مقدمة
أصدرت Microsoft نشرة الأمن رقم MS12-006. لعرض نشرة الأمن الكاملة، قم بزيارة أحد مواقع Microsoft التالية على الويب:
-
المستخدمون المنزليون:
http://www.microsoft.com/security/pc-security/bulletins/201201.aspxتخطي التفاصيل: قم بتنزيل التحديثات لجهاز الكمبيوتر المنزلي أو جهاز الكمبيوتر المحمول من موقع Microsoft Update على الويب الآن:
-
متخصصو تكنولوجيا المعلومات:
كيفية الحصول على التعليمات والدعم لهذا التحديث الأمني
بالنسبة للمستخدمين المنزليين، يتوفر دعم بدون تكلفة من خلال الاتصال على 1-866-PCSAFETY في الولايات المتحدة وكندا
(الرجاء زيارة هذه الصفحة للعثور على رقم الهاتف المحلي) أو عن طريق الاتصال بالمكتب الفرعي المحلي التابع لـ Microsoft. لمزيد من المعلومات حول كيفية الاتصال بالمكتب الفرعي المحلي التابع لـ Microsoft لحل مشاكل دعم التحديثات الأمنية، قم بزيارة موقع "الدعم الدولي لـ Microsoft" على الويب:
http://support.microsoft.com/common/international.aspx?ln=ar&rdpath=4 يستطيع أيضًا عملاء أمريكا الشمالية الحصول على إمكانية الوصول الفوري لدعم غير محدود وبدون تكلفة بالبريد الإلكتروني أو دعم غير محدود عبر المحادثة الفردية عن طريق زيارة موقع Microsoft التالي على الويب:
https://support.microsoft.com/oas/default.aspx?&prid=7552&st=1&wfxredirect=1&sd=gn بالنسبة لعملاء المؤسسات، يتوفر دعم للتحديثات الأمنية من خلال جهات اتصال الدعم المعتادة.
إصلاح المشكلة بالإنابة عني
يتوفر إصلاحان.
-
الحل Fix it لبروتوكول أمن طبقة النقل (TLS) 1.1 في برنامج Internet Explorer: يعمل هذا الحل على تمكين TLS 1.1، الذي لا يتأثر بهذه الثغرة الأمنية، في برنامج Windows Internet Explorer. ويجب أن يقوم معظم المستخدمين النموذجيين بتثبيت الحل Fix it.
-
الحل Fix it لـ TLS 1.1 في الخوادم التي تعمل بنظام التشغيل Windows: يعمل هذا الحل على تمكين TLS 1.1، الذي لا يتأثر بالثغرة الأمنية.
لا تعتبر حلول Fix it الموضحة في هذا القسم بديلاً عن أي تحديث أمني. نوصي دائمًا بتثبيت آخر التحديثات الأمنية. ومع ذلك، فإننا نقدم حلول Fix it كخيارات لحلول بديلة في بعض السيناريوهات.
لمزيد من المعلومات حول الحلول البديلة، راجع نشرة الأمن رقم MS12-006:http://technet.microsoft.com/security/bulletin/MS12-006 توفر نشرة الأمن مزيدًا من المعلومات حول المشكلة وتشمل ما يلي:
-
السيناريوهات التي يمكنك فيها تطبيق الحل البديل أو تعطيله.
-
العوامل المقللة من فرص التعرض للهجوم
-
الحلول البديلة
-
الأسئلة المتداولة
بوجه خاص، لمراجعة هذه المعلومات، ابحث عن القسم معلومات الثغرات الأمنية وقم بتوسيع الفقرة الحلول البديلة أسفل الفقرة الثغرة الأمنية لبروتوكولات SSL وTLS - CVE-2011-3389.
الحل Fix it لـ TLS 1.1 في برنامج Internet Explorer
لتمكين الحل Fix it أو تعطيله، انقر فوق الزر Fix it أو الارتباط الموجود أسفل العنوان تمكين أو أسفل العنوان تعطيل. انقر فوق تشغيل في مربع الحوار تنزيل ملف، ثم اتبع الخطوات الموجودة في المعالج Fix it.
