MS12-006: SSL/TLS güvenlik açığı bilginin açığa çıkmasına neden olabilir: 10 Ocak 2012

Makale çevirileri Makale çevirileri
Makale numarası: 2643584 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

GİRİŞ

Microsoft, MS12-006 güvenlik bültenini yayımladı. Güvenlik bülteninin tamamını görüntülemek için aşağıdaki Microsoft web sitelerinden birini ziyaret edin:

Bu güvenlik güncelleştirmesiyle ilgili yardım ve destek alma

Ev kullanıcıları, ABD'de ve Kanada'da 1-866-PCSAFETY numarasını arayarak
(yerel telefon numarasını öğrenmek için lütfen bu sayfayı ziyaret edin)
veya yerel Microsoft temsilcisine başvurarak ücretsiz destek alabilir. Güvenlik güncelleştirmeleri sorunlarıyla ilgili olarak yerel Microsoft temsilcinize başvurma konusunda daha fazla bilgi için, Microsoft Uluslararası Destek Web sitesini ziyaret edin:
http://support.microsoft.com/common/international.aspx?ln=tr&rdpath=4
Kuzey Amerika'daki müşteriler aşağıdaki Microsoft Web sitesini ziyaret ederek ücretsiz e-posta desteğine veya sohbet yoluyla destek seçeneklerine sınırsız erişim sağlayabilir:
https://consumersecuritysupport.microsoft.com/default.aspx?locale=tr-tr&st=1&wfxredirect=1
Kurumsal müşteriler, her zamanki destek kişilerinden güvenlik güncelleştirmeleriyle ilgili destek alabilir.

Benim adıma düzelt

İki adet Fix it çözümü kullanılabilir.
  • Internet Explorer'da Aktarım Katmanı Güvenliği (TLS) 1.1 için Fix it çözümü: Çözüm, Windows Internet Explorer üzerinde bu güvenlik açığından etkilenmeyen TLS 1.1'i etkinleştirir. Normal kullanıcıların çoğu bu Fix it çözümünü yüklemelidir.
  • Windows tabanlı sunucularda TLS 1.1 için Fix it çözümü: Çözüm, güvenlik açığından etkilenmeyen TLS 1.1'i etkinleştirir.
Bu bölümde açıklanan Fix it çözümlerinin herhangi bir güvenlik güncelleştirmesinin yerini alması amaçlanmamaktadır. Her zaman en son güvenlik güncelleştirmelerini yüklemenizi öneririz. Ancak, bu Fix it çözümlerini bazı senaryolar için geçici çözüm seçenekleri olarak sağlıyoruz.

Geçici çözümler hakkında daha fazla bilgi için MS12-006 güvenlik bültenine bakın:
http://technet.microsoft.com/tr-tr/security/bulletin/ms12-006
Bülten sorun hakkında daha fazla bilgi sağlar ve aşağıdakileri içerir:
  • Bu geçici çözümü uygulayabileceğiniz veya devre dışı bırakabileceğiniz senaryolar
  • Azaltıcı etkenler
  • Geçici çözümler
  • Sık sorulan sorular
Özellikle bu bilgiyi görmek için, Güvenlik Açığı Bilgisi bölümüne bakın ve ardından SSL ve TLS Protokolleri Güvenlik Açığı - CVE-2011-3389 paragrafının altındaki Geçici Çözümler paragrafını genişletin.

Internet Explorer'da TLS 1.1 için Fix it çözümü

Bu Fix it çözümünü etkinleştirmek veya devre dışı bırakmak için, Fix it düğmesini veya Etkinleştir ya da Devre Dışı Bırak başlığının altındaki bağlantıyı tıklatın. Dosya Yükleme iletişim kutusunda Çalıştır'ı tıklatın ve Fix it Sihirbazı'ndaki adımları izleyin.
Bu tabloyu kapaBu tabloyu aç
EtkinleştirmeDevre Dışı Bırakma
Bu sorunu düzelt
Microsoft Fix it 50773
Bu sorunu düzelt
Microsoft Fix it 50772

Notlar

  • Bu sihirbazlar yalnızca İngilizce olabilir. Ancak otomatik düzeltmeler, Windows'un diğer dil sürümleri için de çalışmaktadır.
  • Çalıştığınız bilgisayarda bu sorun yaşanmıyorsa, otomatik düzeltmeyi bir flaş sürücüye veya CD'ye kaydedip daha sonra sorunun yaşandığı bilgisayarda çalıştırabilirsiniz.

