MS12-006: Sikkerhetsproblem i SSL/TLS kan tillate fremlegging av informasjon: 10. januar 2012

INTRODUKSJON

Microsoft har gitt ut sikkerhetsbulletin MS12-006. Hvis du vil vise hele sikkerhetsbulletinen, kan du gå til ett av følgende Microsoft-nettsteder:

• Private brukere:

  http://www.microsoft.com/security/pc-security/bulletins/201201.aspx Hopp over detaljene: Last ned oppdateringene for hjemmedatamaskinen eller den bærbare datamaskinen fra Nettstedet for Microsoft Update nå:

  http://update.microsoft.com/microsoftupdate/

• IT-teknikere:

  http://technet.microsoft.com/security/bulletin/MS12-006

Slik får du hjelp og støtte for denne sikkerhetsoppdateringen

Hjelp til med å installere oppdateringer:
Støtte for Microsoft Update

Sikkerhetsløsninger for IT-teknikere:
Feilsøking og støtte for TechNet-sikkerhet

Beskytt datamaskinen som kjører Windows mot virus og skadelig programvare:
Virusløsning og sikkerhetssenter

Lokal støtte i henhold til landet ditt:
Internasjonal støtte

Løs det for meg

To Fix it-løsninger er tilgjengelige.

• Løsning for Transport Layer Security (TLS) 1.1 i Internet Explorer: Denne løsningen aktiverer TLS 1.1, som ikke påvirkes av dette sikkerhetsproblemet i Windows Internet Explorer. De fleste vanlige brukere bør installere denne Fix it-løsningen.
• Løsning for TLS 1.1 på Windows-baserte servere: Denne løsningen aktiverer TLS 1.1, som ikke påvirkes av sikkerhetsproblemet.

Fix it-løsningene som er beskrevet i denne delen, er ikke ment som erstatninger for noen sikkerhetsoppdateringer. Vi anbefaler at du alltid installerer de nyeste sikkerhetsoppdateringene. Vi tilbyr imidlertid disse Fix it-løsningene som midlertidige løsningsalternativer for enkelte scenarioer. 

Hvis du vil ha mer informasjon om midlertidige løsninger, kan du se sikkerhetsbulletin MS12-006:

http://technet.microsoft.com/security/bulletin/ms12-006 Bulletinen gir mer informasjon om problemet og inkluderer følgende:

• Scenarioene der du kan bruke eller deaktivere den midlertidige løsningen
• Begrensende faktorer
• Midlertidige løsninger
• Vanlige spørsmål

Hvis du vil se denne informasjonen, kan du se etter avsnittet Informasjon om sikkerhetsproblem, og deretter utvide avsnittet Midlertidige løsninger under sikkerhetsproblemene SSL og TLS-protokoller – CVE-2011-3389 avsnitt.

Løsning for TLS 1.1 i Internet Explorer

Hvis du vil aktivere eller deaktivere denne Fix it-løsningen, klikker du Fix it-knappen eller koblingen under overskriften Aktiver eller Deaktiver . Klikk Kjør i dialogboksen Last ned fil , og følg deretter trinnene i rettingsveiviseren.

Aktivere	Disable

Notater

• Disse veiviserne kan bare være på engelsk. De automatiske løsningene fungerer imidlertid også for andre språkversjoner av Windows.
• Hvis du ikke er på datamaskinen som har problemet, kan du lagre den automatiske løsningen på en flash-enhet eller cd, og deretter kan du kjøre den på datamaskinen som har problemet.

Løsning for TLS 1.1 på Windows-baserte servere

Hvis du vil aktivere eller deaktivere denne Fix it-løsningen, klikker du Fix it-knappen eller koblingen under overskriften Aktiver eller Deaktiver . Klikk Kjør i dialogboksen Last ned fil , og følg deretter trinnene i rettingsveiviseren.

Aktivere	Disable

Notater

• Disse veiviserne kan bare være på engelsk. De automatiske løsningene fungerer imidlertid også for andre språkversjoner av Windows.
• Hvis du ikke er på datamaskinen som har problemet, kan du lagre den automatiske løsningen på en flash-enhet eller cd, og deretter kan du kjøre den på datamaskinen som har problemet.

Kjente problemer med denne sikkerhetsoppdateringen

Når du har installert denne sikkerhetsoppdateringen, kan det hende du opplever godkjenningsfeil eller tap av tilkobling til enkelte HTTPS-servere. Dette problemet oppstår fordi denne sikkerhetsoppdateringen endrer måten poster sendes til HTTPS-servere på.

Hvis du vil deaktivere eller aktivere denne sikkerhetsoppdateringen på nytt midlertidig, klikker du Reparer den-knappen eller koblingen under deaktiver sikkerhetsoppdateringen , eller aktiver sikkerhetsoppdateringsoverskriften på nytt. Klikk Kjør i dialogboksen Last ned fil , og følg deretter trinnene i rettingsveiviseren.

Deaktiver sikkerhetsoppdateringen	Aktiver sikkerhetsoppdateringen på nytt

Notater

• Disse veiviserne kan bare være på engelsk. De automatiske løsningene fungerer imidlertid også for andre språkversjoner av Windows.
• Hvis du ikke er på datamaskinen som har problemet, kan du lagre den automatiske løsningen på en flash-enhet eller cd, og deretter kan du kjøre den på datamaskinen som har problemet.

Tabellen nedenfor viser verdiene som brukes av disse Fix it-løsningene i DWORD-oppføringen for SendExtraRecord-registeret:

Overskriften	Verdi brukt på SendExtraRecord-oppføring
Deaktiver sikkerhetsoppdateringen	2
Aktiver sikkerhetsoppdateringen på nytt	0

Obs! SendExtraRecord-innstillingen inkluderes i fremtidige versjoner av Windows.

Kjente problemer og tilleggsinformasjon om denne sikkerhetsoppdateringen

Følgende artikler inneholder tilleggsinformasjon om denne sikkerhetsoppdateringen i forhold til individuelle produktversjoner. Artiklene kan inneholde informasjon om kjente problemer. Hvis dette er tilfelle, er det kjente problemet oppført nedenfor hver artikkelkobling:

• 2585542 MS12-006: Beskrivelse av sikkerhetsoppdateringen for Webio, Winhttp og schannel i Windows: 10. januar 2012
• 2638806 MS12-006: Beskrivelse av sikkerhetsoppdateringen for Winhttp i Windows Server 2003 og Windows XP Professional x64 Edition: 10. januar 2012

Registerinformasjon

Vi anbefaler ikke at du bruker følgende fremgangsmåte for å deaktivere denne sikkerhetsoppdateringen. Vi tilbyr imidlertid denne prosedyren for scenarioer der du kanskje bruker programmer som ikke er kompatible med denne sikkerhetsoppdateringen, som muliggjør delte SSL-poster for alle programmer.

Viktig! Denne inndelingen, metoden eller oppgaven inneholder trinn som forteller deg hvordan du endrer registeret. Alvorlige problemer kan imidlertid oppstå hvis du endrer registeret på feil måte. Pass derfor på at du følger disse trinnene nøye. For ekstra beskyttelse sikkerhetskopierer du registeret før du endrer det. Du kan dermed gjenopprette registeret hvis det oppstår problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registeret, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows

Som standard angir denne sikkerhetsoppdateringen opt-in-modus på schannel-nivå, på grunn av programkompatibilitetsproblemer. Hvis du vil deaktivere denne sikkerhetsoppdateringen for alle programmer for hele systemet, må du legge til en DWORD-verdi som heter SendExtraRecord, og som har verdien 2 til følgende registerundernøkkel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELFølg disse trinnene for å legge til registeroppføringen for schannel-registeret:

1. Klikk på Start, og klikk på Kjør. Skriv inn regedit i Åpne-boksen, og klikk deretter på OK.

2. Finn og klikk deretter på følgende undernøkkel i registeret:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

3. Gå til Rediger-menyen, pek på Ny, og klikk deretter på DWORD-verdi.

4. Skriv inn SendExtraRecord for navnet på DWORD-verdien, og trykk deretter ENTER.

5. Høyreklikk SendExtraRecord, og klikk deretter Endre.

6. Skriv inn 2 i verdidataboksen for å deaktivere den delte posten i schannel, og klikk deretter OK.

7. Lukk Registerredigering.

Denne registeroppføringen kan ha tre verdier, og hver verdi har forskjellige driftsmoduser:

Reg-nøkkelverdi	Beskrivelse
0	Som standard er schannel inkludert i «Optin-modus». Dette betyr at denne sikkerhetsoppdateringen fungerer for alle innringerne som sender det sikre flagget til schannel. Registeroppføringen SendExtraRecord opprettes ikke av sikkerhetspakken. Derfor betyr ingen schannel-registeroppføring at systemet kjører denne modusen. Hvis noen oppretter denne registernøkkelen og angir verdien 0, kjøres schannel på nytt i denne modusen. Denne innstillingen har samme effekt som å ikke opprette denne registeroppføringen i det hele tatt. Programmer som sender et sikkert flagg til schannel under initialisering av økten, utfører bare den faste sikre kodebanen. For andre programmer vil det ikke være noen endring i schannel-virkemåte. Denne sikkerhetsoppdateringen løser også programlagene som er involvert i nettlesing, ved å bruke Internet Explorer til å sende det sikre flagget for å sikre bruksscenarioene i nettleseren. Obs! I Windows Server 2003 må sikkerhetsoppdatering 2638806 installeres for å sikre HTTP-klientprogrammer som bruker WinHTTP-API-er. Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: 2638806 MS12-006: Beskrivelse av sikkerhetsoppdateringen for Winhttp i Windows Server 2003 og Windows XP Professional x64 Edition: 10. januar 2012
1	Å sette verdien til 1 betyr «aktivert for alle». Dette betyr at innringere ikke trenger å sende flagget, og schannel vil dele alle SSL-poster. Med dette verdisettet trenger ikke programmer å gjøre noen endringer. En kunde som er svært opptatt av systemsikkerhet, kan bidra til å gjøre systemet tryggere ved å aktivere denne registernøkkelen.
2	Å sette verdien til 2 betyr «deaktivert for alle». Dette betyr at schannel ikke vil dele postene for krypteringsoppkall som programmet foretar. Denne modusen respekterer ikke det sikre flagget som et program sender.

Basert på intern testing fant vi ut at du ikke kan angi registerverdien til 1 fordi den kan bryte for mange scenarioer i en virksomhet. Derfor fraråder vi brukere fra å bruke den.

Kjente problemer med aktivering av registeroppføringen SendExtraRecord

• Hvis du angir registerverdien SendExtraRecord til 1, håndheves postdeling i hvert kall for å kryptere data i schannel. Dette skjer uavhengig av om anroperen sendte Sikker-flagget under initialiseringen av økten.
• Mange programmer som bruker schannel er skrevet slik at mottakersiden antar at programdata vil bli pakket inn i en enkelt pakke. Dette skjer selv om programmet kaller schannel for dekryptering. Programmene ignorerer et flagg som angis av schannel. Flagget indikerer for programmet at det er mer data som skal dekrypteres og plukkes opp av mottakeren. Denne metoden følger ikke den MSDN-foreskrevne metoden for bruk av schannel. Fordi sikkerhetsoppdateringen håndhever postdeling, bryter dette slike programmer.
• Brutte programmer inkluderer Microsoft-produkter og innbokskomponenter. Følgende er eksempler på scenarioer som kan bli brutt når registerverdien SendExtraRecord er satt til 1:
• • Alle SQL-produkter og programmer som er innebygd i SQL.
  • Terminalservere som har godkjenning på nettverksnivå (NLA) aktivert. Som standard er NLA aktivert i Windows Vista og nyere versjoner av Windows.
  • Noen RRAS-scenarier (Routing Remote Access Service).

Hvis du angir registerverdien SendExtraRecord til 1, håndheves den sikre postsplittingen for alle programmer som bruker Windows TLS/SSL. Denne innstillingen vil imidlertid sannsynligvis ha programkompatibilitetsproblemer. Derfor anbefaler vi at kunder konfigurerer TLS 1.1 og TLS 1.2 i stedet for å bruke denne registerinnstillingen. TLS 1.1 og TLS 1.2 er ikke sårbare for dette problemet.

Hvis en bruker har tenkt å bruke denne registerinnstillingen, anbefaler vi at de i stor grad tester programkompatibilitetstesting før de implementerer den. Noen vanlige produkter som er kjent for å bli påvirket av denne innstillingen, er Microsoft SQL-produkter, Windows Terminal Server og Windows Remote Access Server.

Vanlige spørsmål

Spørsmål: Hva kan Microsoft gjøre for å hjelpe meg med å løse serversiden av programmet?
Svar: Kontroller at programmet kan håndtere fragmenteringen av SSL/TLS-programposter, som beskrevet i følgende RFCer:

• TLS 1.0: http://www.ietf.org/rfc/rfc2246.txt avsnitt 6.2.1
• SSL 3.0: http://www.ietf.org/rfc/rfc6101.txt avsnitt 5.2.1