تمكين |
تعطيل |
---|---|
ملاحظات
-
قد تكون هذه المعالجات باللغة الإنجليزية فقط. ومع ذلك، تعمل الإصلاحات التلقائية أيضًا مع إصدارات Windows باللغات الأخرى.
-
إذا كنت لا تعمل على الكمبيوتر الذي توجد به المشكلة، يمكنك حفظ الإصلاح التلقائي إلى محرك أقراص محمول أو قرص مضغوط، ثم تشغيله على الكمبيوتر الذي توجد به المشكلة.
الحل Fix it لـ TLS 1.1 في الخوادم التي تعمل بنظام التشغيل Windows
لتمكين الحل Fix it أو تعطيله، انقر فوق الزر Fix it أو الارتباط الموجود أسفل العنوان تمكين أو أسفل العنوان تعطيل. انقر فوق تشغيل في مربع الحوار تنزيل ملف، ثم اتبع الخطوات الموجودة في المعالج Fix it.
تمكين |
تعطيل |
---|---|
ملاحظات
-
قد تكون هذه المعالجات باللغة الإنجليزية فقط. ومع ذلك، تعمل الإصلاحات التلقائية أيضًا مع إصدارات Windows باللغات الأخرى.
-
إذا كنت لا تعمل على الكمبيوتر الذي توجد به المشكلة، يمكنك حفظ الإصلاح التلقائي إلى محرك أقراص محمول أو قرص مضغوط، ثم تشغيله على الكمبيوتر الذي توجد به المشكلة.
المشاكل المعروفة لهذا التحديث الأمني
بعد تثبيت هذا التحديث الأمني، قد تواجه فشل عملية المصادقة أو فقدان الاتصال ببعض خوادم HTTPS. تحدث هذه المشكلة لأن هذا التحديث الأمني يعمل على تغيير الطريقة التي يتم بها إرسال السجلات إلى خوادم HTTPS.
لتعطيل هذا التحديث الأمني أو إعادة تمكينه مؤقتًا، انقر فوق الزر Fix it أو الارتباط أسفل العنوان تعطيل التحديث الأمني أو أسفل العنوان إعادة تمكين التحديث الأمني. انقر فوق تشغيل في مربع الحوار تنزيل ملف، ثم اتبع الخطوات الموجودة في المعالج Fix it.
تعطيل التحديث الأمني |
إعادة تمكين التحديث الأمني |
---|---|
ملاحظات
-
قد تكون هذه المعالجات باللغة الإنجليزية فقط. ومع ذلك، تعمل الإصلاحات التلقائية أيضًا مع إصدارات Windows باللغات الأخرى.
-
إذا كنت لا تعمل على الكمبيوتر الذي توجد به المشكلة، يمكنك حفظ الإصلاح التلقائي إلى محرك أقراص محمول أو قرص مضغوط، ثم تشغيله على الكمبيوتر الذي توجد به المشكلة.
يوضح الجدول التالي القيم التي يتم تطبيقها بواسطة حلول Fix it هذه على الإدخال DWORD للتسجيل SendExtraRecord:
العنوان |
القيمة المطبقة على إدخال SendExtraRecord |
---|---|
تعطيل التحديث الأمني |
2 |
إعادة تمكين التحديث الأمني |
0 |
مشاكل معروفة ومعلومات إضافية حول هذا التحديث الأمني
تتضمن المقالات التالية معلومات إضافية حول هذا التحديث الأمني لارتباطه بإصدارات المنتجات الفردية. قد تحتوي هذه المقالات على معلومات حول المشاكل المعروفة. وفي هذه الحالة، يتم سرد المشكلة المعروفة أسفل كل ارتباط للمقالة:
معلومات التسجيل
لا يُوصى بها لا نوصي باستخدام الإجراء التالي لتعطيل هذا التحديث الأمني. ومع ذلك، نوفر هذا الحل للسيناريوهات التي قد يتم فيها استخدام تطبيقات غير متوافقة مع هذا التحديث الأمني والذي يمكّن سجلات SSL المنقسمة لكافة التطبيقات.
