MS12-006:SSL/TLS 的弱點可能會允許資訊洩漏:2012 年 1 月 10 日

文章翻譯 文章翻譯
文章編號: 2643584 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

Microsoft 已經發行資訊安全佈告欄 MS12-006。若要檢視完整的資訊安全佈告欄,請移至下列其中一個 Microsoft 網站:

如何取得此安全性更新的說明及支援

安裝更新的說明:修正 Microsoft Windows Update 問題

適用於 IT 專業人員的安全性解決方案:安全性疑難排解與支援

協助保護您執行 Windows 的電腦免於受到病毒和惡意程式碼攻擊:Microsoft Virus Protection 與 Windows Security 支援

根據您所在國家/地區的當地支援:國際化支援

為我修正此問題

現已提供兩個 Fix it 解決方案。
  • Internet Explorer 傳輸層安全性 (TLS) 1.1 的 Fix it 解決方案:此解決方案可在 Windows Internet Explorer 上啟用不受此弱點影響的 TLS 1.1。大部分的一般使用者都應該安裝此 Fix it 解決方案。
  • Windows 伺服器 TLS 1.1 的 Fix it 解決方案:此解決方案可啟用不受此弱點影響的 TLS 1.1。
本節所述的 Fix it 解決方案的目的不在於取代任何安全性更新。建議您一律安裝最新的安全性更新。不過我們仍提供這些 Fix it 解決方案以作為某些情況的因應措施。

如需有關因應措施的詳細資訊,請參閱資訊安全佈告欄 MS12-006:
http://technet.microsoft.com/zh-tw/security/bulletin/ms12-006
此佈告欄提供有關此問題的詳細資訊,其中包括:
  • 您可能會套用或停用因應措施的情況
  • 緩和因素
  • 因應措施
  • 常見問題集
具體而言,如果要參閱此資訊,請尋找<資訊安全風險資訊>一節,然後展開<SSL 和 TLS 通訊協定弱點 - CVE-2011-3389>段落下方的<因應措施>段落。

Internet Explorer TLS 1.1 的 Fix it 解決方案

如果要啟用或停用此 Fix it 解決方案,請按一下 [Fix it] 按鈕,或 [啟用] 標題或 [停用] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行],然後依照 Fix it 精靈中的步驟執行。
摺疊此表格展開此表格
啟用停用
修正此問題
Microsoft Fix it 50773
修正此問題
Microsoft Fix it 50772

注意事項

  • 這些精靈可能只提供英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
  • 如果您不在發生問題的電腦上,則可將自動修正程式儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行該修正程式。

Windows 伺服器 TLS 1.1 的 Fix it 解決方案

如果要啟用或停用此 Fix it 解決方案,請按一下 [Fix it] 按鈕,或 [啟用] 標題或 [停用] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行],然後依照 Fix it 精靈中的步驟執行。
摺疊此表格展開此表格
啟用停用
修正此問題
Microsoft Fix it 50774
修正此問題
Microsoft Fix it 50775

注意事項

  • 這些精靈可能只提供英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
  • 如果您不在發生問題的電腦上,則可將自動修正程式儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行該修正程式。

此安全性更新的已知問題

安裝此安全性更新之後,您可能會遇到驗證失敗或失去某些 HTTPS 伺服器連線的情況。發生這個問題的原因是此安全性更新會變更記錄傳送至 HTTPS 伺服器的方式。

如果要暫時停用或重新啟用此安全性更新,請按一下 [Fix it] 按鈕,或 [停用安全性更新] 標題或 [重新啟用安全性更新] 標題下方的連結。按一下 [檔案下載] 對話方塊中的 [執行],然後依照 Fix it 精靈中的步驟執行。
摺疊此表格展開此表格
停用安全性更新 重新啟用安全性更新
修正此問題
Microsoft Fix it 50824
修正此問題
Microsoft Fix it 50825
注意事項
  • 這些精靈可能只提供英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
  • 如果您不在發生問題的電腦上,則可將自動修正程式儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行該修正程式。
下表顯示這些 Fix it 解決方案套用至 SendExtraRecord 登錄 DWORD 項目的值:
摺疊此表格展開此表格
標題 套用至 SendExtraRecord 項目的值
停用安全性更新 2
重新啟用安全性更新 0
注意 SendExtraRecord 設定會隨附於未來發行的 Windows。

此安全性更新的已知問題和其他相關資訊

下列文章包含此安全性更新 (與個別產品版本相關) 的相關資訊。這些文章可能包含已知問題的資訊。在這種情況下,已知問題會列於每個文章連結下方:
  • 2585542 MS12-006:說明 Windows 的 Webio、Winhttp 和安全通道的安全性更新:2012 年 1 月 10 日
  • 2638806 MS12-006:說明 Windows Server 2003 和 Windows XP Professional x64 Edition 的 Winhttp 安全性更新:2012 年 1 月 10 日

登錄資訊

不建議我們不建議您使用下列程序來停用此安全性更新。不過,我們仍為了您可能會使用與此安全性更新不相容的應用程式的狀況而提供了此程序,此程序可為所有應用程式啟用分割 SSL 記錄。

重要 這個章節、方法或工作包含修改登錄的步驟。然而,如果您不當地修改登錄,可能會發生嚴重的問題。因此,請務必謹慎地依照這些步驟執行。為加強保護,請先備份登錄再進行修改。如果發生問題,您就可以還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
322756 如何在 Windows XP 中備份及還原登錄


