MS12-006: SSL/TLS:n haavoittuvuus voi sallia tietojen paljastamisen: 10. tammikuuta 2012

JOHDANTO

Microsoft on julkaissut tietoturvatiedotteen MS12-006. Jos haluat tarkastella täydellistä suojaustiedotetta, siirry johonkin seuraavista Microsoftin sivustoista:

• Kotikäyttäjät:

  http://www.microsoft.com/security/pc-security/bulletins/201201.aspx Ohita tiedot: Lataa kotitietokoneen tai kannettavan tietokoneen päivitykset Microsoft Update -sivustosta nyt:

  http://update.microsoft.com/microsoftupdate/

• IT-ammattilaiset:

  http://technet.microsoft.com/security/bulletin/MS12-006

Tämän suojauspäivityksen ohjeen ja tuen hankkiminen

Päivitysten asennusohjeet:
Microsoft Updaten tuki

Tietoturvaratkaisut IT-ammattilaisille:
TechNet-suojauksen vianmääritys ja tuki

Suojaa Windowsia käyttävä tietokone viruksilta ja haittaohjelmilta:
Virusratkaisu- ja suojauskeskus

Paikallinen tuki maasi mukaan:
Kansainvälinen tuki

Korjaaminen

Kaksi Korjausratkaisua on saatavilla.

• Korjaa se ratkaisu Internet Explorerin TLS (Transport Layer Security) 1.1 -ratkaisuun: Tämä ratkaisu mahdollistaa TLS 1.1:n, johon tämä haavoittuvuus ei vaikuta, Windows Internet Explorerissa. Useimpien tyypillisimpien käyttäjien kannattaa asentaa tämä Korjausratkaisu.
• Korjaa TLS 1.1 -ratkaisu Windows-pohjaisissa palvelimissa: Tämä ratkaisu ottaa käyttöön TLS 1.1:n, johon haavoittuvuus ei vaikuta.

Tässä osassa kuvattuja Korjausratkaisuja ei ole tarkoitettu minkään suojauspäivityksen korvaajiksi. Suosittelemme, että asennat aina uusimmat suojauspäivitykset. Tarjoamme kuitenkin nämä Korjaa se -ratkaisut vaihtoehtoina joissakin skenaarioissa. 

Lisätietoja vaihtoehtoisista menetelmiä on tietoturvatiedotteessa MS12-006:

http://technet.microsoft.com/security/bulletin/ms12-006 Tiedotteessa on lisätietoja ongelmasta, ja se sisältää seuraavat tiedot:

• Skenaariot, joissa voit käyttää vaihtoehtoista menetelmää tai poistaa sen käytöstä
• Lieventävät tekijät
• Kiertotapoja
• Usein kysytyt kysymykset

Jos haluat nähdä nämä tiedot, etsi Haavoittuvuustiedot-osa ja laajenna sitten Vaihtoehtoisten menetelmiä -kappale SSL- ja TLS-protokollien haavoittuvuus – CVE-2011-3389 -kappaleessa.

Internet Explorerin TLS 1.1 -ratkaisun korjaaminen

Jos haluat ottaa tämän Korjaa ratkaisu -toiminnon käyttöön tai poistaa sen käytöstä, napsauta Korjaa se -painiketta tai linkkiä Ota käyttöön - tai Poista käytöstä - otsikossa. Valitse SuoritaTiedostojen lataaminen -valintaikkunassa ja noudata sitten ohjatun korjaustoiminnon ohjeita.

Käyttöönotto	Disable

Muistiinpanot

• Nämä ohjatut toiminnot voivat olla vain englanniksi. Automaattiset korjaukset toimivat kuitenkin myös muissa Windowsin kieliversioissa.
• Jos et ole tietokoneessa, jossa ongelma ilmenee, voit tallentaa automaattisen korjauksen muistitikkuun tai CD-levylle, ja sen jälkeen voit suorittaa sen tietokoneessa, jossa ongelma ilmenee.

Korjaa TLS 1.1 -ratkaisu Windows-pohjaisissa palvelimissa

Jos haluat ottaa tämän Korjaa ratkaisu -toiminnon käyttöön tai poistaa sen käytöstä, napsauta Korjaa se -painiketta tai linkkiä Ota käyttöön - tai Poista käytöstä - otsikossa. Valitse SuoritaTiedostojen lataaminen -valintaikkunassa ja noudata sitten ohjatun korjaustoiminnon ohjeita.

Käyttöönotto	Disable

Muistiinpanot

• Nämä ohjatut toiminnot voivat olla vain englanniksi. Automaattiset korjaukset toimivat kuitenkin myös muissa Windowsin kieliversioissa.
• Jos et ole tietokoneessa, jossa ongelma ilmenee, voit tallentaa automaattisen korjauksen muistitikkuun tai CD-levylle, ja sen jälkeen voit suorittaa sen tietokoneessa, jossa ongelma ilmenee.

Tämän suojauspäivityksen tunnetut ongelmat

Kun olet asentanut tämän suojauspäivityksen, saatat kohdata todennusvirheen tai yhteyden katkeamisen joihinkin HTTPS-palvelimiin. Tämä ongelma ilmenee, koska tämä suojauspäivitys muuttaa tapaa, jolla tietueet lähetetään HTTPS-palvelimiin.

Jos haluat tilapäisesti poistaa tämän suojauspäivityksen käytöstä tai ottaa sen uudelleen käyttöön, napsauta Korjaa se -painiketta tai -linkkiä Poista suojauspäivitys käytöstä - tai Ota suojauspäivitys uudelleen käyttöön -otsikossa. Valitse SuoritaTiedostojen lataaminen -valintaikkunassa ja noudata sitten ohjatun korjaamistoiminnon ohjeita.

Poista suojauspäivitys käytöstä	Ota suojauspäivitys uudelleen käyttöön

Muistiinpanot

• Nämä ohjatut toiminnot voivat olla vain englanniksi. Automaattiset korjaukset toimivat kuitenkin myös muissa Windowsin kieliversioissa.
• Jos et ole tietokoneessa, jossa ongelma ilmenee, voit tallentaa automaattisen korjauksen muistitikkuun tai CD-levylle, ja sen jälkeen voit suorittaa sen tietokoneessa, jossa ongelma ilmenee.

Seuraavassa taulukossa näkyvät arvot, joita nämä Korjaa-ratkaisut käyttävät SendExtraRecord-rekisterin DWORD-merkinnässä:

Otsikko	SendExtraRecord-merkinnässä käytetty arvo
Poista suojauspäivitys käytöstä	2
Ota suojauspäivitys uudelleen käyttöön	0

Huomautus SendExtraRecord-asetus sisältyy Windowsin tuleviin versioihin.

Tunnettuja ongelmia ja lisätietoja tästä suojauspäivityksestä

Seuraavissa artikkeleissa on lisätietoja tästä suojauspäivityksestä, joka liittyy yksittäisiin tuoteversioihin. Artikkeleissa voi olla tunnettuja ongelmatietoja. Jos näin on, tunnettu ongelma näkyy jokaisen artikkelin linkin alla:

• 2585542 MS12-006: Windowsin Webio-, Winhttp- ja schannel-suojauspäivityksen kuvaus: 10. tammikuuta 2012
• 2638806 MS12-006: Winin suojauspäivityksen kuvaushttp Windows Server 2003 ja Windows XP Professional x64 Edition: 10. tammikuuta 2012

Rekisteritiedot

Ei suositella Emme suosittele, että poistat tämän suojauspäivityksen käytöstä noudattamalla seuraavia ohjeita. Tarjoamme kuitenkin tämän menettelyn skenaarioille, joissa saatat käyttää sovelluksia, jotka eivät ole yhteensopivia tämän suojauspäivityksen kanssa, joka mahdollistaa jaettujen SSL-tietueiden käytön kaikissa sovelluksissa.

Tärkeää Tässä osassa, menetelmässä tai tehtävässä on ohjeita rekisterin muokkaamiseen. Rekisterin virheellinen muokkaaminen voi kuitenkin aiheuttaa vakavia ongelmia. Varmista siksi, että noudatat näitä ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Voit näin palauttaa rekisterin ongelmatilanteessa. Saat lisätietoja rekisterin varmuuskopioinnista ja palauttamisesta napsauttamalla seuraavaa artikkelin numeroa, jolloin voit tarkastella artikkelia Microsoft Knowledge Base -tietokanta -tietokannassa:

322756 Rekisterin varmuuskopiointi ja palauttaminen Windowsissa

Tämä suojauspäivitys määrittää oletusarvoisesti opt-in-tilan schannel-tasolle sovellusten yhteensopivuusongelmien vuoksi. Jos haluat poistaa tämän suojauspäivityksen käytöstä kaikissa sovelluksissa koko järjestelmässä, sinun on lisättävä DWORD-arvo, jonka nimi on SendExtraRecord ja jonka arvo on 2, seuraavaan rekisterin aliavaimiin:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELVoit lisätä tämän schannel-rekisterimerkinnän rekisterimerkinnän seuraavasti:

1. Napsauta Käynnistä, napsauta Suorita, kirjoita regeditAvaa-ruutuun ja napsauta sitten OK.

2. Etsi rekisteristä seuraava aliavain ja napsauta sitä:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

3. Osoita Muokkaa-valikon Uusi-kohtaa ja napsauta sitten DWORD-arvo.

4. Kirjoita DWORD-arvon nimeksi SendExtraRecord ja paina sitten Enter-näppäintä.

5. Napsauta SendExtraRecord-kohtaa hiiren kakkospainikkeella ja valitse sitten Muokkaa.

6. Kirjoita Arvotiedot-ruutuun 2, jos haluat poistaa jaetun tietueen käytöstä schannelissa, ja valitse sitten OK.

7. Sulje Rekisterieditori.

Tässä rekisterimerkinnässä voi olla kolme arvoa, ja jokaisessa arvossa on eri toimintatilat:

Rekisteriavaimen arvo	Kuvaus
0	Oletusarvoisesti schannel sisältyy optin-tilaan. Tämä tarkoittaa, että tämä suojauspäivitys toimii kaikille soittajille, jotka lähettävät Suojatun lipun schanneliin. Suojauspaketti ei luo SendExtraRecord-schannel-rekisterimerkintää. Siksi mikään schannel-rekisterimerkintä ei merkitse sitä, että järjestelmä suorittaa tätä tilaa. Jos joku luo tämän rekisteriavaimen ja määrittää arvoksi 0, schannel suoritetaan uudelleen tässä tilassa. Tällä asetuksella on sama vaikutus kuin sillä, että tätä rekisterimerkintää ei luoda lainkaan. Sovellukset, jotka lähettävät suojatun merkinnän schanneliin istunnon alustuksen aikana, käyttävät vain kiinteää suojattua koodipolkua. Muissa sovelluksissa schankolin toiminta ei muutu. Tämä suojauspäivitys korjaa myös verkkoselaamiseen liittyvät sovelluskerrokset lähettämällä suojatun merkinnän Internet Explorerin avulla selaimen käyttöskenaariojen suojaamiseksi. Huomautus Windows Server 2003 suojauspäivityksen 2638806 on oltava asennettuna WinHTTP -ohjelmointirajapintoja käyttävien HTTP-asiakassovellusten suojaamiseksi. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jotta voit tarkastella artikkelia Microsoft Knowledge Base -tietokanta -tietokannassa: 2638806 MS12-006: Winin suojauspäivityksen kuvaushttp Windows Server 2003 ja Windows XP Professional x64 Edition: 10. tammikuuta 2012
1	Arvon asettaminen arvoksi 1 tarkoittaa "käytössä kaikille". Tämä tarkoittaa, että soittajien ei tarvitse lähettää lippua, ja schannel jakaa kaikki SSL-tietueet. Tämän arvojoukon avulla sovellusten ei tarvitse tehdä muutoksia. Asiakas, joka on erittäin huolissaan järjestelmän suojauksesta, voi auttaa tekemään järjestelmästään turvallisemman ottamalla tämän rekisteriavaimen käyttöön.
2	Arvon asettaminen arvoksi 2 tarkoittaa "ei käytössä kaikille". Tämä tarkoittaa, että schannel ei jaa sovelluksen minkään salauspuhelun tietueita. Tämä tila ei kunnioita sovelluksen lähettämää suojattua merkintää.

Sisäisen testauksen perusteella havaitsimme, että rekisteriarvoa ei voi määrittää arvoksi 1, koska se voi rikkoa liian monta skenaariota yrityksessä. Siksi emme halua käyttäjien käyttävän sitä.

SendExtraRecord-rekisterimerkinnän käyttöönottoon liittyvät tunnetut ongelmat

• SendExtraRecord-rekisteriarvon asettaminen arvoksi 1 pakottaa tietueiden jakamisen jokaisessa puhelussa tietojen salaamiseksi schannelissa. Näin tapahtuu riippumatta siitä, lähettikö soittaja suojatun merkinnän istunnon alustamisen aikana.
• Monet schannelia käyttävät sovellukset kirjoitetaan siten, että vastaanotinpuoli olettaa, että sovellustiedot pakataan yhteen pakettiin. Näin tapahtuu, vaikka sovellus kutsuu schannelia salauksen purkamiseksi. Sovellukset ohittavat schankolin määrittämän merkinnän. Merkintä ilmaisee sovellukselle, että on enemmän tietoja, jotka vastaanottajan on purettava ja noudettava. Tämä menetelmä ei noudata MSDN:n määräämää schannel-menetelmää. Koska suojauspäivitys pakottaa tietueiden jakamisen, tämä katkaisee tällaiset sovellukset.
• Rikkoutuneita sovelluksia ovat Microsoft-tuotteet ja pakkauksen sisällä olevat osat. Seuraavassa on esimerkkejä skenaarioista, jotka saattavat katketa, kun SendExtraRecord-rekisteriarvoksi on määritetty 1:
• • Kaikki SQL-tuotteet ja SOVELLUKSET, jotka on sisäänrakennettu SQL:ään.
  • Päätepalvelimet, joissa on verkkotason todennus (NLA) käytössä. NLA on oletusarvoisesti käytössä Windows Vistassa ja uudemmissa Windows-versioissa.
  • Jotkin Reititys etäkäyttöpalvelun (RRAS) skenaariot.

SendExtraRecord-rekisteriarvon asettaminen arvoon 1 pakottaa suojattujen tietueiden jakamisen kaikkiin Sovelluksiin, jotka käyttävät Windows TLS/SSL:ää. Tällä asetuksella on kuitenkin todennäköisesti sovellusten yhteensopivuusongelmia. Siksi suosittelemme, että asiakkaat määrittävät TLS 1.1:n ja TLS 1.2:n tämän rekisteriasetuksen käyttämisen sijaan. TLS 1.1 ja TLS 1.2 eivät ole alttiita tälle ongelmalle.

Jos käyttäjä aikoo käyttää tätä rekisteriasetusta, suosittelemme, että hän testaa sovellusten yhteensopivuustestauksen laajasti ennen sen käyttöönottoa. Joitakin yleisiä tuotteita, joihin tämä asetus vaikuttaa, ovat Microsoft SQL -tuotteet, Windows-pääte Server ja Windows Remote Access Server.

Usein kysytyt kysymykset

K: Miten Microsoft voi auttaa minua korjaamaan palvelinpuolen sovellukseni?
V: Varmista, että sovellus pystyy käsittelemään SSL/TLS-sovellustietueiden pirstoutumisen seuraavissa tarjouspyyntötiedoissa kuvatulla tavalla:

• TLS 1.0: http://www.ietf.org/rfc/rfc2246.txt kappale 6.2.1
• SSL 3.0: http://www.ietf.org/rfc/rfc6101.txt kappale 5.2.1