現在オフラインです。再接続するためにインターネットの接続を待っています

[MS12-006] SSL/TLS の脆弱性により、情報漏えいが起こる(2012 年 1 月 10 日)

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

はじめに
マイクロソフトはセキュリティ情報 MS12-006 を公開しました。セキュリティ情報の詳細を参照するには、次のいずれかのマイクロソフト Web サイトにアクセスしてください。

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法

更新プログラムのインストールに関するヘルプ: Windows Update サポート ページ

IT プロフェッショナルのためのセキュリティ ソリューション: セキュリティに関するトラブルシューティングとサポート

ウイルスとマルウェアから Windows を搭載しているコンピューターを保護する: ウイルスとセキュリティ サポート ページ

国ごとのローカル サポート: その他の地域のサポート

Fix it で解決する
以下の 2 つの Fix it ソリューションを利用できます。
  • Internet Explorer 上の Transport Layer Security (TLS) 1.1 用の Fix it ソリューション: ソリューションは Windows Internet Explorer 上の TLS 1.1 を有効にしますが、この脆弱性の影響を受けることはありません。通常のユーザーはこの Fix it ソリューションをインストールする必要があります。
  • Windows ベースのサーバー上の TLS 1.1 用の Fix it ソリューション: ソリューションは TLS 1.1 を有効にしますが、脆弱性の影響を受けることはありません。
このセクションに記載されている Fix it ソリューションは、セキュリティ更新プログラムに代わるものではありません。常に、最新のセキュリティ更新プログラムをインストールすることをお勧めします。ただし、一部の状況用に、回避策オプションとしてこれらの Fix it ソリューションを提供します。

回避策の詳細については、セキュリティ情報 MS12-006 を参照してください。 このセキュリティ情報には、次の情報を含む、問題に関する詳細情報が記載されています。
  • 回避策を適用または無効にする状況
  • 問題を緩和する要素
  • 回避策
  • よく寄せられる質問
具体的に、この情報を表示するには、[脆弱性の情報] セクションを探し、[SSL および TLS プロトコルの脆弱性 - CVE-2011-3389] の下の [回避策] を展開します。

Internet Explorer 上の TLS 1.1 用の Fix it ソリューション

この Fix it ソリューションを有効または無効にするには、[有効にする] または [無効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、このウィザードの手順に従います。
有効にする無効にする

注意事項

  • これらのウィザードは英語版のみとなります。自動的な解決は英語版以外の Windows でも機能します。
  • 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。

Windows ベースのサーバー上の TLS 1.1 用の Fix it ソリューション

この Fix it ソリューションを有効または無効にするには、[有効にする] または [無効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、このウィザードの手順に従います。
有効にする無効にする

注意事項

  • これらのウィザードは英語版のみとなります。自動的な解決は英語版以外の Windows でも機能します。
  • 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。

このセキュリティ更新プログラムに関する既知の問題

このセキュリティ更新プログラムをインストールした後に、認証エラーまたは一部の HTTPS サーバーへの接続の切断が発生することがあります。この問題は、セキュリティ更新プログラムによって、HTTPS サーバーへのレコードの送信方法が変更されるために発生します。

このセキュリティ更新プログラムを一時的に無効または再び有効にするには、[セキュリティ更新プログラムを無効にする] または [セキュリティ更新プログラムを再び有効にする] 見出しの下の [この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、このウィザードの手順に従います。
セキュリティ更新プログラムを無効にする セキュリティ更新プログラムを再び有効にする
注意事項
  • これらのウィザードは英語版のみとなります。自動的な解決は英語版以外の Windows でも機能します。
  • 問題のあるコンピューターとは別のコンピューターを操作している場合、自動的な解決ツールをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。
次の表に、これらの Fix it ソリューションによって SendExtraRecord registry DWORD エントリに適用される値を示します。
見出し SendExtraRecord エントリに適用される値
セキュリティ更新プログラムを無効にする 2
セキュリティ更新プログラムを再び有効にする 0
注: SendExtraRecord 設定は Windows の今後のリリースに含まれる予定です。

既知の問題およびこのセキュリティ更新プログラムの追加情報

以下の資料では製品バージョン別に、このセキュリティ更新プログラムに関する追加情報が掲載されています。資料には、既知の問題に関する情報が掲載されている可能性があります。この場合、各資料のリンクの下に既知の問題が列記されています。
  • 2585542 [MS12-006] Windows の Webio、Winhttp、および schannel のセキュリティ更新プログラムについて(2012 年 1 月 10 日)
  • 2638806 [MS12-006] Windows Server 2003 および Windows XP Professional x64 Edition の Winhttp のセキュリティ更新プログラムについて(2012 年 1 月 10 日)

レジストリ情報

非推奨以下の手順を使用してこのセキュリティ更新プログラムを無効にすることはお勧めしません。ただし、すべてのアプリケーションに対して分割 SSL レコードを有効にするこのセキュリティ更新プログラムと互換性のないアプリケーションを使用する場合のために、この手順を説明します。

重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756Windows でレジストリをバックアップおよび復元する方法


既定では、アプリケーションの互換性の問題のために、このセキュリティ更新プログラムは、schannel レベルで選択モードに設定します。システム全体のすべてのアプリケーションに対してこのセキュリティ更新プログラムを無効にするには、SendExtraRecord という名前の DWORD 値を 2 に設定して次のレジストリ サブキーに追加する必要があります。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
この schannel レジストリ エントリを追加するには、次の手順に従います。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「regedit」と入力し、[OK] をクリックします。
  2. レジストリで次のサブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. DWORD 値の名前に「SendExtraRecord」と入力して、Enter キーを押します。
  5. [SendExtraRecord] を右クリックし、[修正] をクリックします。
  6. [値のデータ] ボックスに「2」と入力して schannel での分割レコードを無効にし、[OK] をクリックします。
  7. レジストリ エディターを終了します。
このレジストリには次の 3 つの値を指定することができ、それぞれが異なる動作モードに設定します。
レジストリ キーの値説明
0既定では、schannel は "選択モード" になります。これは、このセキュリティ更新プログラムが、Secure フラグを schannel に送信するすべての呼び出し元に対して機能することを意味します。このセキュリティ パッケージによって "SendExtraRecord" schannel レジストリ エントリが作成されることはありません。そのため、schannel レジストリ エントリがないことはシステムがこのモードで実行されていることを意味します。このレジストリ キーを作成して値を 0 に設定した場合は、schannel が再びこのモードで実行されることを意味します。

この設定は、このレジストリ エントリをまったく作成しないのと同じ効果があります。セッションの初期化中に Secure フラグを schannel に送信するアプリケーションは、固定されたセキュリティで保護されたコード パスのみを使用します。他のアプリケーションについては、schannel の動作は変更されません。

このセキュリティ更新プログラムは、ブラウザーを使用する状況をセキュリティで保護するために、Internet Explorer を使用して Secure フラグを送信して Web を閲覧するときに関与するアプリケーション レイヤーも修正します。

注: Windows Server 2003 では、WinHTTP API を使用する HTTP クライアント アプリケーションをセキュリティで保護するためにセキュリティ更新プログラム 2638806 をインストールする必要があります。詳細については、以下のサポート技術情報番号をクリックしてください。
2638806 [MS12-006] Windows Server 2003 および Windows XP Professional x64 Edition の Winhttp のセキュリティ更新プログラムについて(2012 年 1 月 10 日)
1 値を 1 に設定すると、"すべてに対して有効" になります。これは、呼び出し元がフラグを送信する必要がなく、schannel が SSL レコードを分割することを意味します。この値に設定した場合、アプリケーションを変更する必要はありません。システムのセキュリティについて懸念があるお客様は、このレジストリ キーを有効にすることによってシステムの安全性を高めることができます。
2 値を 2 に設定すると、"すべてに対して無効" になります。これは、アプリケーションが実行するすべての暗号化呼び出しで schannel がレコードを分割しないことを意味します。このモードでは、アプリケーションが送信する Secure フラグは無視されます。
社内のテストによって、値を 1 に設定すると、企業内で発生する分割が多くなりすぎるので実用的ではないことがわかりました。そのため、この値を使用することはお勧めしません。

SendExtraRecord レジストリ エントリを有効にした場合の既知の問題

  • SendExtraRecord レジストリ値を 1 に設定すると、schannel 内での暗号化データに対するすべての呼び出しでレコードが強制的に分割されます。これは、呼び出し元がセッションの初期化中に Secure フラグを送信したかどうかに関係なく実行されます。
  • schannel を使用する多くのアプリケーションが、受信側から見るとアプリケーション データが 1 つのパケットにパッケージ化されているように見えるように書き込まれます。これは、アプリケーションが暗号化解除のために schannel を呼び出すにもかかわらず実行されます。アプリケーションは、schannel によって設定されるフラグを無視します。このフラグは、受信側によって復号化および選択されるデータが残っていることをアプリケーションに知らせます。このモードは、MSDN によって規定された schannel の使用方法に従っていません。このセキュリティ更新プログラムはレコードの分割を適用するので、そのようなアプリケーションが中断されます。
  • 中断されるアプリケーションには、マイクロソフト製品および受信トレイ コンポーネントが含まれます。次に、SendExtraRecord レジストリ値を 1 に設定したときに中断が発生する可能性がある状況の例を示します。
    • すべての SQL 製品および SQL 上に構築されているアプリケーション
    • ネットワーク レベル認証 (NLA) が有効になっているターミナル サーバー。NLA は Windows Vista 以降のバージョンの Windows で既定で有効になります。
    • いくつかのルーティングとリモート アクセス サービス (RRAS) のシナリオ
SendExtraRecord レジストリ値を 1 に設定すると、Windows TLS/SSL を使用するすべてのアプリケーションに対してセキュリティで保護されたレコードの分割が強制されます。ただし、この設定はアプリケーションの互換性の問題を発生せる可能性があります。そのため、このレジストリ設定を使用する代わりに、TLS 1.1 および TLS 1.2 を構成することをお勧めします。TLS 1.1 および TLS 1.2 にはこの問題に対する脆弱性はありません。

ユーザーがこのレジストリ設定を使用する場合は、実装の前にアプリケーションの互換性テストを十分に行うことをお勧めします。この設定の影響を受けることがわかっている一般的な製品には、Microsoft SQL 製品、Windows ターミナル サーバー、Windows Remote Access Server が含まれます。
FAQ
質問: マイクロソフトは、ユーザーのサーバー側のアプリケーションの修正をどのようにサポートしますか。
回答: 次の RFC の説明を参照して、お使いのアプリケーションが SSL/TLS アプリケーション レコードの断片化を処理できることを確認してください。
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:2643584 - 最終更新日: 04/22/2014 18:20:00 - リビジョン: 5.0

Windows 7 Service Pack 1, Windows 7 Enterprise, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Home Basic, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003 Service Pack 2

  • atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584
フィードバック
/html>