根據預設,此安全性更新會因為應用程式相容性問題而在安全通道層級中設定選擇加入模式。如果要針對所有應用程式全系統停用此安全性更新,您必須新增名為 SendExtraRecord 的 DWORD 值,此值在下列登入子機碼中為 2:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
如果要新增此安全通道登錄項目,請依照下列步驟執行:
  1. 按一下 [開始],按一下 [執行],在 [開啟] 方塊中輸入 regedit,然後按一下 [確定]
  2. 在登錄中找出下列子機碼並按一下:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]
  4. 輸入 SendExtraRecord 作為 DWORD 值的名稱,然後按下 ENTER。
  5. [SendExtraRecord] 上按右鍵,然後按一下 [修改]
  6. [數值資料] 方塊中,輸入 2 以停用安全通道中的分割記錄,然後按一下 [確定]
  7. 結束登錄編輯程式。
此登錄項目可具有三個值,每個值提供各種不同的操作模式:
摺疊此表格展開此表格
登錄機碼值描述
0根據預設,安全通道會包含於「選擇加入模式」。這表示所有將安全旗標傳送到安全通道的呼叫者都可使用此安全性更新。安全性套件將不會建立「SendExtraRecord」安全通道登錄項目。因此,無安全通道登錄項目可代表系統正在執行此模式。如果有人建立此登錄機碼並將值設為 0,則安全通道就會再次執行此模式。

此設定與完全不建立此登錄項目具有相同的效果。在執行工作階段初始化期間,將安全旗標傳送到安全通道的應用程式僅會使用固定的安全程式碼路徑。其他應用程式中的安全通道行為則不會變更。

此安全性更新也會使用 Internet Explorer 傳送安全旗標來修正與網頁瀏覽相關的應用程式層,以協助保護瀏覽器使用狀況的安全。

注意 在 Windows Server 2003 中,您必須安裝安全性更新 2638806 才能保護使用 WinHTTP API 的 HTTP 用戶端應用程式。如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
2638806 MS12-006:說明 Windows Server 2003 和 Windows XP Professional x64 Edition 的 Winhttp 安全性更新:2012 年 1 月 10 日
1 將值設為 1 表示「全部啟用」。這表示呼叫者不需要傳送旗標,安全通道就會分割所有 SSL 記錄。設定此值後,應用程式就無須進行任何變更。對於系統安全性極為注重的客戶可藉由啟用此登錄機碼,讓系統更加安全。
2 將值設為 2 代表「全部停用」。這表示安全通道不會分割應用程式發出的任何加密呼叫的記錄。此模式不會遵循應用程式傳送的安全旗標。
根據內部測試,我們發現您無法將登錄值設為 1,因為這在太多的企業狀況中會導致中斷。因此,我們不鼓勵使用者採取上述作法。

啟用 SendExtraRecord 登錄項目的已知問題

  • 將 SendExtraRecord 登錄值設為 1,就會強制分割安全通道中的每個加密資料呼叫記錄。無論呼叫者在執行工作階段初始化期間是否傳送安全旗標,都會發生此問題。
  • 系統會寫入使用安全通道的眾多應用程式,因此接收者端會假設應用程式資料將壓縮到單一封包中。即使應用程式呼叫安全通道進行解密,仍會發生此問題。應用程式會忽略由安全通道設定的旗標。旗標會向應用程式表示還有更多要由接收者解密和採用的資料。此方法不允許使用安全通道的 MSDN 指定方法。此安全性更新會強制執行記錄分割,因此會中斷此類應用程式。
  • 中斷的應用程式包括 Microsoft 產品和內建元件。下列是將 SendExtraRecord 登錄值設為 1 時可能會發生中斷的範例狀況:
    • 所有的 SQL 產品,以及 SQL 內建應用程式。
    • 開啟網路層級驗證 (NLA) 的終端機伺服器。根據預設,Windows Vista 及 Windows 新版中會啟用 NLA。
    • 部分路由遠端存取服務 (RRAS) 狀況。

將 SendExtraRecord registry 登錄值設為 1,就會強制分割所有使用 Windows TLS/SSL 的應用程式安全記錄。不過,此設定可能會導致發生應用程式相容性問題。因此,我們建議客戶設定 TLS 1.1 和 TLS 1.2 而不要使用此登錄設定。TLS 1.1 和 TLS 1.2 不會受此問題影響。

如果使用者想要使用此登錄設定,我們建議這些使用者先執行詳盡的應用程式相容性測試,然後再進行實作。已知某些常見產品會受此設定影響,其中包括 Microsoft SQL 產品、Windows 終端機伺服器和 Windows 遠端存取伺服器。

常見問題集

問: Microsoft 如何協助我修正伺服器端應用程式?
答: Microsoft 會確認您的應用程式可處理下列 RFC 所述的 SSL/TLS 應用程式記錄片段:
注意 :本文屬於「快速發佈」文章,係由 Microsoft 技術支援或組織內部直接建立。 本文所包含的資訊是為了回應新問題而依現況提供。 因此為了迅速對外發佈,文章內容可能含有印刷錯誤,而且可能會在不另行通知的情況下進行修改。 如需其他考量事項,請參閱使用規定

屬性

文章編號: 2643584 - 上次校閱: 2014年4月22日 - 版次: 5.0
這篇文章中的資訊適用於:
  • Windows 7 Service Pack 1?應用於:
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1?應用於:
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2?應用於:
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2?應用於:
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
關鍵字:?
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com