MS12-006: Az SSL/TLS biztonsági rése az adatok kiszivárgását teheti lehetővé: 2012. január 10.

BEVEZETÉS

A Microsoft közzétette az MS12-006 jelű biztonsági közleményt, amelynek teljes szövege a Microsoft alábbi webhelyein tekinthető meg:

Támogatás és segítségnyújtás a biztonsági frissítéshez

Az otthoni felhasználók az Amerikai Egyesült Államokban és Kanadában díjmentes telefonos támogatást kaphatnak az 1-866-PCSAFETY telefonszámon: Más országokban élő ügyfeleinket arra kérjük, lépjenek kapcsolatba a Microsoft helyi képviseletével. A biztonsági frissítésekhez támogatást nyújtó helyi Microsoft-képviseletek elérhetőségéről az alábbi nemzetközi támogatási webhelyen tájékozódhat: Az észak-amerikai ügyfelek továbbá ingyenes és korlátlan e-mailes, illetve csevegőprogramon keresztüli egyedi támogatást is kaphatnak a Microsoft alábbi webhelyén: A vállalati ügyfelek a szokásos támogatási csatornáikon keresztül kaphatnak támogatást a biztonsági frissítésekhez.

Automatikus javítás

Két automatikus javítás érhető el.
  • Automatikus javítás a Transport Layer Security (TLS) 1.1 protokollhoz az Internet Explorer böngészőben: A megoldás engedélyezi a biztonsági rés által nem érintett TLS 1.1 protokollt a Windows Internet Explorer böngészőben. A legtöbb felhasználónak ezt az automatikus javítást kell telepítenie.
  • Automatikus javítás a TLS 1.1 protokollhoz Windows-alapú kiszolgálókon: A megoldás engedélyezi a biztonsági rés által nem érintett TLS 1.1 protokollt.
A jelen szakaszban ismertetett automatikus javítások nem helyettesítik a biztonsági frissítéseket. A Microsoft azt javasolja, hogy mindig telepítse a legfrissebb biztonsági frissítéseket. Ezek az automatikus javítások azonban egyes helyzetekben kerülő megoldásként alkalmazhatók.

A kerülő megoldásokkal kapcsolatos további információt az MS12-006 jelű biztonsági közleményben talál: A közlemény további információt biztosít a problémáról, és tartalmazza a következőket:
  • Helyzetek, amikor alkalmazhatja, illetve amikor letilthatja a kerülő megoldást
  • A hibát enyhítő tényezők
  • Kerülő megoldások
  • Gyakori kérdések
Ennek az információnak a megtekintéséhez keresse meg A biztonsági réssel kapcsolatos tudnivalók fejlécet, és Az SSL és TLS protokollok biztonsági rése - CVE-2011-3389 csomópont alatt bontsa ki a Kerülő megoldások szakaszt.

Automatikus javítás a TLS 1.1 protokollhoz az Internet Explorer böngészőben

Az automatikus javítás engedélyezéséhez vagy letiltásához kattintson A probléma javítása gombra vagy hivatkozásra az Engedélyezés vagy a Letiltás szakaszcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
EngedélyezésLetiltás

Megjegyzések

  • Előfordulhat, hogy a varázslók csak angol nyelven érhetők el. Az automatikus javítások ugyanakkor a Windows többi nyelvi verziójával is működnek.
  • Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy flash meghajtóra vagy CD lemezre, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.

Automatikus javítás a TLS 1.1 protokollhoz a Windows-alapú kiszolgálókon

Az automatikus javítás engedélyezéséhez vagy letiltásához kattintson A probléma javítása gombra vagy hivatkozásra az Engedélyezés vagy a Letiltás szakaszcím alatt. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
EngedélyezésLetiltás

Megjegyzések

  • Előfordulhat, hogy a varázslók csak angol nyelven érhetők el. Az automatikus javítások ugyanakkor a Windows többi nyelvi verziójával is működnek.
  • Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy flash meghajtóra vagy CD lemezre, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.

A biztonsági frissítéssel kapcsolatos ismert problémák

A biztonsági frissítés telepítését követően néhány HTTP-kiszolgálóval kapcsolatban sikertelen hitelesítést, illetve a kapcsolat megszakadását tapasztalhatja. Ennek a problémának az oka, hogy a biztonsági frissítés módosítja a rekordok küldésének módját a HTTPS-kiszolgálók felé. 

A biztonsági frissítés ideiglenes letiltásához vagy ismételt engedélyezéséhez kattintson a Probléma javítása gombra, illetve a A biztonsági frissítés letiltása vagy a A biztonsági frissítés ismételt engedélyezése alcím alatti hivatkozásra. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.
A biztonsági frissítés letiltása A biztonsági frissítés ismételt engedélyezése
Megjegyzések
  • Előfordulhat, hogy a varázslók csak angol nyelven érhetők el. Az automatikus javítások ugyanakkor a Windows többi nyelvi verziójával is működnek.
  • Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy flash meghajtóra vagy CD lemezre, majd futtassa azon a számítógépen, amelyen a hiba jelentkezik.
A következő táblázat az automatikus javítási megoldások által a beállításjegyzék SendExtraRecord duplaszó-bejegyzésén alkalmazott értékeket mutatja:

Címsor A SendExtraRecord bejegyzésen alkalmazott érték
A biztonsági frissítés letiltása 2
A biztonsági frissítés ismételt engedélyezése 0

A biztonsági frissítéssel kapcsolatos ismert problémák és további információk

A következő cikkek további információt tartalmaznak a biztonsági frissítésről az egyes termékverziókhoz kapcsolódóan. A cikkek tartalmazhatnak ismert problémákra vonatkozó tudnivalókat is. Ebben az esetben az ismert problémák az egyes cikkhivatkozások alatt szerepelnek:
  • 2585542 MS12-006: A Windows Webio, Winhttp és schannel biztonsági frissítésének ismertetése: 2012. január 10.
  • 2638806 MS12-006: A Windows Server 2003 vagy Windows XP Professional x64 Edition rendszerek Winhttp biztonsági frissítése: 2012. január 10.

A beállításjegyzékkel kapcsolatos információk

Nem ajánlott A biztonsági frissítések letiltása nem ajánlott a következő eljárás használatával. Ennek ellenére elérhetővé tesszük ezt az eljárást azokra a lehetséges esetekre, ha olyan alkalmazásokat használna, amelyek nem kompatibilisek a biztonsági frissítéssel, ami lehetővé teszi osztott SSL-rekordok elérését az összes alkalmazás számára.

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat. Ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről a módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben


A frissítés az alkalmazáskompatibilitási problémák miatt az schannel szintjén az engedélyezési módot állítja be alapértelmezés szerint. Ha a rendszer minden alkalmazása számára tiltani szeretné a biztonsági frissítést, adja hozzá a 2 értékű, SendExtraRecord elnevezésű duplaszót a beállításjegyzékbeli következő kulcshoz:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Az schannel beállításjegyzékbeli bejegyzésének hozzáadásához kövesse az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot, majd kattintson rá:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Mutasson a Szerkesztés menü Új elemére, majd kattintson a Duplaszó parancsra.
  4. Adja meg a SendExtraRecord értéket a duplaszó neveként, majd nyomja le az ENTER billentyűt.
  5. Kattintson jobb gombbal a SendExtraRecord bejegyzésre, majd kattintson a Módosítás parancsra.
  6. Az Érték mezőbe írja be a 2 értéket az schannel osztott rekordjának letiltásához, majd kattintson az OK gombra.
  7. Zárja be a beállításszerkesztőt.
Ez a beállításjegyzékbeli bejegyzés három értéket vehet fel, amelyek mindegyike különböző működési módokat tesz elérhetővé:

Beállításkulcs értéke Leírás
0Alapértelmezés szerint az schannel az „engedélyezési módban” van. Ez azt jelenti, hogy a biztonsági frissítés minden olyan hívó számára működni fog, akik a Biztonságos jelzőt küldik az schannel számára. A biztonsági csomag nem hozza létre az schannel "SendExtraRecord" beállításjegyzékbeli bejegyzését. Ezért az schannel beállításjegyzékbeli bejegyzésének hiánya azt jelenti, hogy a rendszer ebben a módban fut. Ha valaki létrehozza a beállításkulcsot, majd 0 értéket ad meg a számára, az schannel ismét ebben a módban fut majd.

Ez a beállítás ugyanazt eredményezi, mintha nem is jött volna létre a beállításjegyzékbeli bejegyzés. Azok az alkalmazások, amelyek a Biztonságos jelzőt küldik a munkamenet inicializálása alatt az schannel számára, csak a rögzített biztonságos kód útvonalát fogják használni. A többi alkalmazás esetében nem lesz változás az schannel viselkedésében.

A biztonsági frissítés kijavítja a webböngészésben érintett alkalmazási rétegeket azáltal, hogy az Internet Explorer segítségével küldi a Biztonságos jelzést, ezzel elősegítve a böngészőhasználati esetek biztonságosabbá tételét.

Megjegyzés: Windows Server 2003 rendszer esetén a 2638806. számú biztonsági frissítés telepítése elengedhetetlen az ezen WinHTTP API felületeket kihasználó HTTP-ügyfélalkalmazások biztonságosabbá tétele érdekében. További információkért kattintson az alábbi cikkszámra a Microsoft Tudásbázis megfelelő cikkének megtekintéséhez:
2638806 MS12-006: A Windows Server 2003 vagy Windows XP Professional x64 Edition rendszerek Winhttp biztonsági frissítése: 2012. január 10.
1 Az 1 érték beállítása az „összes részére engedélyezve” módot jelenti. Ez azt jelenti, hogy a hívóknak nem kell elküldeniük a jelzést, és az schannel minden SSL-rekordot feloszt. Ha ez az érték van beállítva, az alkalmazásokon nincs szükség változtatásra. Azok az ügyfelek, akik aggódnak a rendszer biztonsága miatt, ennek a beállításkulcsnak az engedélyezésével javíthatják a rendszerük biztonságát.
2 A 2 érték beállítása az „összes részére tiltva” módot jelenti. Ez azt jelenti, hogy az schannel az alkalmazás egyetlen titkosítási hívásának rekordjait sem osztja fel. Ez a mód nem veszi figyelembe az alkalmazások által küldött Biztonságos jelzést.
A belső tesztelés alapján úgy találtuk, hogy a beállításjegyzékbeli érték 1 értékűre állítása nem kivitelezhető, mivel túl sok esetben okoz hibát a vállalati környezetekben. Ezért nem ajánljuk a felhasználók számára a használatát.

A SendExtraRecord beállításjegyzékbeli bejegyzés engedélyezésével kapcsolatos, ismert problémák

  • A SendExtraRecord beállításjegyzékbeli bejegyzés 1 értékűre állítása minden adattitkosítási hívásra érvényesíti a rekordok felosztását az schannel esetében. Ez mindenképp megtörténik, akár elküldte a hívó a Biztonságos jelzőt a munkamenet inicializálásakor, akár nem.
  • Számos olyan alkalmazás, amely az schannelt használja úgy van megírva, hogy a fogadó oldal feltételezi azt, hogy az alkalmazásadatok egyetlen csomagba lettek csomagolva. Ez annak ellenére is így van, hogy az alkalmazás meghívja az schannelt a visszafejtés érdekében. Az alkalmazások nem veszik figyelembe az schannel által beállított jelzést. A jelző jelzi az alkalmazásnak, hogy további adatok várnak visszafejtésre, illetve fogadó általi fogadásra. Ez a módszer nem követi az schannel használatának az MSDN által előírt módját. Mivel a biztonsági frissítés kényszeríti a rekordok felosztását, ezért ez az ilyen alkalmazások működési hibáját okozza.
  • A hibás működésű alkalmazások közé tartoznak a Microsoft termékek és a beépített összetevők. A következő példák olyan helyzeteket mutatnak be, amelyek hibás működést okozhatnak abban az esetben, ha a SendExtraRecord beállításkulcs értéke 1:
    • Minden SQL-termék, illetve olyan alkalmazások, amelyek az SQL-re épülnek.
    • Azok a terminálkiszolgálók, amelyek esetében a hálózati szintű hitelesítés (NLA) be van kapcsolva. Windows Vista és későbbi Windows verziók esetében az NLA alapértelmezés szerint engedélyezve van.
    • Egyes Routing Remote Access Service (RRAS) szolgáltatások folyamatai.
A SendExtraRecord beállításkulcs 1 értékűre állítása kikényszeríti a biztonsági rekordok felosztását minden Windows TLS/SSL protokollt használó alkalmazás esetén. De ez a beállítás okozhat alkalmazáskompatibilitási problémákat. Ezért azt javasoljuk, hogy az ügyfelek konfigurálják a TLS 1.1 és TLS 1.2 protokollokat ennek a beállításjegyzékbeli beállításnak a használata helyett. A TLS 1.1 és a TLS 1.2 a biztonsági rés által nem érintett.

Amennyiben egy felhasználó használni kívánja ezt a beállításjegyzékbeli beállítást, azt javasoljuk, hogy mélyrehatóan vizsgálja meg az alkalmazások kompatibilitását a használata előtt. Néhány azon gyakori termékek közül, amelyekre ez a beállítás hatással lehet: a Microsoft SQL termékek, a Windows Terminálkiszolgáló, valamint a Windows Távelérési kiszolgáló.

Gyakori kérdések

K: Hogyan segíthet a Microsoft a kiszolgálóoldali alkalmazásom javításában?
V: Győződjön meg arról, hogy az alkalmazás tudja kezelni az SSL/TLS alkalmazásrekordok töredezettségét a következő RFC-dokumentumokban leírt módon:
Tulajdonságok

Cikkazonosító: 2643584 - Utolsó ellenőrzés: 2012. jan. 26. - Verziószám: 1

Visszajelzés