MS12-006: SSL-i/TLS-i nõrkus võib lubada teabe avaldamist: 10. jaanuar 2012

SISSEJUHATUS

Microsoft on välja andnud turbebülletääni MS12-006. Täieliku turbebülletääni kuvamiseks minge ühele järgmistest Microsofti veebisaitidest.

• Kodukasutajad.

  http://www.microsoft.com/security/pc-security/bulletins/201201.aspx Jätke üksikasjad vahele. Laadige oma koduarvuti või sülearvuti värskendused Microsoft Update'i veebisaidilt kohe alla.

  http://update.microsoft.com/microsoftupdate/

• IT-spetsialistid:

  http://technet.microsoft.com/security/bulletin/MS12-006

Selle turbevärskenduse spikri ja toe hankimine

Värskenduste installimise spikker:
Microsoft Update'i tugi

It-spetsialistide turbelahendused:
TechNeti turbe tõrkeotsing ja tugi

Aidake kaitsta oma arvutit, kus töötab Windows viiruste ja ründevara eest.
Viiruselahenduse ja turbekeskus

Kohalik tugi vastavalt teie riigile:
Rahvusvaheline tugi

Paranda see minu eest

Saadaval on kaks lahendust Fix it.

• Lahendage internet Exploreri transpordikihi turbe (TLS) 1.1 lahendus: see lahendus lubab TLS 1.1, mida see nõrkus ei mõjuta, Windows Internet Exploreris. Enamikul tüüpilistel kasutajatel tuleks see lahendus installida.
• Lahendage lahendus TLS 1.1 jaoks Windowsi-põhistes serverites: see lahendus lubab TLS 1.1, mida haavatavus ei mõjuta.

Selles jaotises kirjeldatud lahendused Paranda pole mõeldud ühegi turbevärskenduse asendajana. Soovitame teil alati installida uusimad turbevärskendused. Siiski pakume neid lahenduslahendusi mõne stsenaariumi ajutise lahendusena. 

Lahenduste kohta leiate lisateavet turbebülletäänist MS12-006.

http://technet.microsoft.com/security/bulletin/ms12-006 Bülletään annab probleemi kohta lisateavet ja sisaldab järgmist.

• Stsenaariumid, kus saate ajutise lahenduse rakendada või keelata
• Leevendavad tegurid
• Lahendused
• Korduma kippuvad küsimused

Selle teabe kuvamiseks otsige jaotist Haavatavuse teave ja laiendage seejärel lõigu SSL ja TLS Protocols Vulnerability - CVE-2011-3389 (Ajutised lahendused) lõiku.

TLS 1.1 lahenduse parandamine Internet Exploreris

Paranduslahenduse lubamiseks või keelamiseks klõpsake nuppu Paranda või linki jaotises Luba või Keela . Klõpsake dialoogiboksis Faili allalaadimine nuppu Käivita ja seejärel järgige viisardis Parandamine toodud juhiseid.

Luba	Disable

Märkmed

• Need viisardid võivad olla ainult inglise keeles. Automaatparandused töötavad aga ka muudes Windowsi keeleversioonides.
• Kui te pole arvutis, kus probleem esineb, saate salvestada automaatse paranduse mäluseadmele või CD-le ja seejärel saate selle käivitada probleemses arvutis.

TLS 1.1 lahenduse parandamine Windowsi-põhistes serverites

Paranduslahenduse lubamiseks või keelamiseks klõpsake nuppu Paranda või linki jaotises Luba või Keela . Klõpsake dialoogiboksis Faili allalaadimine nuppu Käivita ja seejärel järgige viisardis Parandamine toodud juhiseid.

Luba	Disable

Märkmed

• Need viisardid võivad olla ainult inglise keeles. Automaatparandused töötavad aga ka muudes Windowsi keeleversioonides.
• Kui te pole arvutis, kus probleem esineb, saate salvestada automaatse paranduse mäluseadmele või CD-le ja seejärel saate selle käivitada probleemses arvutis.

Selle turbevärskendusega seotud teadaolevad probleemid

Pärast selle turbevärskenduse installimist võib ilmneda autentimistõrge või mõne HTTPS-serveri ühenduvuse katkemine. See probleem ilmneb seetõttu, et see turbevärskendus muudab kirjete SAATMISE viisi HTTPS-i serveritesse.

Turbevärskenduse ajutiseks keelamiseks või uuesti lubamiseks klõpsake nuppu Paranda või linki jaotises Turbevärskenduse keelamine või Turbevärskenduse uuesti lubamine . Klõpsake dialoogiboksis Faili allalaadimine nuppu Käivita ja seejärel järgige viisardi Paranda juhiseid.

Turbevärskenduse keelamine	Turbevärskenduse uuesti lubamine

Märkmed

• Need viisardid võivad olla ainult inglise keeles. Automaatparandused töötavad aga ka muudes Windowsi keeleversioonides.
• Kui te pole arvutis, kus probleem esineb, saate salvestada automaatse paranduse mäluseadmele või CD-le ja seejärel saate selle käivitada probleemses arvutis.

Järgmises tabelis on toodud väärtused, mida need paranduslahendused rakendavad registri DWORD-kirjele SendExtraRecord.

Pealkiri	Kirjele SendExtraRecord rakendatud väärtus
Turbevärskenduse keelamine	2
Turbevärskenduse uuesti lubamine	0

Märkus. Säte SendExtraRecord kaasatakse Windowsi tulevastesse väljaannetesse.

Teadaolevad probleemid ja lisateave selle turbevärskenduse kohta

Järgmised artiklid sisaldavad lisateavet selle turbevärskenduse kohta, mis on seotud üksikute tooteversioonidega. Artiklid võivad sisaldada teadaolevat probleemiteavet. Sel juhul on teadaolev probleem loetletud iga artikli lingi all.

• 2585542 MS12-006: Webio, Winhttp ja schanneli turbevärskenduse kirjeldus Windowsis: 10. jaanuar 2012
• 2638806 MS12-006: Win turbevärskenduse kirjeldushttp versioonides Windows Server 2003 ja Windows XP Professional x64 Edition: 10. jaanuar 2012

Registriteave

Pole soovitatav. Selle turbevärskenduse keelamiseks pole soovitatav kasutada järgmist toimingut. Siiski pakume seda protseduuri stsenaariumide puhul, kus te võite kasutada rakendusi, mis ei ühildu selle turbevärskendusega, mis lubab tükeldatud SSL-kirjed kõigi rakenduste jaoks.

NB! See jaotis, meetod või ülesanne sisaldab etappe, mis annavad teile teada, kuidas registrit muuta. Kui muudate registrit valesti, võivad ilmneda tõsised probleemid. Seetõttu järgige neid juhiseid väga hoolikalt. Täiendava kaitse jaoks varundage register kindlasti enne muutmist. See võimaldab registri probleemide korral taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasis oleva artikli kuvamiseks järgmist artiklinumbrit.

322756 Registri varundamine ja taastamine Windowsis

See turbevärskendus seab rakenduste ühilduvusprobleemide tõttu vaikimisi schanneli tasemel nõustumisrežiimi. Turbevärskenduse keelamiseks kõigi kogu süsteemi hõlmavate rakenduste jaoks peate lisama DWORD-väärtuse nimega SendExtraRecord ja mille väärtus on 2 järgmise registri alamvõtme jaoks:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELSelle schanneli registrikirje registrikirje lisamiseks tehke järgmist.

1. Klõpsake nuppu Start ja seejärel klõpsake käsku Käivita. Tippige väljale Ava käsk regedit ja klõpsake nuppu OK.

2. Otsige üles ja klõpsake järgmist registri alamvõtit:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

3. Osutage menüüs Edit (Redigeeri) käsule New (Uus) ja klõpsake väärtust DWORD Value.

4. Tippige DWORD-väärtuse nimeks SendExtraRecord ja vajutage sisestusklahvi (Enter).

5. Paremklõpsake käsku SendExtraRecord ja seejärel klõpsake käsku Muuda.

6. Tippige väljale Value data (Väärtuse andmed ) väärtus 2, et keelata tükeldatud kirje schannelis, ja seejärel klõpsake nuppu OK.

7. Väljuge registriredaktorist.

Sellel registrikirjel võib olla kolm väärtust ja iga väärtus pakub erinevaid töörežiisid.

