WPROWADZENIE
Firma Microsoft wydała biuletyn zabezpieczeń MS12-006. Aby wyświetlić pełny biuletyn zabezpieczeń, odwiedź jedną z następujących witryn firmy Microsoft w sieci Web:
-
Użytkownicy domowi:
https://technet.microsoft.com/pl-pl/library/security/ms12-janPomiń szczegóły: Pobierz teraz aktualizacje dla komputera domowego lub przenośnego z witryny Microsoft Update w sieci Web:
http://www.update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=pl-pl
-
Informatycy:
http://technet.microsoft.com/pl-pl/security/bulletin/ms12-006
Jak uzyskać pomoc i obsługę techniczną związaną z tą aktualizacją zabezpieczeń
Pomoc dotycząca instalowania aktualizacji: Pomoc techniczna dotycząca witryny Microsoft Update
Rozwiązania zabezpieczeń dla informatyków: Pomoc techniczna i rozwiązywanie problemów z zabezpieczeniami w witrynie TechNet
Pomoc dotycząca ochrony komputera z systemem Windows przed wirusami i złośliwym oprogramowaniem: Centrum rozwiązań dotyczących wirusów i zabezpieczeń
Lokalna pomoc techniczna dla danego kraju: Międzynarodowa pomoc techniczna
Automatyczne rozwiązywanie problemu
Dostępne są dwa rozwiązania w postaci poprawek automatycznych Fix it.
-
Poprawka automatyczna Fix it dla protokołu TLS (Transport Layer Security) 1.1 w programie Internet Explorer. To rozwiązanie włącza w programie Windows Internet Explorer protokół TLS 1.1, który nie jest narażony na tę lukę w zabezpieczeniach. Tę poprawkę automatyczną powinna zainstalować większość użytkowników.
-
Poprawka automatyczna Fix it dla protokołu TLS 1.1 na serwerach z systemem Windows. To rozwiązanie włącza protokół TLS 1.1, który nie jest narażony na tę lukę w zabezpieczeniach.
Rozwiązania w postaci poprawek automatycznych opisane w tej sekcji nie zastępują żadnych aktualizacji zabezpieczeń. Zalecane jest regularne instalowanie najnowszych aktualizacji zabezpieczeń. Te rozwiązania w postaci poprawek automatycznych są udostępniane jako opcje obejścia problemów w niektórych scenariuszach.
Więcej informacji o obejściach problemu można znaleźć w biuletynie zabezpieczeń MS12-006:
http://technet.microsoft.com/pl-pl/security/bulletin/ms12-006 W tym biuletynie znajduje się więcej informacji o tym problemie, między innymi następujące informacje:
-
Scenariusze, w których można zastosować lub wyłączyć to obejście problemu
-
Czynniki ograniczające ryzyko
-
Obejścia problemu
-
Często zadawane pytania
Aby zapoznać się konkretnie z tymi informacjami, należy odszukać sekcję Vulnerability Information (Informacje o lukach w zabezpieczeniach) i rozwinąć akapit Workarounds (Obejścia problemu) w obszarze SSL and TLS Protocols Vulnerability — CVE-2011-3389 (Luka w zabezpieczeniach protokołów SSL i TLS — CVE-2011-3389).
Poprawka automatyczna Fix it dla protokołu TLS 1.1 w programie Internet Explorer
Aby włączyć lub wyłączyć tę poprawkę automatyczną, należy kliknąć przycisk lub łącze Fix it w obszarze nagłówka Włącz lub Wyłącz. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.
Włącz |
Wyłącz |
---|---|
Uwagi
-
Kreatorzy mogą być dostępni tylko w języku angielskim. Jednak te poprawki automatyczne działają również w innych wersjach językowych systemu Windows.
-
Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.
Poprawka automatyczna Fix it dla protokołu TLS 1.1 na serwerach z systemem Windows
Aby włączyć lub wyłączyć tę poprawkę automatyczną, należy kliknąć przycisk lub łącze Fix it w obszarze nagłówka Włącz lub Wyłącz. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu.
Włącz |
Wyłącz |
---|---|
Uwagi
-
Kreatorzy mogą być dostępni tylko w języku angielskim. Jednak te poprawki automatyczne działają również w innych wersjach językowych systemu Windows.
-
Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.
Znane problemy dotyczące tej aktualizacji zabezpieczeń
Po zainstalowaniu tej aktualizacji zabezpieczeń mogą wystąpić błędy uwierzytelniania lub utrata łączności z niektórymi serwerami HTTPS. Przyczyną tego problemu jest to, że ta aktualizacja zabezpieczeń zmienia sposób wysyłania rekordów do serwerów HTTPS.
Aby tymczasowo wyłączyć lub ponownie włączyć tę aktualizację zabezpieczeń, należy kliknąć przycisk bądź łącze Fix it pod nagłówkiem Wyłączanie aktualizacji zabezpieczeń lub Ponowne włączanie aktualizacji zabezpieczeń. Następnie należy kliknąć przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonać kroki kreatora rozwiązywania problemu (Fix it).
Wyłączanie aktualizacji zabezpieczeń |
Ponowne włączanie aktualizacji zabezpieczeń |
---|---|
Uwagi
-
Kreatorzy mogą być dostępni tylko w języku angielskim. Jednak te poprawki automatyczne działają również w innych wersjach językowych systemu Windows.
-
Jeśli używany komputer nie jest tym, którego dotyczy problem, można zapisać tę poprawkę automatyczną na dysku flash lub dysku CD i uruchomić ją na odpowiednim komputerze.
W poniższej tabeli przedstawiono wartości DWORD wpisu rejestru SendExtraRecord stosowane przez te rozwiązania w postaci poprawek automatycznych:
Nagłówek |
Wartość stosowana we wpisie SendExtraRecord |
---|---|
Wyłączanie aktualizacji zabezpieczeń |
2 |
Ponowne włączanie aktualizacji zabezpieczeń |
0 |
Uwaga Ustawienie SendExtraRecord zostanie uwzględnione w przyszłych wersjach systemu Windows.
Znane problemy i dodatkowe informacje dotyczące tej aktualizacji zabezpieczeń
Poniższe artykuły zawierają dodatkowe informacje o tej aktualizacji zabezpieczeń w powiązaniu z poszczególnymi wersjami produktu. Te artykuły mogą zawierać informacje o znanych problemach. W takim przypadku znany problem wymieniono po odpowiednim łączu do artykułu:
Informacje dotyczące rejestru
Niezalecane Wyłączanie tej aktualizacji zabezpieczeń przy użyciu poniższej procedury nie jest zalecane. Ta procedura została przygotowana na potrzeby scenariuszy, w których używane są aplikacje niezgodne z tą aktualizacją zabezpieczeń. Za pomocą tej procedury można podzielić rekordy SSL dla wszystkich aplikacji.
Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756Jak wykonać kopię zapasową rejestru i przywrócić rejestr z kopii zapasowej w systemie Windows
Ze względu na problemy ze zgodnością aplikacji domyślnie ta aktualizacja zabezpieczeń ustawia tryb wyrażania zgody (Opt-in) na poziomie protokołu SChannel. Aby wyłączyć tę aktualizację zabezpieczeń dla wszystkich aplikacji w całym systemie, należy dodać wartość DWORD o nazwie SendExtraRecord z określoną wartością 2 do następującego podklucza rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELAby dodać ten wpis rejestru protokołu SChannel, wykonaj następujące czynności:
-
Kliknij przycisk Start, kliknij polecenie Uruchom, w polu Otwórz wpisz ciąg regedit, a następnie kliknij przycisk OK.
-
Odszukaj i kliknij następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
-
W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
-
Wpisz SendExtraRecord jako nazwę wartości DWORD, a następnie naciśnij klawisz Enter.
-
Kliknij prawym przyciskiem myszy wpis SendExtraRecord, a następnie kliknij polecenie Modyfikuj.
-
W polu Dane wartości wpisz wartość 2 w celu włączenia dzielenia rekordów w protokole SChannel, a następnie kliknij przycisk OK.
-
Zakończ działanie Edytora rejestru.
W tym wpisie rejestru można zastosować trzy wartości zapewniające różne tryby działania.
Wartość klucza rejestru |
Opis |
---|---|
0 |
Domyślnie protokół SChannel jest dołączony w trybie wyrażania zgody (Opt-in). Oznacza to, że ta aktualizacja zabezpieczeń ma zastosowanie dla wszystkich procesów wywołujących, które wysyłają bezpieczną (Secure) flagę do protokołu SChannel. Wpis rejestru „SendExtraRecord” protokołu SChannel nie jest tworzony przez pakiet zabezpieczeń. Brak wpisu rejestru protokołu SChannel oznacza pracę systemu w tym trybie. Utworzenie tego wpisu rejestru i ustawienie jego wartości na 0 również powoduje działanie protokołu SChannel w tym trybie. 2638806 MS12-006: Opis aktualizacji zabezpieczeń dla protokołu Winhttp w systemach Windows Server 2003 i Windows XP Professional x64 Edition: 10 stycznia 2012 |
1 |
Ustawienie wartości 1 oznacza „włączone dla wszystkiego”. Czyli procesy wywołujące nie muszą wysyłać flag i wszystkie rekordy SSL są dzielone na poziomie protokołu SChannel. W przypadku ustawienia tej wartości w aplikacjach nie trzeba wprowadzać żadnych zmian. Włączenie tego klucza rejestru jest zalecane w scenariuszach, w których bezpieczeństwo systemu stanowi wyjątkowo ważne zagadnienie. |
2 |
Ustawienie wartości 2 oznacza „wyłączone dla wszystkiego”. Rekordy nie są dzielone w protokole SChannel dla żadnych wywołań szyfrowania zgłaszanych przez aplikacje. W tym trybie bezpieczna flaga (Secure) wysyłana przez aplikacje nie jest uwzględniana. |
Na podstawie wewnętrznych testów stwierdzono, że nie należy ustawiać tej wartości rejestru na 1, ponieważ może to doprowadzić do uszkodzenia wielu scenariuszy w przedsiębiorstwie. Z tego względu ustawianie tej wartości nie jest zalecane.
Znane problemy dotyczące włączania wpisu rejestru SendExtraRecord
-
Ustawienie wartości rejestru SendExtraRecord na 1 wymusza dzielenie rekordów w każdym wywołaniu na potrzeby szyfrowania danych protokołu SChannel. Taka sytuacja występuje niezależnie od tego, czy proces wywołujący wysłał bezpieczną flagę (Secure) podczas inicjowania sesji.
-
Wiele aplikacji korzystających z protokołu SChannel jest zaprogramowanych z założeniem, że strona odbierająca oczekuje danych aplikacji zawartych w pojedynczym pakiecie. Ma to miejsce nawet wtedy, gdy aplikacja wywołuje w protokole SChannel proces odszyfrowywania. Takie aplikacje ignorują flagę ustawioną w protokole SChannel. Za pomocą flagi aplikacja jest informowana, że istnieje więcej danych do odszyfrowania i pobrania przez odbiorcę. Ta metoda korzystania z protokołu SChannel nie jest zgodna z metodą opisaną w witrynie MSDN. Omawiana aktualizacja zabezpieczeń wymusza dzielenie rekordów, co z kolei powoduje uszkodzenie takich aplikacji.
-
Ten problem dotyczy między innymi produktów firmy Microsoft i składników wewnętrznych. Poniżej przedstawiono przykładowe scenariusze zakresu uszkodzeń występujących po ustawieniu wartości rejestru SendExtraRecord na 1:
-
-
Wszystkie produkty SQL i aplikacje opracowane w oparciu o program SQL.
-
Serwery terminali z włączonym uwierzytelnianiem na poziomie sieci (NLA — Network Level Authentication). Funkcja NLA jest domyślnie włączona w systemach Windows Vista i nowszych.
-
Niektóre zastosowania routingu i dostępu zdalnego (RRAS — Routing Remote Access Service).
-
Ustawienie wartości rejestru SendExtraRecord na 1 wymusza bezpieczne dzielenie rekordów dla wszystkich aplikacji korzystających z protokołu TLS/SSL w systemach Windows. Jednak zastosowanie tego ustawienia zwykle prowadzi do problemów ze zgodnością aplikacji. Z tego względu zamiast używania tego ustawienia rejestru zaleca się skonfigurowanie protokołów TLS 1.1 i TLS 1.2. W przypadku protokołów TLS 1.1 i TLS 1.2 ten problem nie występuje.
Jeśli planowane jest zastosowanie tego ustawienia rejestru, zaleca się szczegółowe przetestowanie zgodności aplikacji przed wdrożeniem ustawienia. Do znanych produktów, których ten problem dotyczy, należą produkty Microsoft SQL, serwery terminali systemu Windows i serwery dostępu zdalnego systemu Windows.
Często zadawane pytania
P: W jaki sposób firma Microsoft może ułatwić mi naprawienie mojej aplikacji po stronie serwera?
O: Należy się upewnić, że dana aplikacja obsługuje fragmentację rekordów aplikacji SSL/TLS zgodnie z opisem w następujących dokumentach RFC: