MS12-006 : Une vulnérabilité dans SSL/TLS pourrait autoriser la divulgation d’informations : 10 janvier 2012

S’applique à
Windows 7 Service Pack 1 Windows 7 Enterprise Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Home Basic Windows 7 Enterprise Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Home Basic Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows XP Professional x64 Edition

INTRODUCTION

Microsoft a publié le bulletin de sécurité MS12-006. Pour afficher le bulletin de sécurité complet, accédez à l’un des sites web Microsoft suivants :

Procédure pour obtenir de l’aide et un support pour cette mise à jour de sécurité

Aide à l'installation des mises à jour :
Support pour Microsoft Update

Solutions de sécurité pour professionnels de l’informatique :
Résolution des problèmes de sécurité et support TechNet

Protégez votre ordinateur Windows des virus et des logiciels malveillants :
Aide et Support pour les problèmes de virus et de sécurité

Support local selon votre pays :
International Support

Résolution automatique

Deux solutions fix it sont disponibles.

  • Solution de correction pour TLS (Transport Layer Security) 1.1 dans Internet Explorer : cette solution active TLS 1.1, qui n’est pas affecté par cette vulnérabilité, dans Windows Internet Explorer. La plupart des utilisateurs classiques doivent installer cette solution de correction.
  • Correction de la solution pour TLS 1.1 sur les serveurs Windows : cette solution active TLS 1.1, qui n’est pas affectée par la vulnérabilité.

Les solutions fix it décrites dans cette section ne sont pas destinées à remplacer les mises à jour de sécurité. Nous vous recommandons de toujours installer les dernières mises à jour de sécurité. Toutefois, nous proposons ces solutions fix it comme solutions de contournement pour certains scénarios. 

Pour plus d’informations sur les solutions de contournement, consultez le bulletin de sécurité MS12-006 :

http://technet.microsoft.com/security/bulletin/ms12-006 Le bulletin fournit plus d’informations sur le problème et inclut les éléments suivants :

  • Scénarios dans lesquels vous pouvez appliquer ou désactiver la solution de contournement
  • Facteurs atténuants
  • Solutions de contournement
  • Forum aux questions

Plus précisément, pour afficher ces informations, recherchez la section Informations sur les vulnérabilités, puis développez le paragraphe Solutions de contournement sous le paragraphe Vulnérabilité des protocoles SSL et TLS - CVE-2011-3389.

Correction de la solution pour TLS 1.1 sur Internet Explorer

Pour activer ou désactiver cette solution, cliquez sur le bouton Corriger ou sur le lien sous le titre Activer ou Désactiver . Cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier, puis suivez les étapes de l’Assistant Correction.

propriété Disable

Notes

  • Ces Assistants peuvent être en anglais uniquement. Toutefois, les correctifs automatiques fonctionnent également pour d’autres versions linguistiques de Windows.
  • Si vous n’êtes pas sur l’ordinateur qui rencontre le problème, vous pouvez enregistrer le correctif automatique sur un lecteur flash ou un CD, puis l’exécuter sur l’ordinateur qui rencontre le problème.

Correction de la solution pour TLS 1.1 sur les serveurs Windows

Pour activer ou désactiver cette solution, cliquez sur le bouton Corriger ou sur le lien sous le titre Activer ou Désactiver . Cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier, puis suivez les étapes de l’Assistant Correction.

propriété Disable

Notes

  • Ces Assistants peuvent être en anglais uniquement. Toutefois, les correctifs automatiques fonctionnent également pour d’autres versions linguistiques de Windows.
  • Si vous n’êtes pas sur l’ordinateur qui rencontre le problème, vous pouvez enregistrer le correctif automatique sur un lecteur flash ou un CD, puis l’exécuter sur l’ordinateur qui rencontre le problème.

Problèmes connus liés à cette mise à jour de sécurité

Après avoir installé cette mise à jour de sécurité, vous pouvez rencontrer un échec d’authentification ou une perte de connectivité à certains serveurs HTTPS. Ce problème se produit car cette mise à jour de sécurité modifie la façon dont les enregistrements sont envoyés aux serveurs HTTPS.

Pour désactiver ou réactiver temporairement cette mise à jour de sécurité, cliquez sur le bouton ou le lien Corriger sous le titre Désactiver la mise à jour de sécurité ou Réactiver la mise à jour de sécurité . Cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier, puis suivez les étapes de l’Assistant Correction.

Désactiver la mise à jour de sécurité Réactiver la mise à jour de sécurité

Notes

  • Ces Assistants peuvent être en anglais uniquement. Toutefois, les correctifs automatiques fonctionnent également pour d’autres versions linguistiques de Windows.
  • Si vous n’êtes pas sur l’ordinateur qui rencontre le problème, vous pouvez enregistrer le correctif automatique sur un lecteur flash ou un CD, puis l’exécuter sur l’ordinateur qui rencontre le problème.

Le tableau suivant montre les valeurs appliquées par ces solutions Fix it à l’entrée DWORD du registre SendExtraRecord :

Rubrique Valeur appliquée à l’entrée SendExtraRecord
Désactiver la mise à jour de sécurité 2
Réactiver la mise à jour de sécurité 0

Remarque Le paramètre SendExtraRecord sera inclus dans les futures versions de Windows.

Problèmes connus et informations supplémentaires relatives à cette mise à jour de sécurité

Les articles suivants contiennent des informations supplémentaires sur cette mise à jour de sécurité, car elle concerne des versions de produit individuelles. Les articles peuvent contenir des informations sur les problèmes connus. Si c’est le cas, le problème connu est répertorié sous chaque lien d’article :

  • 2585542 MS12-006 : Description de la mise à jour de sécurité pour Webio, Winhttp et schannel dans Windows : 10 janvier 2012
  • 2638806 MS12-006 : Description de la mise à jour de sécurité pour Winhttp dans Windows Server 2003 et Windows XP Professionnel Édition x64 : 10 janvier 2012

Informations sur le Registre

Non recommandé Nous vous déconseillons d’utiliser la procédure suivante pour désactiver cette mise à jour de sécurité. Toutefois, nous fournissons cette procédure pour les scénarios dans lesquels vous pouvez utiliser des applications qui ne sont pas compatibles avec cette mise à jour de sécurité, ce qui permet de fractionner les enregistrements SSL pour toutes les applications.

Important : cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Faites attention, car des problèmes sérieux peuvent survenir si vous le modifiez de façon incorrecte. Nous ne saurions trop vous conseiller de suivre ces étapes scrupuleusement. Dans tous les cas, n’oubliez pas de sauvegarder le Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

322756 Comment sauvegarder et restaurer le Registre dans Windows

Par défaut, cette mise à jour de sécurité définit le mode d’inscription au niveau de schannel, en raison de problèmes de compatibilité des applications. Pour désactiver cette mise à jour de sécurité pour toutes les applications à l’échelle du système, vous devez ajouter une valeur DWORD nommée SendExtraRecord et qui a une valeur de 2 à la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELPour ajouter cette entrée de registre d’entrée de registre schannel, procédez comme suit :

  1. Cliquez surDémarrer, puis Exécuter, entrez regedit dans la zone Ouvrir et cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.

  4. Tapez SendExtraRecord pour le nom de la valeur DWORD, puis appuyez sur Entrée.

  5. Cliquez avec le bouton droit sur SendExtraRecord, puis cliquez sur Modifier.

  6. Dans la zone Données de la valeur , tapez 2 pour désactiver l’enregistrement fractionné dans schannel, puis cliquez sur OK.

  7. Quittez l’Éditeur du Registre.

Cette entrée de Registre peut avoir trois valeurs, et chaque valeur fournit différents modes de fonctionnement :

Valeur de la clé de registre Description
0 Par défaut, schannel est inclus dans le « Mode Optin ». Cela signifie que cette mise à jour de sécurité fonctionnera pour tous les appelants qui envoient l’indicateur Secure à schannel. L’entrée de registre schannel « SendExtraRecord » n’est pas créée par le package de sécurité. Par conséquent, aucune entrée de registre schannel signifie que le système exécute ce mode. Si quelqu’un crée cette clé de Registre et définit la valeur sur 0, schannel schannel s’exécute à nouveau dans ce mode.

Ce paramètre a le même effet que de ne pas créer cette entrée de Registre du tout. Les applications qui envoient un indicateur sécurisé à schannel pendant l’initialisation de session n’exercent que le chemin de code sécurisé fixe. Pour les autres applications, il n’y aura aucune modification du comportement de schannel.

Cette mise à jour de sécurité corrige également les couches d’application impliquées dans la navigation web à l’aide d’Internet Explorer pour envoyer l’indicateur Sécurisé, afin de sécuriser les scénarios d’utilisation du navigateur.

Remarque Dans Windows Server 2003, les 2638806 de mise à jour de sécurité doivent être installées pour sécuriser les applications clientes HTTP qui utilisent les API WinHTTP. Pour plus d’informations, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
2638806 MS12-006 : Description de la mise à jour de sécurité pour Winhttp dans Windows Server 2003 et Windows XP Professionnel Édition x64 : 10 janvier 2012
1 Définir la valeur sur 1 signifie « activé pour tous ». Cela signifie que les appelants n’ont pas besoin d’envoyer l’indicateur et que le schannel fractionne tous les enregistrements SSL. Avec cette valeur définie, les applications n’ont pas besoin d’accepter de modification. Un client qui est très préoccupé par la sécurité du système peut aider à rendre son système plus sûr en activant cette clé de Registre.
2 Définir la valeur sur 2 signifie « désactivé pour tous ». Cela signifie que schannel ne fractionne pas les enregistrements pour tout appel de chiffrement que l’application effectue. Ce mode ne respecte pas l’indicateur Sécurisé envoyé par une application.

Sur la base des tests internes, nous avons constaté que vous ne pouvez pas définir la valeur de Registre sur 1, car elle peut interrompre un trop grand nombre de scénarios dans une entreprise. Par conséquent, nous déconseillons aux utilisateurs de l’utiliser.

Problèmes connus liés à l’activation de l’entrée de Registre SendExtraRecord

  • La définition de la valeur de Registre SendExtraRecord sur 1 applique le fractionnement des enregistrements dans chaque appel pour chiffrer les données dans schannel. Cela se produit que l’appelant ait ou non envoyé l’indicateur Sécurisé lors de l’initialisation de la session.
  • De nombreuses applications qui utilisent schannel sont écrites de sorte que le côté récepteur suppose que les données d’application seront regroupées dans un seul paquet. Cela se produit même si l’application appelle schannel pour le déchiffrement. Les applications ignorent un indicateur défini par schannel. L’indicateur indique à l’application qu’il y a plus de données à déchiffrer et à récupérer par le récepteur. Cette méthode ne suit pas la méthode prescrite par MSDN d’utilisation de schannel. Étant donné que la mise à jour de sécurité applique le fractionnement des enregistrements, cela interrompt ces applications.
  • Les applications endommagées incluent les produits Microsoft et les composants in-box. Voici des exemples de scénarios qui peuvent être rompus lorsque la valeur de Registre SendExtraRecord est définie sur 1 :
    • Tous les produits SQL et applications qui sont intégrés à SQL.
    • Serveurs Terminal Server pour authentification au niveau du réseau (NLA) activée. Par défaut, NLA est activé dans Windows Vista et les versions ultérieures de Windows.
    • Certains scénarios RRAS (Routing Remote Access Service).

La définition de la valeur de Registre SendExtraRecord sur 1 applique le fractionnement sécurisé des enregistrements pour toutes les applications qui utilisent Windows TLS/SSL. Toutefois, ce paramètre est susceptible d’avoir des problèmes de compatibilité des applications. Par conséquent, nous recommandons aux clients de configurer TLS 1.1 et TLS 1.2 au lieu d’utiliser ce paramètre de Registre. TLS 1.1 et TLS 1.2 ne sont pas vulnérables à ce problème.

Si un utilisateur a l’intention d’utiliser ce paramètre de Registre, nous lui recommandons de tester largement les tests de compatibilité des applications avant de l’implémenter. Certains produits courants qui sont connus pour être affectés par ce paramètre incluent les produits Microsoft SQL, Terminal Windows Server et Windows Remote Access Server.

FAQ

Q : Que peut faire Microsoft pour m’aider à corriger mon application côté serveur ?
R : Assurez-vous que votre application peut gérer la fragmentation des enregistrements d’application SSL/TLS, comme décrit dans les RFC suivantes :