MS12-006: Дефект у SSL/TLS дозволяє розкриття інформації: Січень 10, 2012

Переклади статей Переклади статей
Номер статті: 2643584 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

Введення

корпорація Майкрософт випустила бюлетень безпеки MS12-006. Щоб переглянути бюлетень у повному обсязі, перейдіть до одного з таких веб-сайтах корпорації Майкрософт:

Як отримати допомогу та підтримку для цього поновлення безпеки

Довідка з інсталяцією оновлень: Підтримка сайт Microsoft Update

Рішення безпеки для фахівців з інформаційних технологій: TechNet виправлення безпеки та підтримки

Захистити комп ' ютер, на якому запущено Windows від вірусів і шкідливих програм:Вірус рішення і Центр безпеки

Місцеві підтримка відповідно до вашої країни: Міжнародна підтримка

Виправити це для мене

Два виправити це рішення доступні.
  • Fix it рішення для транспортування Layer Security (TLS) 1.1 у браузері Internet Explorer: це рішення дозволить TLS 1.1, які не постраждали від цієї уразливості в Windows Internet Explorer. Найбільш звичайні користувачі повинні встановити його виправити це рішення.
  • Fix it рішення для TLS 1.1 на серверах, керуванням Windows: це рішення дозволить TLS 1.1, які не охоплюються вразливості.
Fix it рішення, які описані в цьому розділі не призначений в якості заміни для будь-якого оновлення системи безпеки. Радимо, що ви завжди рекомендується встановити останні оновлення системи безпеки. Тим не менш, ми пропонуємо, ці виправити це рішення як обійти параметри для деяких сценаріях.

Щоб отримати додаткові відомості про обхідні шляхи переглянути бюлетень безпеки MS12-006:
http://TechNet.Microsoft.com/Security/Bulletin/ms12-006
Бюлетень містить більше інформації про цю проблему і включає в себе наступне:
  • Сценарії, в яких можуть застосовувати або вимкнути обхід
  • Пом'якшення факторів
  • Обхідні шляхи
  • Запитання й відповіді
Зокрема, бачити цю інформацію, знайдіть розділ Інформація вразливість і розгорніть обхідні шляхи абзац відповідно до пункту SSL і TLS протоколи вразливості - CVE-2011-3389 .

Виправити це рішення для TLS 1.1 на Internet Explorer

Щоб увімкнути або вимкнути це виправити це рішення, натисніть на це виправити кнопка або посилання у розділі Увімкненняабо вимкнення . Натисніть запустити в на завантаження файлу діалоговому вікні і виконайте інтерактивні елементи, зазначені в виправити це майстер.
Згорнути цю таблицюРозгорнути цю таблицю
увімкнутиВимкнути
Вирішити цю проблему
Microsoft Fix it 50773
Вирішити цю проблему
Microsoft Fix it 50772

Примітки

  • Ці майстри може бути англійською мовою, тільки. Однак, автоматичне виправлення також роботу для інших мовних версіях Windows.
  • Якщо ви не на комп'ютері, який має проблеми, автоматичне виправлення можна зберегти на флеш-пам'яті або компакт-диск, і ви можете запустіть його на комп'ютері, який має проблеми.

Виправити це рішення для TLS 1.1 на серверах, керуванням Windows

Щоб увімкнути або вимкнути це виправити це рішення, натисніть на це виправити кнопка або посилання у розділі Увімкненняабо вимкнення . Натисніть запустити в на <b00> </b00>завантаження файлу діалоговому вікні і виконайте інтерактивні елементи, зазначені в виправити це майстер.
Згорнути цю таблицюРозгорнути цю таблицю
увімкнутиВимкнути
Вирішити цю проблему
Microsoft Fix it 50774
Вирішити цю проблему
Microsoft Fix it 50775

Примітки

  • Ці майстри може бути англійською мовою, тільки. Однак, автоматичне виправлення також роботу для інших мовних версіях Windows.
  • Якщо ви не на комп'ютері, який має проблеми, автоматичне виправлення можна зберегти на флеш-пам'яті або компакт-диск, і ви можете запустіть його на комп'ютері, який має проблеми.

Відомі проблеми з цього поновлення безпеки

Після інсталяції цього поновлення безпеки, може виникнути помилка автентифікації або втрата мережного підключення до деяких серверів HTTPS. Ця проблема виникає тому, що цей безпеки оновлення змінює спосіб, який записує направляються на HTTPS-сервіси.

Щоб тимчасово вимкнути або повторно ввімкнути цього поновлення безпеки, натисніть кнопку виправити її або посилання під на <b00> </b00>вимкнути оновлення системи безпекиабо знову увімкнути оновлення системи безпеки заголовок. Натисніть запустити в на завантаження файлу діалоговому вікні і виконайте інтерактивні елементи, зазначені в виправити це майстра.
Згорнути цю таблицюРозгорнути цю таблицю
Вимкнути оновлення системи безпеки Знову увімкнути оновлення системи безпеки
Вирішити цю проблему
Microsoft Fix it 50824
Вирішити цю проблему
Microsoft Fix it 50825
Примітки
  • Ці майстри може бути англійською мовою, тільки. Однак, автоматичне виправлення також роботу для інших мовних версіях Windows.
  • Якщо ви не на комп'ютері, який має проблеми, автоматичне виправлення можна зберегти на флеш-пам'яті або компакт-диск, і ви можете запустіть його на комп'ютері, який має проблеми.
Нижченаведена таблиця містить значення, які застосовуються з цими виправити це рішення до SendExtraRecord реєстру DWORD запис:
Згорнути цю таблицюРозгорнути цю таблицю
Заголовок Значення застосовується на SendExtraRecord запис А
Вимкнути оновлення системи безпеки 2
Знову увімкнути оновлення системи безпеки 0
Примітка. SendExtraRecord корегувати буде включено в майбутніх випусках Windows.

Відомі проблеми та додаткові відомості про це оновлення системи безпеки

Наступні статті містять додаткові відомості про це оновлення системи безпеки, що мають відношення до версії окремих продуктів. Статті можуть містити відомості на відома проблема. Якщо це так, відома проблема перелічені нижче кожної статті посилання:
  • 2585542 MS12-006: Опис оновлення системи безпеки для Webio, Winhttp та schannel у Windows: Січень 10, 2012
  • 2638806 MS12-006: Опис оновлення системи безпеки для служби Winhttp у Windows Server 2003 і Windows XP Professional базі x64 Edition: Січень 10, 2012

Дані реєстру

Не рекомендується Не рекомендовано використовувати таку процедуру вимкнення цього поновлення безпеки. Однак, ми надаємо цю процедуру для сценаріїв, в яких ви можете використовувати програми, які є несумісними з цього оновлення системи безпеки, яка дозволяє розділити запис А бізнес-партнера SSL для всіх застосунків.

Важливо. Цей розділ, спосіб або завдання містять кроки, в яких описано, як змінити реєстр. Проте неправильне внесення змін до реєстру може призвести до серйозних неполадок. Тому переконайтеся, що ви виконуєте зазначені інтерактивні елементи ретельно. Для додаткового захисту створіть архівувати реєстру перед внесенням змін. Тоді ви зможете відновити реєстр у разі виникнення проблеми. Щоб отримати додаткові відомості про архівацію та відновлення реєстру, клацніть номер статті в базі знань Майкрософт:
322756архівувати та відновлення реєстру Windows


Типово це оновлення системи безпеки встановлює режим Opt-in schannel рівні, через проблеми сумісності застосунків. Для вимкнення цього поновлення безпеки для всіх додатків системної, потрібно додати значення "4 байти", який назвавSendExtraRecordі, що має значення 2, щоб такий підрозділ реєстру:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Щоб додати цей schannel запис А реєстру запис А а реєстру, виконайте такі дії:
  1. Натисніть кнопку почати, натисніть кнопку запустити, тип Regedit у відкриті вікна а потім клацніть OK.
  2. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. У меню редагування виберіть команду створитиа потім параметр DWORD.
  4. Тип SendExtraRecordім'я значення "4 байти" а потім натисніть клавішу Enter.
  5. Клацніть правою кнопкою миші SendExtraRecordа потім виберіть команду змінити.
  6. У полі значення введіть 2 відключити schannel, запис А розділити, і натисніть кнопку ОК.
  7. Закрийте редактор реєстру.
Цей запис А реєстру може мати три значення, і кожне значення забезпечує різні режими роботи:
Згорнути цю таблицюРозгорнути цю таблицю
Ключові REG значення Опис
0За промовчанням schannel входить в режим"Optin." Це означає, що цього поновлення безпеки буде працювати для всіх абонентів, які надсилають на Secure прапор до schannel. Пакет безпеки не буде створено запис А реєстру schannel "SendExtraRecord". Таким чином, немає запису реєстру schannel означає, що система працює цей режим. Якщо хтось створює цей розділ реєстру та встановіть значення 0, schannel буде знову працювати у цьому режимі.

Цей параметр має той же ефект, як не створюючи цей запис А реєстру на всіх. Застосунки, які посилають на Secure прапора schannel під Вільний час сесії ініціалізації тільки буде здійснювати шлях до фіксованого безпечного коду. За інших програм не буде ніяких змін у поведінці schannel.

Це оновлення системи безпеки усуває застосування шари, які беруть участь у веб-сторінок за допомогою браузера Internet Explorer, щоб надіслати захищене прапор, для того, щоб допомогти забезпечити браузер сценарії сценарій виконання.

Примітка.У Windows Server 2003 оновлення системи безпеки 2638806 потрібно інсталювати допомогти безпечний HTTP клієнт додатків thatuse API для служби WinHTTP. Щоб отримати додаткові відомості клацніть, номер статті в базі знань Майкрософт:
2638806 MS12-006: Опис оновлення системи безпеки для служби Winhttp у Windows Server 2003 і Windows XP Professional базі x64 Edition: Січень 10, 2012
1 автоматична інсталяція значення 1 означає "ввімкнуто для всіх". Це означає, що абоненти не відправити прапор, і на schannel розділить всі запис А бізнес-партнера SSL. З цим набором цінність додатків не повинні приймати будь-які зміни. Клієнт, який є дуже стурбовані системи безпеки можуть допомогти зробити їх система безпечніше, дозволяючи цей розділ реєстру.
2 автоматична інсталяція значення 2 означає "вимкнено для всіх". Це означає, що на schannel не розділить запис А бізнес-партнера для будь-яких шифрування виклику, що робить застосування. Цей режим не честь безпечний прапор, яке надсилає застосунок.
Грунтуючись на внутрішнє приймальні випробування, ми виявили, що ви не можете реально значення реєстру до 1 тому, що він може зламати занадто багато сценаріїв на підприємстві. Таким чином, ми іншими користувачами від її сценарій виконання.

Відомі проблеми з сприятливою запис А реєстру SendExtraRecord

  • автоматична інсталяція реєстру SendExtraRecord значення 1 застосовує запис А розщеплення кожного дзвінка для шифрування даних у schannel. Це відбувається незалежно від того, чи абонента послав до захищеного прапор під Вільний час ініціалізації сеансу.
  • Багато додатків, які використовують schannel пишуться, щоб сторона приймач припускає, що застосування даних будуть упаковані в одному пакеті. Це відбувається, незважаючи на те, що додаток вимагає schannel дешифрування. Додатки ігнорувати прапор, який встановлюється schannel. Прапор вказує, до заяви що більше даних бути розшифровані і взяв приймач. Цей метод не слід MSDN, вказані відпрацьована методика сценарій виконання schannel. Оскільки оновлення системи безпеки забезпечує запис А розщеплення, таким чином руйнується таких додатків.
  • Зламані програми включають продукти Microsoft та компоненти в ящик. Нижче наведено приклади сценаріїв, які може бути порушена, коли значення параметра реєстру SendExtraRecord значення 1.
    • Всі продукти SQL і додатків, яка побудована на SQL.
    • Термінал-серверів у разі наявності мережного рівня автентифікації національної Визвольної увімкнуто. За промовчанням у Windows Vista та пізніші версії Windows увімкнуто Національної визвольної АРМІЇ.
    • Деякі сценарії маршрутизації віддалене з'єднання служби (RRAS).

автоматична інсталяція реєстру SendExtraRecord значення 1 забезпечує на захищене рекорд розщеплення для всіх програм, що використовують Windows TLS/SSL. Однак, ця корегувати, ймовірно, має проблем сумісності застосунків. Тому ми рекомендуємо, що гості налаштувати TLS 1.1 і TLS 1.2 замість сценарій виконання цього параметра реєстру. TLS 1.1 і TLS 1.2, невразливі до цього питання.

Якщо користувач має намір використовувати цей параметр реєстру, рекомендується, що вони широко тест застосування сумісності приймальні випробування, перш ніж вони це здійснити. Деякі загальні продукти, які, як відомо, страждають від цієї настройки включають Microsoft SQL сервера терміналів Windows, вироби Windows сервера віддалене з'єднання.

ПИТАННЯ ТА ВІДПОВІДІ

Q: Щоб допомогти мені виправити мою серверний додаток, що можу Microsoft?
A: Переконайтеся, що ваш додаток може обробляти фрагментації SSL/TLS застосування записів, як описано в наступних RFCs:

Властивості

Номер статті: 2643584 - Востаннє переглянуто: 17 квітня 2014 р. - Редакція: 1.0
Застосовується до:
  • Windows 7 Service Pack 1, у разі використання з:
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, у разі використання з:
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2, у разі використання з:
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2, у разі використання з:
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
Ключові слова: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew kbmt KB2643584 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 2643584

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com