מבוא
Microsoft פרסמה את עלון אבטחה מס' MS12-006. כדי להציג את עלון האבטחה המלא, בקר באחד מאתרי האינטרנט הבאים של Microsoft:
-
משתמשים ביתיים:
http://www.microsoft.com/security/pc-security/bulletins/201201.aspxדלג על הפרטים: הורד את העדכונים עבור המחשב הביתי או המחשב הנייד מאתר האינטרנט Microsoft Update כעת:
-
מומחי IT:
כיצד להשיג עזרה ותמיכה עבור עדכון אבטחה זה
עבור משתמשים ביתיים, תמיכה ללא תשלום זמינה על-ידי חיוג 1-866-PCSAFETY בארה"ב ובקנדה
(בקר בדף זה למציאת מספר הטלפון המקומי) או על-ידי פנייה לנציגות Microsoft המקומית. לקבלת מידע אודות אופן הפנייה לנציגות Microsoft המקומית לתמיכה בבעיות עם עדכוני אבטחה, בקר באתר האינטרנט של התמיכה הבינלאומית של Microsoft:
http://support.microsoft.com/common/international.aspx?ln=he&rdpath=4 לקוחות מצפון אמריקה יכולים גם לקבל גישה מיידית לתמיכה בלתי מוגבלת ללא תשלום בדואר אלקטרוני או לתמיכה בלתי מוגבלת באמצעות שיחת צ'אט אישית על-ידי ביקור באתר האינטרנט הבא של Microsoft:
http://support.microsoft.com/oas/default.aspx?&prid=7552 עבור לקוחות ארגוניים, תמיכה בעדכוני אבטחה זמינה באמצעות אנשי הקשר הרגילים של התמיכה.
תקנו עבורי
זמינים שני פתרונות תיקון.
-
פתרון תיקון עבור Transport Layer Security (TLS) 1.1 ב-Internet Explorer: הפתרון מאפשר את TLS 1.1, שאינו מושפע מפגיעות זו, ב-Windows Internet Explorer. למרבית המשתמשים הטיפוסיים מומלץ להתקין פתרון תיקון זה.
-
פתרון תיקון עבור TLS 1.1 בשרתים מבוססי Windows: הפתרון מאפשר את TLS 1.1, שאינו מושפע מפגיעות זו.
פתרונות תיקון המתוארים בסעיף זה אינם מהווים תחליף לעדכוני אבטחה כלשהם. אנו ממליצים להתקין תמיד את עדכוני האבטחה העדכניים ביותר. עם זאת, אנו מציעים פתרונות תיקון אלה כאפשרויות מעקף בתרחישים מסוימים.
לקבלת מידע נוסף אודות הדרכים לעקיפת הבעיה, עיין בעלון אבטחה MS12-006:
http://technet.microsoft.com/security/bulletin/MS12-006 עלון המידע מספק מידע נוסף אודות הבעיה וכולל גם:
-
התרחישים שבהם ניתן להחיל או להשבית את הפתרון העוקף
-
גורמים מקלים
-
דרכים לעקיפת הבעיה
-
שאלות נפוצות
במפורש, להצגת מידע זה, חפש את הסעיף פרטים על פגיעות, ואז הרחב את הפסקה פתרונות לעקיפת הבעיה תחת הפסקה פגיעות פרוטוקולים מסוג SSL ו-TLS - CVE-2011-3389.
פתרון תיקון עבור TLS 1.1 ב-Internet Explorer
כדי להפעיל או להשבית פתרון תיקון זה, לחץ על הלחצן או הקישור תיקון תחת הכותרת הפעל או הכותרת השבת. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ובצע את הצעדים באשף התיקון.
הפעל |
הפוך ללא זמין |
---|---|
הערות
-
ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.
-
אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.
פתרון תיקון עבור TLS 1.1 בשרתים מבוססי Windows
כדי להפעיל או להשבית פתרון תיקון זה, לחץ על הלחצן או הקישור תיקון תחת הכותרת הפעל או הכותרת השבת. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ובצע את הצעדים באשף התיקון.
הפעל |
הפוך ללא זמין |
---|---|
הערות
-
ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.
-
אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.
בעיות מוכרות בעדכון אבטחה זה
לאחר התקנת עדכון אבטחה זה, ייתכן שתיתקל בכשל אימות או אובדן קישוריות לשרתי HTTPS אחדים. בעיה זו מתרחשת מכיוון שעדכון אבטחה זה משנה את האופן שבו רשומות נשלחות אל שרתי HTTPS.
כדי להשבית זמנית או להפעיל מחדש עדכון זה, לחץ על הלחצן או הקישור תיקון תחת הכותרת השבת את עדכון האבטחה או הכותרת הפעל מחדש את עדכון האבטחה. לחץ על הפעלה בתיבת הדו-שיח הורדת קובץ ופעל בהתאם לשלבים באשף התיקון.
השבת את עדכון האבטחה |
הפעל מחדש את עדכון האבטחה |
---|---|
הערות
-
ייתכן שאשפים אלה מוצגים באנגלית בלבד. עם זאת, התיקונים האוטומטיים פועלים גם עבור גרסאות של Windows בשפות אחרות.
-
אם אינך נמצא מול המחשב שבו אירעה הבעיה, תוכל לשמור את התיקון האוטומטי בכונן הבזק או בתקליטור ולאחר מכן תוכל להפעיל אותו במחשב שבו אירעה הבעיה.
הטבלה הבאה מציגה את הערכים המוחלים על-ידי פתרונות תיקון אלה לערך DWORD ברישום SendExtraRecord:
כותרת |
ערך המוחל על ערך SendExtraRecord |
---|---|
השבת את עדכון האבטחה |
2 |
הפעל מחדש את עדכון האבטחה |
0 |
בעיות ידועות ומידע נוסף אודות עדכון אבטחה זה
המאמרים הבאים מכילים מידע נוסף אודות עדכון אבטחה זה כפי שהוא מתייחס לגירסאות מוצר שונות. המאמרים עשויים להכיל מידע על בעיות מוכרות. במקרה זה, הבעיה המוכרת רשומה מתחת לכל קישור למאמר:
פרטי רישום
לא מומלץ אנו לא ממליצים להשתמש בתהליך הבא להשבתת עדכון אבטחה זה. עם זאת, אנו מספקים תהליך זה עבור תרחישים שבהם ייתכן שאתה משתמש ביישומים שאינם תואמים לעדכון אבטחה זה, המאפשר רשומות SSL מפוצלות עבור כל היישומים.
חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת תוספת הגנה, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756כיצד לגבות ולשחזר את הרישום ב- Windows
כברירת מחדל, עדכון אבטחה זה מגדיר מצב Opt-in ברמת schannel, עקב בעיות של תאימות יישומים. כדי להשבית עדכון אבטחה זה עבור כל היישומים ברמת המערכת, עליך להוסיף ערך DWORD בשם SendExtraRecord בעל ערך של 2 למפתח המשנה הבא של הרישום:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL כדי להוסיף ערך רישום schannel זה, בצע את הפעולות הבאות:
-
לחץ על התחל, לחץ על הפעלה, הקלד regedit בתיבה פתח את, ולאחר מכן לחץ על אישור.
-
אתר את מפתח המשנה הבא ברישום ולחץ עליו:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
-
בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.
-
הקלד SendExtraRecord כשמו של DWORD ולאחר מכן הקש ENTER.
-
לחץ באמצעות לחצן העכבר הימני על SendExtraRecord ולאחר מכן לחץ על שנה.
-
בתיבה נתוני ערך, הקלד 2 כדי להשבית את הרשומה המפוצלת ב-schannel ולאחר מכן לחץ על אישור.
-
צא מעורך הרישום.
ערך רישום זה יכול לכלול שלושה ערכים, המספקים מצבי פעולה שונים:
ערך מפתח Reg |
תיאור |
---|---|
0 |
כברירת מחדל, schannel נכלל ב-""Optin Mode". פירוש הדבר הוא שעדכון אבטחה זה יפעל עבור כל המתקשרים השולחים את הדגל Secure אל schannel. ערך הרישום "SendExtraRecord" של schannel לא ייווצר על-ידי חבילת האבטחה. לכן, העדר ערך רישום של schannel משמעו שהמערכת פועלת במצב זה. אם מישהו יוצר מפתח רישום זה ומגדיר את הערך ל-0, schannel יפעל שוב במצב זה. 2638806 MS12-006: תיאור של עדכון האבטחה עבור Winhttp ב-Windows Server 2003 וב-Windows XP Professional x64 Edition: 10 בינואר 2012 |
1 |
קביעת ערך של 1 פירושה "מופעל עבור הכול". משמעות הדבר היא שמתקשרים לא צריכים לשלוח את הדגל, schannel יפצל את כל הרשומות ב-SSL. עם הגדרת ערך זה, יישומים אינם צריכים לבצע כל שינוי. לקוח שמודאג מאוד מאבטחת המערכת יכול לסייע באבטחת המערכת שלו על-ידי הפעלת מפתח רישום זה. |
2 |
קביעת ערך של 2 פירושה "מושבת עבור הכול". משמעות הדבר היא ש- schannel לא יפצל את הרשומות עבור קריאת הצפנה כלשהי שהיישום מבצע. מצב זה לא מכבד את הדגל Secure אשר יישום שולח. |
על סמך בדיקות פנימיות, גילינו שלא ניתן לקבוע בפועל את ערך הרישום ל- 1 מכיוון שהדבר עלול להפר תרחישים רבים מדי בארגון. לכן, אנו מרתיעים משתמשים מלהשתמש בו.
בעיות מוכרות עם הפעלת את ערך הרישום SendExtraRecord
-
הגדרת ערך הרישום SendExtraRecord ל- 1 אוכפת פיצול רשומות בכל קריאה להצפנת נתונים ב-schannel. דבר זה מתרחש ללא קשר אם הגורם הקורא שלח את דגל Secure במהלך אתחול התקשרות.
-
יישומים רבים המשתמשים ב-schannel נכתבים כך שהצד המקבל מניח שנתוני יישום יהיו ארוזים בחבילה בודדת. מצב זה מתרחש למרות שהיישום מתקשר אל schannel לצורך פענוח. היישומים מתעלמים מדגל שמוגדר על-ידי schannel. הדגל מציין ליישום שקיימים נתונים נוספים לפענוח ולאיסוף על-ידי המקבל. שיטה זו אינה פועלת לפי השיטה המומלצת על-ידי MSDN לשימוש ב-schannel. מאחר שעדכון האבטחה אוכף פיצול רשומה, הדבר פוגע ביישומים כאלה.
-
יישומים שנפגעים כוללים מוצרי Microsoft ורכיבים "בקופסה". להלן דוגמאות לתרחישים שעלולים להיפגע כאשר ערך הרישום SendExtraRecord נקבע ל-1:
-
-
כל מוצרי SQL, ויישומים בנויים על SQL.
-
שרתי מסוף בהם מופעל אימות ברמת הרשת (NLA). כברירת מחדל, NLA מופעל ב-Windows Vista ובגירסאות מתקדמות יותר של Windows.
-
מספר תרחישי Routing Remote Access Service (RRAS).
-
הגדרת ערך הרישום SendExtraRecord ל- 1 אוכפת את פיצול הרשומות המאובטח עבור כל היישומים המשתמשים ב- TLS/SSL של Windows. עם זאת, סביר שהגדרה זו תגרום לבעיות של תאימות יישומים. לכן, אנו ממליצים ללקוחות להגדיר TLS 1.1 ו- TLS 1.2 במקום להשתמש בהגדרת רישום זו. TLS 1.1 ו- TLS 1.2 אינם חשופים לבעיה זו.
אם משתמש מתכוון להשתמש בהגדרת רישום זו, מומלץ לבצע בדיקות נרחבות של תאימות יישומים לפני מימוש פתרון זה. חלק מהמוצרים הנפוצים הידועים כמושפעים מהגדרה זו כוללים מוצרי Microsoft SQL, Windows Terminal Server, ו-Windows Remote Access Server.
תשובות לשאלות נפוצות
ש: מה יכולה Microsoft לעשות כדי לסייע לי לתקן את היישום שלי בצד השרת?
ת: ודא שהיישום שלך יכול לטפל בפיצול של רשומות יישום SSL/TLS, כמתואר באתרים הבאים: