamy SSL pre všetky aplikácie.

Dôležité: Táto časť, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Postupujte preto presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je pred úpravou databázu Registry vhodné zálohovať. Umožní vám to obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
322756Ako zálohovať a obnoviť databázu Registry v systéme Windows


V predvolenom nastavení, túto aktualizáciu zabezpečenia nastaví režim Opt-in na úrovni schannel kvôli problémom s kompatibilitou aplikácií. Ak chcete vypnúť túto aktualizáciu zabezpečenia pre všetky aplikácie systém-široký, musíte pridať hodnotu DWORD, ktorý bol pomenovanýSendExtraRecorda ktoré má hodnotu 2 na nasledujúci podkľúč databázy registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Pridať tento schannel registra položka databázy registry, postupujte nasledovne:
  1. Kliknite na tlačidlo Štart, kliknite na tlačidlo spustiť, typu regedit v otvorené a potom kliknite na tlačidlo OK.
  2. Vyhľadajte a potom kliknite na nasledujúci podkľúč databázy registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. V ponuke Upraviť ukážte na položku novéa potom kliknite na položku Hodnota DWORD.
  4. Typ SendExtraRecordnázov hodnoty DWORD, a potom stlačte kláves Enter.
  5. Kliknite pravým tlačidlom myši SendExtraRecord, a potom kliknite na tlačidlo Upraviť.
  6. Do poľa údaj hodnoty zadajte 2 split záznam v schannel zakázať, a potom kliknite na tlačidlo OK.
  7. Ukončite Editor databázy Registry.
Táto položka databázy registry môže mať tri hodnoty a každú hodnotu poskytuje rôzne druhy prevádzky:
Zbaliť túto tabuľkuRozbaliť túto tabuľku
Reg kľúč hodnota Popis
0V predvolenom nastavení je súčasťou schannel "Optin režim." To znamená, že túto aktualizáciu zabezpečenia bude fungovať pre všetkých volajúcich, ktorí posielať bezpečnú príznak schannel. Položka databázy registry "SendExtraRecord" schannel sa nevytvorí bezpečnostný balík. Preto žiadne položky registra schannel znamená, že systém je spustený tento režim. Ak niekto vytvorí tento kľúč databázy registry a nastavte jej hodnotu na 0, schannel sa opäť spustiť v tomto režime.

Toto nastavenie má rovnaký účinok ako Nevytvárať túto položku databázy registry vôbec. Aplikácie, ktoré odosielajú bezpečné príznak schannel počas inicializácie budú vykonávať len pevné bezpečný kód cestu. Pre iné aplikácie, tam bude žiadna zmena v správaní schannel.

Túto aktualizáciu zabezpečenia rieši vrstvy aplikácie, ktoré sú zapojené do prehľadávania pomocou programu Internet Explorer posielať bezpečnú vlajky, s cieľom pomôcť zabezpečiť prehliadač použitie scenárov.

Poznámka: V systéme Windows Server 2003, Aktualizácia zabezpečenia 2638806 musí byť nainštalovaný na pomoc bezpečný HTTP klient aplikácie thatuse WinHTTP API. Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
2638806 MS12-006: Popis aktualizácie zabezpečenia služby Winhttp v systéme Windows Server 2003 a Windows XP Professional x 64 Edition: január 10, 2012
1 Nastavenie na hodnotu 1 znamená "zapnutá pre všetky. To znamená, volajúci nemusí poslať vlajky a schannel sa rozdeliť všetky záznamy SSL. Túto hodnotu súbor aplikácie nemajú prijať akúkoľvek zmenu. Zákazníkovi, ktorý je veľmi znepokojený zabezpečenia systému môže pomôcť, aby ich systém bezpečnejšie umožnením tento kľúč databázy registry.
2 Nastavenie je hodnota 2 znamená zakázané pre všetkých." To znamená, že schannel štiepané záznamy pre akékoľvek šifrovanie výzvu, že aplikácia robí. Tento režim česť bezpečné príznak, ktorý žiadosť posiela.
Na základe interné testovanie, sme našli nedá ľahko nastaviť hodnotu databázy registry na 1 pretože to môže zlomiť príliš veľa scenárov v podniku. Preto sme odradiť používateľov od používania.

Známe problémy s umožňujúci položka databázy registry SendExtraRecord

  • Stanovenie SendExtraRecord databázy registry hodnotu 1 presadzuje záznamu-rozdelenie každého hovoru na šifrovanie údajov v schannel. To sa vyskytuje bez ohľadu na to, či volajúci poslal Secure vlajku počas inicializácie relácie.
  • Mnoho aplikácií, ktoré používajú schannel sú napísané tak, že na strane prijímača predpokladá uplatňovanie údajov bude zabalené do jedného paketu. To sa vyskytuje aj uplatňovanie vyžaduje schannel dešifrovanie. Aplikácie ignorovať príznak, ktorý je stanovený schannel. Vlajka indikuje uplatňovanie ďalšie údaje dešifrovať a vyzdvihnúť do prijímača. Táto metóda nevyplýva MSDN-predpísaný spôsob využitia schannel. Pretože aktualizácie zabezpečenia presadzuje záznamu-rozdelenie, tento prestávky takýchto žiadostí.
  • Poškodené aplikácie patria produkty spoločnosti Microsoft a v poli súčasti. Nasledujú príklady scenárov, ktoré môže byť prerušené pri hodnotu SendExtraRecord databázy registry nastavené na 1:
    • Všetky SQL výrobkov a aplikácií, ktoré sú vstavané do SQL.
    • Terminálové servery, ktoré majú úroveň overovanie siete (NLA) zapnutá. NLA je predvolene zapnutá v systéme Windows Vista a novšie verzie systému Windows.
    • Niektoré scenáre smerovania vzdialený prístup služby (RRAS).

Stanovenie SendExtraRecord databázy registry hodnotu 1 presadzuje bezpečné záznamu-rozdelenie pre všetky aplikácie, ktoré používajú Windows TLS/SSL. Toto nastavenie je však pravdepodobné, že problémy s kompatibilitou aplikácií. Preto odporúčame, aby zákazníci konfigurovať TLS 1.1 a TLS 1.2 namiesto použitia toto nastavenie databázy registry. TLS 1.1 a TLS 1.2 nie sú náchylné na tento problém.

Ak užívateľ chce používať toto nastavenie databázy registry, odporúčame že sú značne testovaní kompatibility aplikácie pred ich implementovať. Niektoré bežné výrobky, ktoré sú známe na byť ovplyvnená týmto nastavením patria Microsoft SQL produktov Windows Terminal Server a Windows Server vzdialeného prístupu.

FAQ

Q: Čo dokáže pomôcť mi vyriešiť môj server-side aplikácia Microsoft?
A: Uistite sa, že aplikáciu zvládne fragmentácia SSL/TLS aplikácie záznamy, ako je opísané v týchto dokumentoch RFC:

Vlastnosti

ID článku: 2643584 - Posledná kontrola: 17. apríla 2014 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Windows 7 Service Pack 1, pri použití s produktom:
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, pri použití s produktom:
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2, pri použití s produktom:
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2, pri použití s produktom:
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Kľúčové slová: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew kbmt KB2643584 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 2643584

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com