Windows tabanlı sunucularda TLS 1.1 için Fix it çözümü

Bu Fix it çözümünü etkinleştirmek veya devre dışı bırakmak için, Fix it düğmesini veya Etkinleştir ya da Devre Dışı Bırak başlığının altındaki bağlantıyı tıklatın. Dosya Yükleme iletişim kutusunda Çalıştır'ı tıklatın ve Fix it Sihirbazı'ndaki adımları izleyin.
Bu tabloyu kapaBu tabloyu aç
EtkinleştirmeDevre Dışı Bırakma
Bu sorunu düzelt
Microsoft Fix it 50774
Bu sorunu düzelt
Microsoft Fix it 50775

Notlar

  • Bu sihirbazlar yalnızca İngilizce olabilir. Ancak otomatik düzeltmeler, Windows'un diğer dil sürümleri için de çalışmaktadır.
  • Çalıştığınız bilgisayarda bu sorun yaşanmıyorsa, otomatik düzeltmeyi bir flaş sürücüye veya CD'ye kaydedip daha sonra sorunun yaşandığı bilgisayarda çalıştırabilirsiniz.

Bu güvenlik güncelleştirmesi ile ilgili olduğu bilinen sorunlar

Bu güvenlik güncelleştirmesini yükledikten sonra, kimlik doğrulama hatası veya bazı HTTPS sunucularıyla bağlantının kesilmesi gibi sorunlarla karşılaşabilirsiniz. Bu güvenlik güncelleştirmesi, kayıtların HTTPS sunucularına gönderilme şeklini değiştirdiği için bu sorun oluşur.

Bu güvenlik güncelleştirmesini geçici olarak devre dışı bırakmak veya etkinleştirmek için, Fix it düğmesini veya Güvenlik güncelleştirmesini devre dışı bırak ya da Güvenlik güncelleştirmesini yeniden etkinleştir başlığının altındaki bağlantıyı tıklatın. Dosya Yükleme iletişim kutusunda Çalıştır'ı tıklatın ve ardından Fix it sihirbazındaki adımları uygulayın.
Bu tabloyu kapaBu tabloyu aç
Güvenlik güncelleştirmesini devre dışı bırakma Güvenlik güncelleştirmesi yeniden etkinleştirme
Bu sorunu düzelt
Microsoft Fix it 50824
Bu sorunu düzelt
Microsoft Fix it 50825
Notlar
  • Bu sihirbazlar yalnızca İngilizce olabilir. Ancak otomatik düzeltmeler, Windows'un diğer dil sürümleri için de çalışmaktadır.
  • Çalıştığınız bilgisayarda bu sorun yaşanmıyorsa, otomatik düzeltmeyi bir flaş sürücüye veya CD'ye kaydedip daha sonra sorunun yaşandığı bilgisayarda çalıştırabilirsiniz.
Aşağıdaki tablo, bu Fix it çözümleri tarafından SendExtraRecord kayıt defteri DWORD girdisine uygulanan değerleri gösterir: 
Bu tabloyu kapaBu tabloyu aç
Başlık SendExtraRecord girdisine uygulanan değer
Güvenlik güncelleştirmesini devre dışı bırakma 2
Güvenlik güncelleştirmesi yeniden etkinleştirme 0

Bu güvenlik güncelleştirmesi ile ilgili olduğu bilinen sorunlar ve daha fazla bilgi

Aşağıdaki makaleler, bu güvenlik güncelleştirmesi bağımsız ürün sürümleriyle ilişkili olduğu için ek bilgiler içermektedir. Bu makaleler bilinen sorunlarla ilgili bilgi içerebilir. Bu durumda, bilinen sorun her bir makale bağlantısının altında listelenir:
  • 2585542 MS12-006: Windows'daki Webio, Winhttp ve schannel için güvenlik güncelleştirmesi: 10 Ocak 2012'nin açıklaması
  • 2638806  MS12-006: Windows Server 2003 ve Windows XP Professional x64 Edition'daki Winhttp güvenlik güncelleştirmesi: 10 Ocak 2012

Kayıt defteri bilgileri

Önerilmez Bu güvenlik güncelleştirmesini devre dışı bırakmak için aşağıdaki yordamı kullanmanız önerilmez. Ancak, bölünmüş SSL kayıtlarını tüm uygulamalar için etkinleştiren bu yordamı, bu güvenlik güncelleştirmesiyle uyumsuz olan uygulamaları kullanabileceğiniz senaryolar için sağlıyoruz.

