MS12-006: Säkerhetsproblem i SSL/TLS möjliggör utlämnande av information: den 10 januari 2012

Artikelöversättning Artikelöversättning
Artikel-id: 2643584 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

INTRODUKTION

Microsoft har publicerat säkerhetsbulletin MS12-006. Om du vill visa hela säkerhetsbulletinen, gå till någon av följande Microsoft-webbplatser:

Skaffa hjälp och support för den här säkerhetsuppdateringen

Hjälp med att installera uppdateringar: Stöd för Microsoft Update

Säkerhetslösningar för IT-proffs: TechNet Security felsökning och Support

Skydda datorn från virus och skadliga program med Windows:Lösning för virus och Säkerhetscenter

Lokal support enligt ditt land: Internationellt stöd

Lös det åt mig

Två Fix it lösningar finns tillgängliga.
  • Fix it-lösningen för Transport Layer Security (TLS) 1.1 i Internet Explorer: den här lösningen kan TLS 1.1, som inte påverkas av det här säkerhetsproblemet i Windows Internet Explorer. De vanligaste användare bör installera denna Fix it-lösningen.
  • Fix it-lösningen för TLS 1.1 på Windows-baserade servrar: den här lösningen kan TLS 1.1, som inte påverkas av säkerhetsproblemet.
Fix it-lösningar som beskrivs i det här avsnittet inte är avsedda som ersättning för varje säkerhetsuppdatering. Vi rekommenderar att du alltid installera de senaste säkerhetsuppdateringarna. Vi erbjuder dock dessa Fix it lösningar som alternativ lösning för vissa scenarier.

Mer information om lösningarna finns i säkerhetsbulletin MS12-006:
http://technet.microsoft.com/security/bulletin/ms12-006
Bulletinen innehåller mer information om problemet och omfattar följande:
  • Scenarier som du kan använda eller inaktivera lösningen
  • Begränsande faktorer
  • Lösningar
  • Vanliga frågor och svar
Särskilt för att se informationen, leta efter avsnittet Information om säkerhetsproblem och expandera sedan lösningar punkt enligt punkt för SSL och TLS protokoll säkerhetsproblem - CVE-2011-3389 .

Fix it-lösningen för TLS 1.1 i Internet Explorer

Att aktivera eller inaktivera detta Fix it-lösningen, klickar du på knappen åtgärda eller länka under rubriken Aktiveraeller Inaktivera . Klicka på Kör i den Filhämtning dialogrutan rutan och följ sedan anvisningarna i den guiden.
Dölj tabellenVisa tabellen
AktiveraInaktivera
Åtgärda problemet
Microsoft Fix it 50773
Åtgärda problemet
Microsoft Fix it 50772

Obs!

  • Dessa guider finns eventuellt bara på engelska. Automatiskt åtgärdas men även för andra språkversioner av Windows.
  • Om du inte sitter vid datorn där problemet, kan du spara den automatiska korrigeringsfilen på en flash-enhet eller en CD och sedan kan du köra den på rätt dator.

Fix it-lösningen för TLS 1.1 på Windows-baserade servrar

Att aktivera eller inaktivera detta Fix it-lösningen, klickar du på knappen åtgärda eller länka under rubriken Aktiveraeller Inaktivera . Klicka på Kör i den <b00> </b00>Filhämtning dialogrutan rutan och följ sedan anvisningarna i den guiden.
Dölj tabellenVisa tabellen
AktiveraInaktivera
Åtgärda problemet
Microsoft Fix it 50774
Åtgärda problemet
Microsoft Fix it 50775

Obs!

  • Dessa guider finns eventuellt bara på engelska. Automatiskt åtgärdas men även för andra språkversioner av Windows.
  • Om du inte sitter vid datorn där problemet, kan du spara den automatiska korrigeringsfilen på en flash-enhet eller en CD och sedan kan du köra den på rätt dator.

Kända problem med den här säkerhetsuppdateringen

När du har installerat den här säkerhetsuppdateringen kan det uppstå autentiseringsfel eller förlust av anslutning till vissa HTTPS-servrar. Det här problemet uppstår eftersom den här uppdateringen säkerhetsändringar som registrerar skickas till HTTPS-servrar.

Att tillfälligt inaktivera eller återaktivera den här säkerhetsuppdateringen, klickar du på knappen åtgärda eller länka den <b00> </b00>inaktivera säkerhetsuppdateringeneller återaktivera säkerhetsuppdateringen rubrik. Klicka på Kör i den Filhämtning dialogrutan rutan och följ anvisningarna i Fix it-guiden.
Dölj tabellenVisa tabellen
Inaktivera säkerhetsuppdateringen Återaktivera säkerhetsuppdatering
Åtgärda problemet
Microsoft Fix it 50824
Åtgärda problemet
Microsoft Fix it 50825
Obs!
  • Dessa guider finns eventuellt bara på engelska. Automatiskt åtgärdas men även för andra språkversioner av Windows.
  • Om du inte sitter vid datorn där problemet, kan du spara den automatiska korrigeringsfilen på en flash-enhet eller en CD och sedan kan du köra den på rätt dator.
I följande tabell visas de värden som används av dessa Fix it lösningar till registret SendExtraRecord DWORD-post:
Dölj tabellenVisa tabellen
Rubrik Värdet för posten SendExtraRecord
Inaktivera säkerhetsuppdateringen 2
Återaktivera säkerhetsuppdatering 0
Obs! Inställningen för SendExtraRecord att inkluderas i framtida versioner av Windows.

Kända problem och ytterligare information om den här säkerhetsuppdateringen

Följande artiklar innehåller ytterligare information om den här säkerhetsuppdateringen som gäller enskilda produktversioner. Artiklarna kan innehålla information om kända problem. Om så är fallet anges ett känt problem varje artikel-länken nedan:
  • 2585542 MS12-006: Beskrivning av säkerhetsuppdatering för Webio och Winhttp schannel i Windows: 10 januari 2012
  • 2638806 MS12-006: Beskrivning av säkerhetsuppdatering för Winhttp i Windows Server 2003 och Windows XP Professional x 64 Edition: 10 januari 2012

Registerinformation

Du bör inte Vi rekommenderar inte att du använder följande procedur för att inaktivera den här säkerhetsuppdateringen. Vi ger dock den här proceduren för scenarier där kan du använda program som är inkompatibla med den här säkerhetsuppdateringen som gör att dela upp SSL-poster för alla program.

Viktigt!Det här avsnittet, metoden eller aktiviteten innehåller instruktioner om hur du ändrar i registret. Allvarliga problem kan dock uppstå om du redigerar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd säkerhetskopierar du registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. För mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756Säkerhetskopiera och återställa registret i Windows


Som standard anges den här säkerhetsuppdateringen Opt-in-läge på schannel-nivå på grund av problem med programkompatibilitet. Om du vill inaktivera den här säkerhetsuppdateringen för alla program hela systemet, måste du lägga till ett DWORD-värde som har namnetSendExtraRecordoch som har värdet 2 i följande registerundernyckel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Så här lägger du till registerposten schannel registret posten:
  1. Klicka på Start, klicka på Kör, Skriv regedit i den öppen rutan och klicka sedan på OK.
  2. Leta upp och klicka på följande undernyckel i registret:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Peka på NyttRedigera -menyn och klicka sedan på DWORD-värde.
  4. Typ SendExtraRecordsom namn på DWORD-värdet och tryck sedan på RETUR.
  5. Högerklicka på SendExtraRecordoch klicka sedan på Ändra.
  6. Skriv i rutan data2 inaktivera delning i schannel och klicka sedan på OK.
  7. Avsluta Registereditorn.
Den här registerposten kan ha tre värden och varje värde ger olika arbetslägen:
Dölj tabellenVisa tabellen
Reg nyckelvärde Beskrivning
0Som standard ingår schannel i "Optin läge." Detta innebär att den här säkerhetsuppdateringen fungerar för anropare som skickar säker schannel flagga. "SendExtraRecord" schannel-registerpost skapas inte av säkerhetspaketet. Därför innebär ingen registerpost för schannel systemet körs i detta läge. Om någon skapar den här registernyckeln och ange värdet till 0 schannel igen att köra i det här läget.

Den här inställningen har samma effekt som att inte skapa registerposten alls. Program som skickar en säker flagga för schannel under sessionen initiering kommer endast att utöva fast skyddad kod sökvägen. Andra program blir det ingen ändring i schannel beteende.

Den här säkerhetsuppdateringen åtgärdas även programskikt som är involverade i surfning i Internet Explorer för att skicka säkra flagga för att skydda webbläsaren användarscenarier.

Obs!I Windows Server 2003, måste säkerhetsuppdatering 2638806 installeras för att säker HTTP-klient-program thatuse APIs WinHTTP. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
2638806 MS12-006: Beskrivning av säkerhetsuppdatering för Winhttp i Windows Server 2003 och Windows XP Professional x 64 Edition: 10 januari 2012
1 Ange värdet 1 betyder "aktiverad för alla". Detta innebär att anropare behöver inte skicka flagga och schannel delas alla SSL-poster. Med det här värdet behöver program inte vidta någon förändring. En kund som är mycket oroad av systemets säkerhet kan hjälpa till att göra datorn säkrare genom att aktivera den här registernyckeln.
2 Ange värdet 2 innebär "inaktiverad för alla." Detta innebär att schannel inte dela upp poster för kryptering-anrop som görs. Säker flaggan som ett program skickar följdes inte i detta läge.
Baserat på intern testning kan hitta vi att du inte kan ange registervärdet 1 eftersom det kan skada för många scenarier i ett företag. Därför kan hindra vi användare från att använda den.

Kända problem med att aktivera registerposten SendExtraRecord

  • Ange registervärdet SendExtraRecord till 1 tillämpar dela posten i varje anrop för att kryptera data i schannel. Detta inträffar oavsett om anroparen skickade skydd flagga under Sessionsinitieringen.
  • Många program som använder schannel skrivs så att mottagarsidan förutsätter application data kommer att packas i ett enda paket. Detta inträffar även om programmet anropar schannel för dekryptering. En flagga som anges av schannel bortse från programmen. Flaggan anger att programmet att det finns fler data dekrypteras och hämtas av mottagaren. Den här metoden följer inte föreskrivs i MSDN-metod för att använda schannel. Eftersom säkerhetsuppdatering tvingar dela posten, bryts då sådana program.
  • Avbrutna program är Microsoft-produkter och komponenter i rutan. Följande är exempel på situationer som kan brytas när registervärdet SendExtraRecord till 1:
    • Alla SQL-produkter och program som bygger på SQL.
    • Terminal-servrar som har nätverksnivå autentisering (NLA) aktiverat. NLA aktiveras som standard i Windows Vista och senare versioner av Windows.
    • Vissa scenarier för routning Remote Access Service (RRAS).

Ange registervärdet SendExtraRecord till 1 kräver säker post-uppdelningen av alla program som använder Windows TLS/SSL. Den här inställningen är kan ha problem med programkompatibilitet. Därför rekommenderar vi att kunder konfigurera TLS 1.1 och 1.2 TLS istället för att använda denna registerinställning. TLS 1.1 och 1.2 TLS är inte berörs av problemet.

Om en användare har för avsikt att använda denna registerinställning, rekommenderar vi att de omfattande prov kompatibilitetstestning innan de genomför den. Vissa vanliga produkter som påverkas av den här inställningen är Microsoft SQL produkter, Windows Terminal Server och Windows Remote Access Server.

VANLIGA FRÅGOR OCH SVAR

Q: Vad gör Microsoft för att hjälpa mig lösa mitt program på serversidan?
A: Se till att programmet kan hantera posterna för fragmentering av SSL/TLS, som beskrivs i följande RFC:

Egenskaper

Artikel-id: 2643584 - Senaste granskning: den 17 april 2014 - Revision: 1.0
Informationen i denna artikel gäller:
  • Windows 7 Service Pack 1 på följande plattformar
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 på följande plattformar
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 på följande plattformar
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 på följande plattformar
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Nyckelord: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew kbmt KB2643584 KbMtsv
Maskinöversatt
VIKTIGT: Denna artikel har översatts av Microsofts programvara för maskin-översättning och möjligen efterredigerats via CTF-teknologi av Microsofts community istället för av en professionell mänsklig översättare. För att du på ditt eget språk skall få tillgång till samtliga Knowledge Base-artiklar erbjuder Microsoft både mänskligt översatta såväl som maskinöversatta artiklar samt artiklar som efterredigerats av en community. En maskinöversatt artikel likväl som en artikel som blivit efterredigerad av en community är dock inte alltid helt perfekt, då de kan innehålla misstag i ordförrådet, syntax- och grammatikfel. Microsoft är inte ansvarigt för några felaktigheter, misstag eller skador orsakade av felöversättningar eller för våra kunders bruk av innehållet. Microsoft uppdaterar ofta sin programvara för maskinöversättning samt de verktyg som förbättrar den maskinöversatta efterredigeringen.
Den engelska versionen av artikeln är följande: 2643584

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com