Reg-key Value	Kirjeldus
0	Vaikimisi on schannel kaasatud optimirežiimi. See tähendab, et see turbevärskendus töötab kõigi helistajate jaoks, kes saadavad schannelile turbelipu. Turbepakett ei looda schanneli registrikirjet "SendExtraRecord". Seetõttu ei ole schanneli registrikirjet, mis tähendab, et süsteem töötab selle režiimiga. Kui keegi loob selle registrivõtme ja määrab väärtuseks 0, töötab schannel uuesti selles režiimis. Sellel sättel on sama mõju nagu selle registrikirje loomisest keeldumisel. Rakendused, mis saadavad seansi lähtestamise ajal schannelile turvalise lipu, kasutavad ainult fikseeritud turvalist kooditeed. Muude rakenduste puhul schanneli käitumine ei muutu. Turbevärskendus parandab ka rakendusekihid, mis on seotud veebisirvimisega, kasutades Internet Explorerit lipu Secure saatmiseks, et aidata kaitsta brauseri kasutamise stsenaariume. Märkus Versioonis Windows Server 2003 peab WinHTTP API-sid kasutavate HTTP-klientrakenduste turvalisuse tagamiseks olema installitud turbevärskendus 2638806. Microsofti teabebaasis oleva artikli kuvamiseks klõpsake järgmist artiklinumbrit. 2638806 MS12-006: Win turbevärskenduse kirjeldushttp versioonides Windows Server 2003 ja Windows XP Professional x64 Edition: 10. jaanuar 2012
1	Väärtuse seadmine väärtuseks 1 tähendab "kõigi jaoks lubatud". See tähendab, et helistajad ei pea lippu saatma ja schannel tükeldab kõik SSL-kirjed. Selle väärtusekomplekti korral ei pea rakendused muudatusi tegema. Klient, kes muretseb süsteemi turvalisuse pärast, võib aidata muuta oma süsteemi turvalisemaks, lubades selle registrivõtme.
2	Väärtuse seadmine väärtuseks 2 tähendab "keelatud kõigi jaoks". See tähendab, et schannel ei tükelda kirjeid rakenduse loodud krüptimiskutse jaoks. See režiim ei austa rakenduse saadetavat secure-lippu.

Sisemise testimise põhjal leidsime, et registriväärtust ei saa harva väärtuseks 1 seada, kuna see võib ettevõttes katkestada liiga palju stsenaariume. Seetõttu soovitame kasutajatel seda kasutada.

Teadaolevad probleemid registrikirje SendExtraRecord lubamisega

• Kui määrate registriväärtuse SendExtraRecord väärtuseks 1, jõustatakse kirjete tükeldamine igas kutses andmete krüptimiseks schannelis. See juhtub sõltumata sellest, kas kutsuja saatis seansi lähtestamisel turbelipu.
• Paljud schanneli kasutavad rakendused on kirjutatud nii, et vastuvõtja eeldab, et rakenduse andmed pakitakse ühte paketti. See juhtub isegi siis, kui rakendus kutsub schanneli dekrüptimiseks. Rakendused ignoreerivad lippu, mille on määranud schannel. Lipp näitab rakendusele, et vastuvõtjal on rohkem andmeid dekrüptida ja kätte saada. See meetod ei järgi schanneli MSDN-iga ettenähtud meetodit. Kuna turbevärskendus jõustab kirjete tükeldamise, katkestab see sellised rakendused.
• Vigased rakendused hõlmavad Microsofti tooteid ja valmiskomponente. Järgnevalt on toodud näited stsenaariumidest, mis võivad katkeda, kui registriväärtuse SendExtraRecord väärtuseks on seatud 1.
• • Kõik SQL-i tooted ja rakendused, mis on SQL-i sisse ehitatud.
  • Terminaliserverid, kus võrgutaseme autentimine (NLA) on sisse lülitatud. Vaikimisi on NLA windows Vistas ja Windowsi uuemates versioonides lubatud.
  • Mõned kaugpöördusteenuse (RRAS) stsenaariumid.

Kui määrate registriväärtuse SendExtraRecord väärtuseks 1, jõustatakse turvaline kirjete tükeldamine kõigis rakendustes, mis kasutavad Windows TLS/SSL-i. Siiski on selle sättega tõenäoliselt probleeme rakenduste ühilduvusega. Seetõttu soovitame klientidel selle registrisätte kasutamise asemel konfigureerida TLS 1.1 ja TLS 1.2. TLS 1.1 ja TLS 1.2 pole sellele probleemile haavatavad.

Kui kasutaja kavatseb seda registrisätet kasutada, soovitame neil enne selle rakendamist rakenduse ühilduvuse testimist põhjalikult testida. Mõned levinumad tooted, mida see säte teadaolevalt mõjutab, on Microsofti SQL-i tooted, Windowsi terminal Server ja Windowsi kaugpöördusserver.

KKK

Küsimus. Mida saab Microsoft teha, et aidata mul serveripoolset rakendust parandada?
Vastus. Veenduge, et teie rakendus suudab töödelda SSL-/TLS-i rakendusekirjete fragmentimist, nagu on kirjeldatud järgmistes RFCdes.

• TLS 1.0: http://www.ietf.org/rfc/rfc2246.txt punkt 6.2.1
• SSL 3.0: http://www.ietf.org/rfc/rfc6101.txt punkt 5.2.1