Önemli Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz, önemli sorunlar oluşabilir. Bu yüzden, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 Windows'da kayıt defteri nasıl yedeklenir ve geri yüklenir?


Bu güvenlik güncelleştirmesi, uygulama uyumluluğu sorunları nedeniyle İçerme modunu varsayılan olarak schannel düzeyine ayarlar. Bu güvenlik güncelleştirmesini sistem genelindeki tüm uygulamalar için devre dışı bırakmak üzere, 2 değerine sahip olan SendExtraRecord adında bir DWORD değerini aşağıdaki kayıt defteri alt anahtarına eklemelisiniz.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Bu schannel kayıt defteri girdisini eklemek için şu adımları uygulayın:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, kutusuna regedit yazın ve Tamam'ı tıklatın.
  2. Kayıt defterinde aşağıdaki alt anahtarı bulun ve tıklatın:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Düzen menüsünde Yeni'nin üzerine gelin ve sonra DWORD Değeri'ni tıklatın.
  4. DWORD adı olarak SendExtraRecord yazın ve ENTER tuşuna basın.
  5. SendExtraRecord öğesini sağ tıklatın ve ardından Değiştir'i tıklatın.
  6. Schannel'daki bölünmüş kaydı devre dışı bırakmak için Değer verisi kutusuna 2 yazın ve Tamam'ı tıklatın.
  7. Kayıt Defteri Düzenleyicisi'nden çıkın.
Bu kayıt defteri girdisi, farklı çalışma modları sağlayan üç değer içerebilir:
Bu tabloyu kapaBu tabloyu aç
Reg-key Değeri Açıklama
0Schannel, varsayılan olarak "İçerme Modu"nda bulunur. Bu durum, bu güvenlik güncelleştirmesinin, Güvenlik bayrağını schannel'a gönderen tüm çağırıcılar için çalışacağı anlamına gelir. "SendExtraRecord" schannel kayıt defteri girdisi güvenlik paketi tarafından oluşturulmaz. Bu nedenle, schannel kayıt defteri girdisinin olmaması, sistemin bu modu çalıştırdığı anlamına gelir. Eğer bir kişi, bu kayıt defteri anahtarını oluşturur ve değeri 0 olarak ayarlarsa, schannel yeniden bu modda çalışır. 

Bu ayar, bu kayıt defteri girdisini oluşturmamakla aynı etkiye sahiptir. Oturum başlatma sırasında schannel'a Güvenlik bayrağı gönderen uygulamalar yalnızca düzeltilmiş güvenlik kod yolunu sınarlar. Diğer uygulamalar için schannel davranışında değişiklik olmaz.

Bu güvenlik güncelleştirmesi, tarayıcı kullanım senaryolarını korumaya yardımcı olmak için Güvenlik bayrağı göndermek üzere Internet Explorer kullanılarak yapılan web taramalarındaki uygulama katmanlarını da düzeltir.

Not Windows Server 2003'te, WinHTTP API'lerini kullanan HTTP istemci uygulamalarını güvence altına almaya yardımcı olmak için güvenlik güncelleştirmesi 2638806 yüklenmelidir. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
2638806 MS12-006: Windows Server 2003 ve Windows XP Professional x64 Edition'daki Winhttp güvenlik güncelleştirmesi: 10 Ocak 2012'nin açıklaması
1 Değeri 1 olarak ayarlamak "tümü için etkinleştirildi" demektir. Bu durum, çağırıcıların bayrağı göndermesi gerekmediği ve schannel'ın tüm SSL kayıtlarını böleceği anlamına gelir. Ayarlanmış bu değer sayesinde uygulamaların başka değişikliğe ihtiyacı kalmaz. Sistem güvenliği hakkında endişeleri olan bir müşteri, bu kayıt defteri anahtarını etkinleştirerek sistemini daha güvenli hale getirebilir. 
2 Değeri 2 olarak ayarlamak, "tümü için devre dışı bırakıldı" demektir. Bu durum, uygulamanın yaptığı herhangi bir şifreleme çağrısı için kayıtların schannel tarafından bölünmeyeceği anlamına gelir. Bu mod, uygulamanın gönderdiği Güvenlik bayrağını dikkate almaz. 
Dahili sınama aracılığıyla, kayıt defteri değerini şirketteki birçok senaryoyu bozabileceği için muhtemelen 1 olarak ayarlayamadığınızı fark ettik. Dolayısıyla, kullanıcıların bunu kullanmasını istemiyoruz.

SendExtraRecord kayıt defteri girdisini etkinleştirme ile ilgili olduğu bilinen sorunlar

  • SendExtraRecord kayıt defteri değerinin 1 olarak ayarlanması, schannel'deki veriyi şifrelemek için her çağrıda kayıt bölünmesini zorlar. Bu durum, oturum başlatma sırasında çağırıcı Güvenlik bayrağını gönderse de göndermese de oluşur.
  • Schannel'ı kullanan çoğu uygulama, alıcı tarafının, uygulama verisinin tek bir pakette paketleneceğini varsayması için yazılmıştır. Bu durum, uygulama schannel'ı şifre çözme için çağırsa bile oluşur. Uygulamalar schannel tarafından belirlenen bayrağı yok sayar. Bayrak, alıcı tarafından şifresi çözülecek ve alınacak daha fazla veri olduğunu uygulamaya gösterir. Bu yöntem, schannel kullanmanın MSDN tarafından önceden belirlenen yöntemini izlemez. Çünkü güvenlik güncelleştirmesinin kayıt bölünmesini zorlaması bunun gibi uygulamaları bozar.
  • Başarısız uygulamalar Microsoft ürünlerini ve kutu bileşenlerini içerir. Aşağıdakiler SendExtraRecord kayıt defteri değeri 1 olarak ayarlandığında başarısız olabilen senaryolara örnektir:
    • Tüm SQL ürünleri ve SQL üzerinde oluşturulan uygulamalar.
    • Ağ Düzeyinde Kimlik Doğrulama'nın (NLA) açık olduğu Terminal Sunucuları. Varsayılan olarak, Windows Vista ve Windows'un sonraki sürümlerinde NLA etkindir.
    • Bazı Yönlendirme ve Uzaktan Erişim Hizmeti senaryoları.

SendExtraRecord kayıt defteri değerini 1 olarak ayarlamak, Windows TLS/SSL kullanan tüm uygulamalara yönelik güvenli kayıt bölünmesini zorlar. Ancak bu ayarda, muhtemelen uygulama uyumluluğu sorunları bulunur. Bu nedenle, müşterilerin bu kayıt defteri ayarını kullanmak yerine TLS 1.1 ve TLS 1.2'yi yapılandırmalarını öneririz. TLS 1.1 ve TLS 1.2 bu sorundan etkilenmez.

Kullanıcılar bu kayıt defteri ayarını kullanmayı düşünüyorsa, bunu gerçekleştirmeden önce uygulama uyumluluğunu kapsamlı olarak sınamalarını öneririz. Bu ayardan etkilendiği bilinen ürünlerden bazıları Microsoft SQL ürünleri, Windows Terminal Sunucusu ve Windows Uzaktan Erişim Sunucusu'dur.

SSS

S: Microsoft, sunucu tarafı uygulamamı düzeltmeme yardımcı olmak için neler yapabilir?
A: Şu RFC'lerde açıklandığı gibi, uygulamanızın SSL/TLS uygulama kayıtlarının Bölünmesini işleyebildiğinden emin olun:
Not Bu, doğrudan Microsoft destek kuruluşu tarafından oluşturulan bir “FAST PUBLISH” makalesidir. Buradaki bilgiler, ortaya çıkan sorunları gidermek üzere olduğu gibi sağlanmaktadır. Mümkün olduğu kadar hızlı sunulmasının bir sonucu olarak malzemelerde yazım hataları bulunabilir ve bunlar bildirimde bulunulmadan daha sonra düzeltilebilir. Diğer hususlar için Kullanım Koşulları’na bakın.

Özellikler

Makale numarası: 2643584 - Last Review: 26 Ocak 2012 Perşembe - Gözden geçirme: 4.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows 7 Service Pack 1, Ne zaman ne ile kullanilir:
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, Ne zaman ne ile kullanilir:
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2, Ne zaman ne ile kullanilir:
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2, Ne zaman ne ile kullanilir:
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Anahtar Kelimeler: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com