هام يحتوي هذا القسم أو الطريقة أو المهمة على خطوات توضح كيفية تعديل السجل. وقد يحدث رغم ما سبق مشاكل خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، يجب التأكد من اتباع هذه الخطوات بعناية. قم بعمل نسخة احتياطية من السجل قبل تعديله كوسيلة من وسائل الحماية الإضافية. بعد ذلك، يمكنك استعادة السجل في حالة حدوث أية مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":322756كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows يعمل هذا التحديث الأمني افتراضيًا على تعيين الوضع Opt-in على المستوى schannel؛ بسبب المشاكل المتعلقة بتوافق التطبيقات. لتعطيل هذا التحديث الأمني لكافة التطبيقات على مستوى النظام، يجب إضافة قيمة DWORD باسمSendExtraRecord التي تشتمل على قيمة ٢ إلى مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL لإضافة إدخال التسجيل schannel هذا، اتبع الخطوات التالية:
-
انقر فوق ابدأ، وانقر فوق تشغيل، واكتب regedit في المربع فتح، ثم انقر فوق موافق.
-
حدد موقع المفتاح الفرعي التالي داخل السجل، ثم انقر فوقه:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
-
من القائمة تحرير، قم بالإشارة إلى جديد، ثم انقر فوق القيمة DWORD.
-
اكتب SendExtraRecord لاسم DWORD، ثم اضغط مفتاح "الإدخال".
-
انقر بزر الماوس الأيمن فوق SendExtraRecord، ثم انقر فوق تعديل.
-
في المربع بيانات القيم، اكتب 2 لتعطيل السجل المنقسم في schannel، ثم انقر فوق موافق.
-
قم بإنهاء "محرر التسجيل".
يمكن أن يحتوي إدخال التسجيل على ثلاث قيم التي توفر أوضاع مختلفة للعملية:
قيمة مفتاح التسجيل |
الوصف |
---|---|
0 |
يتضمن schannel افتراضيًا في "الوضع Optin". وهذا يعني أنه سينجح هذا التحديث الأمني مع كافة المستدعين الذين أرسلوا العلامة "آمن" إلى schannel. لن يتم إنشاء إدخال تسجيل schannel "SendExtraRecord" باستخدام الحزمة الأمنية. ولذلك، يُقصد بعدم وجود إدخال تسجيل schannel أن النظام يعمل على تشغيل هذا الوضع. وإذا قام شخص ما بإنشاء مفتاح التسجيل هذا وقام بتعيين القيمة إلى الرقم 0، فستعمل قناة schannel مرةً أخرى في هذا الوضع. يشتمل هذا الإعداد على نفس التأثير وكأنه لم يتم إنشاء إدخال التسجيل هذا مطلقًا. ستعمل التطبيقات التي ترسل العلامة "آمن" لـ schannel أثناء تهيئة جلسة العمل على استخدام مسار الرمز الآمن الذي تم تصحيحه. بالنسبة للتطبيقات الأخرى، لن يكون هناك تغيير في وظيفة schannel. يعمل هذا التحديث الأمني أيضًا على إصلاح طبقات التطبيق المضمنة في استعراض الويب باستخدام البرنامج Internet Explorer لإرسال العلامة "آمن"؛ للمساعدة في تأمين سيناريوهات استخدام المستعرض. ملاحظة في Windows Server 2003، يجب تثبيت التحديث الأمني رقم ٢٦٣٨٨٠٦ لتأمين تطبيقات عميل HTTP التي تستفيد من واجهات WinHTTP API. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":2638806 MS12-006: وصف التحديث الأمني لـ Winhttp في نظامي التشغيل Windows Server 2003 وWindows XP Professional x64 Edition: ١٠ يناير ٢٠١٢ |
1 |
يقصد بتعيين القيمة على ١ "ممكّن للكل". وهذا يعني أنه ليس على المستدعين إرسال العلامة، وسيعمل schannel على تقسيم كافة سجلات SSL. ومع تعيين هذه القيمة، لن يلزم إجراء أي تغييرات على هذه التطبيقات. كما يتمكن أحد العملاء المهتمين بأمن النظام من العمل على جعل الأنظمة أكثر أمنًا من خلال تمكين مفتاح التسجيل هذا. |
2 |
يقصد بتعيين القيمة على ٢ "معطل للكل". وهذا يعني أن schannel لن يعمل على تقسيم السجلات لأي استدعاء تشفير يعمل التطبيق على إجرائها. ولا يقبل هذا الوضع بالعلامة "آمن" التي يرسلها تطبيق ما. |
بناءً على الاختبار الداخلي، نجد أنه لا يمكن عمليًا تعيين قيمة التسجيل على ١؛ حيث إنه قد يعمل على عرقلة سيناريوهات عديدة جدًا في إحدى المؤسسات. ولذلك، نوصي المستخدمين بعدم استخدامها.
المشاكل المعروفة المتعلقة بتمكين إدخال التسجيل SendExtraRecord
-
يفرض تعيين قيمة التسجيل SendExtraRecord على ١ تقسيم السجلات في كل استدعاء لتشفير البيانات في schannel. ويحدث ذلك بغض النظر عما إذا كان المستدعي قد أرسل العلامة "آمن" أثناء تهيئة جلسة العمل.
-
تتم كتابة العديد من التطبيقات التي تستخدم schannel؛ لذا يفترض الجانب المتلقي أنه سيتم وضع بيانات التطبيق في حزمة واحدة. ويحدث ذلك بالرغم من أنه يعمل التطبيق على استدعاء schannel لفك التشفير. تتجاهل التطبيقات علامة تم تعيينها بواسطة schannel. وتوضح العلامة المشيرة إلى التطبيق أن هناك المزيد من البيانات المطلوب فك تشفيرها وانتقاؤها من قِبل المتلقي. لا تتبع هذه الطريقة تلك المحددة من MSDN لاستخدام schannel. ونظرًا لقيام التحديث الأمني بفرض تقسيم السجلات، يؤدي ذلك إلى تعطيل مثل هذه التطبيقات.
-
تتضمن التطبيقات المعطلة منتجات Microsoft والمكونات المتضمنة بها. وفيما يلي أمثلة عن سيناريوهات قد تتم عرقلتها عند تعيين قيمة التسجيل SendExtraRecord على ١:
-
-
كافة منتجات SQL، والتطبيقات المضمنة في SQL.
-
"الخوادم الطرفية" التي تشتمل على "مصادقة مستوى الشبكة" (NLA) قيد التشغيل. يتم تمكين NLA افتراضيًا في نظام التشغيل Windows Vista والإصدارات الأحدث من أنظمة التشغيل Windows.
-
بعض سيناريوهات "خدمة التوجيه والوصول عن بُعد" (RRAS).
-
يفرض تعيين قيمة التسجيل SendExtraRecord على ١ تقسيم السجلات الأمنية لكافة التطبيقات التي تستخدم Windows TLS/SSL. وعلى الرغم من ذلك، قد يشتمل هذا الإعداد على مشاكل متعلقة بتوافق التطبيقات. ولذلك، نوصي العملاء بتكوين TLS 1.1 وTLS 1.2 بدلاً من استخدام إعداد التسجيل هذا. لا يعد كل من TLS 1.1 وTLS 1.2 عرضة لهذه المشكلة.
إذا أراد مستخدم استخدام إعداد التسجيل هذا، نوصي بإجراء اختبار لتوافق التطبيق بشكل شامل قبل تنفيذه. وتتضمن معظم المنتجات الشائعة المعروفة بتأثرها بهذا الإعداد منتجات Microsoft SQL وWindows Terminal Server وWindows Remote Access Server.الأسئلة المتداولة
س: ما الذي يمكن أن تفعله Microsoft لمساعدتي في إصلاح التطبيق من جانب الخادم لدي؟
ج: تأكد من أن التطبيق يمكنه معالجة تجزئة سجلات تطبيقات SSL/TLS كما هو موضح في طلبات التعليقات التالية: