MS12-006: De vulnerabilitate în SSL/TLS ar putea permite dezvăluirea de informaţii: 10 ianuarie 2012

Asistența pentru Windows Server 2003 s-a încheiat la 14 iulie 2015

Microsoft a încheiat asistența pentru Windows Server 2003 14 iulie 2015. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2643584
INTRODUCERE
Microsoft a lansat buletinul de securitate MS12-006. Pentru a vizualiza buletinul de securitate completă, du-te la unul dintre următoarele site-uri Web Microsoft:

Cum se obţine ajutor şi sprijin pentru această actualizare de securitate

Ajuta la instalarea de actualizări: Suport pentru Microsoft Update

Solutii de securitate pentru profesioniştii IT: TechNet rezolvarea problemelor de securitate şi de sprijin

Ajuta la protejarea computerului care execută Windows de viruşi şi malware:Soluţie virus şi centrul de securitate

Suport local în funcţie de ţara dumneavoastră: Sprijin internaţional

Remediere automată
Două Fix it solutions sunt disponibile.
  • Fix it solution pentru protocol TLS (TLS) 1.1 în Internet Explorer: această soluţie permite 1.1 TLS, care nu este afectată de această vulnerabilitate în Windows Internet Explorer. Cele mai tipice utilizatorii ar trebui să instalaţi acest lucru Fix it solution.
  • Fix it solution pentru TLS 1.1 pe serverele bazate pe Windows: această soluţie permite 1.1 TLS, care nu este afectată de vulnerabilitate.
Fix it soluţii care sunt descrise în această secţiune nu sunt destinate ca înlocuitori pentru orice actualizare de securitate. Vă recomandăm să instalaţi întotdeauna cele mai recente actualizări de securitate. Cu toate acestea, noi oferim aceste repara soluţii ca soluţie opţiuni pentru câteva scenarii.

Pentru mai multe informaţii despre soluţii, vedeţi buletinul de securitate MS12-006: Buletinul oferă mai multe informaţii despre problema şi include următoarele:
  • Scenarii în care s-ar putea aplica sau dezactiva soluţie
  • Factori de atenuare
  • Soluţii
  • întrebări frecvente
În special, pentru a vedea aceste informaţii, uita-te pentru secţiunea Informaţii de vulnerabilitate , şi apoi atunci expand paragraful Workarounds alineatul SSL şi TLS protocoale vulnerabilitate - CVE-2011-3389 .

Fix it solution pentru TLS 1.1 pe Internet Explorer

Pentru a activa sau dezactiva acest lucru Fix it solution, faceţi clic pe butonul Fix it sau link-ul caseta Către activasau dezactiva . Faceţi clic pe alerga în Descărcaţi fişierul casetă de dialog, şi apoi urmaţi paşii din Fix este expertul.
PermiteNu fi de acord

Note

  • Aceste experţi poate fi numai în limba engleză. Cu toate acestea, automat stabileşte, de asemenea, de lucru pentru alte versiuni lingvistice ale Windows.
  • Dacă nu sunteţi pe computerul care are problema, salvați remedierea automată o unitate flash sau pe un CD, şi apoi puteţi rula pe computerul care are problema.

Soluție Fix it pentru TLS 1.1 pe serverele bazate pe Windows

Pentru a activa sau dezactiva acest lucru Fix it solution, faceţi clic pe butonul Fix it sau link-ul caseta Către activasau dezactiva . Faceţi clic pe alerga în <b00> </b00>Descărcaţi fişierul casetă de dialog, şi apoi urmaţi paşii din Fix este expertul.
PermiteNu fi de acord

Note

  • Aceste experţi poate fi numai în limba engleză. Cu toate acestea, automat stabileşte, de asemenea, de lucru pentru alte versiuni lingvistice ale Windows.
  • Dacă nu sunteţi pe computerul care are problema, salvați remedierea automată o unitate flash sau pe un CD, şi apoi puteţi rula pe computerul care are problema.

Probleme cunoscute cu această actualizare de securitate

După ce instalaţi această actualizare de securitate, este posibil să apară eșec de autentificare sau de pierdere de conectivitate la unele fermă de servere HTTPS. Această problemă apare deoarece această securitate actualizare modificări modul în care înregistrările sunt trimise la serverele de HTTPS.

Pentru a dezactiva temporar sau reactiva această actualizare de securitate, faceţi clic pe butonul Fix it sau link-ul de sub <b00> </b00>dezactiva actualizare de securitatesau în titlul de re-activare actualizare de securitate . Faceţi clic pe alerga în Descărcaţi fişierul casetă de dialog, şi apoi urmaţi paşii din Fix este expertul.
Dezactiva actualizare de securitate Re-permite actualizare de securitate
Note
  • Aceste experţi poate fi numai în limba engleză. Cu toate acestea, automat stabileşte, de asemenea, de lucru pentru alte versiuni lingvistice ale Windows.
  • Dacă nu sunteţi pe computerul care are problema, salvați remedierea automată o unitate flash sau pe un CD, şi apoi puteţi rula pe computerul care are problema.
Următorul tabel afișează valorile care sunt aplicate de aceste Fix soluţii la registru SendExtraRecord intrarea DWORD:
Rubrica Valoarea aplicate la intrare de SendExtraRecord
Dezactiva actualizare de securitate 2
Re-permite actualizare de securitate 0
Notă Setarea SendExtraRecord vor fi incluse în versiunile ulterioare de Windows.

Probleme cunoscute şi informaţii suplimentare despre această actualizare de securitate

Următoarele articole conţine informaţii suplimentare despre această actualizare de securitate se referă la produs individuale versiuni. Articolele pot conţine informaţii problemă cunoscută. Dacă este cazul, problemă cunoscută este listat sub fiecare articol link:
  • 2585542 MS12-006: Descrierea actualizare de securitate pentru Webio, Winhttp şi schannel în Windows: 10 ianuarie 2012
  • 2638806 MS12-006: Descrierea actualizare de securitate pentru Winhttp în Windows Server 2003 şi Windows XP Professional x 64 Edition: 10 ianuarie 2012

Informaţii cu privire la regiștrii

Nu este recomandat Nu recomandăm să utilizaţi următoarea procedură pentru a dezactiva această actualizare de securitate. Cu toate acestea, noi oferim această procedură pentru scenariile în care este posibil să utilizaţi aplicaţii incompatibile cu această actualizare de securitate, care permite split SSL înregistrările pentru toate aplicaţiile.

Important Această secţiune, metodă sau activitate conţine paşi care vă arată cum să modificaţi registry-ul. Cu toate acestea, pot apărea probleme grave dacă modificaţi incorect registry-ul. Prin urmare, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru un plus de protecţie, copiați de rezervă registry-ul înainte de a-l modifica. Apoi, aveţi posibilitatea să restaurați registry-ul dacă apare vreo problemă. Pentru mai multe informaţii despre modul de copiere de rezervă şi de restaurare a registry-ului, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:
322756Cum se copiază de rezervă și cum se restaurează registry-ul în Windows


implicit, această actualizare de securitate stabileşte modul de Opt-in la nivelul schannel, din cauza problemelor de compatibilitate cerere. Pentru a dezactiva această actualizare de securitate pentru toate aplicaţii la nivel de sistem, trebuie să adăugaţi o valoare DWORD care a numitSendExtraRecordşi care are o valoare de 2 la următoarea subcheie de registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Pentru a adăuga acest schannel registru intrare intrare de registry, urmaţi aceşti paşi:
  1. Faceţi clic pe Start, faceţi clic pe Run, tip regedit în Deschidere cutie, şi apoi faceţi clic pe OK.
  2. Localizaţi şi apoi faceţi clic pe următoarea subcheie din registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Din meniul Editare , indicaţi către nou, şi apoi faceţi clic pe DWORD Value.
  4. Tip SendExtraRecordpentru nume de sign-in de valoare DWORD, şi apoi apăsaţi Enter.
  5. SendExtraRecord, şi apoi atunci pocnitură Modify.
  6. În caseta Value data , tastaţi 2 pentru a dezactiva înregistrare split în schannel, şi apoi faceţi clic pe OK.
  7. Ieşiți din Registry Editor.
Această intrare de registry poate avea trei valori, şi fiecare valoare oferă diferite moduri de operare:
Reg cheie Value Descriere
0Implicit, schannel este inclus în "Modul de Optin." Acest lucru înseamnă că această actualizare de securitate va lucra pentru toti apelantii care trimite Secure pavilion la schannel. Intrarea de registry schannel "SendExtraRecord" nu va fi creată de pachetul de securitate. Prin urmare, nici o intrare de registry schannel înseamnă a sistemului se execută acest mod. Dacă cineva creează această cheie de registry şi setaţi valoarea la 0, schannel va rula din nou în acest mod.

Această setare are acelaşi efect ca nu crearea acest registru intrare la toate. Aplicaţii care trimite o sigure de pavilion să schannel în timpul sesiunii de iniţializare numai va exercita calea fix cod sigure. Pentru alte aplicaţii, nu va fi nici o schimbare în comportamentul schannel.

Această actualizare de securitate rezolvă, de asemenea, straturile de aplicaţie care sunt implicate în web de navigare prin utilizarea Internet Explorer pentru a trimite steagul sigure, pentru a contribui la securizarea browser-ul scenarii de utilizare.

NotăÎn Windows Server 2003, actualizare de securitate 2638806 trebuie să fie instalat pentru a ajuta sigur HTTP client aplicaţii thatuse WinHTTP APIs. Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:
2638806 MS12-006: Descrierea actualizare de securitate pentru Winhttp în Windows Server 2003 şi Windows XP Professional x 64 Edition: 10 ianuarie 2012
1 Stabilirea valorii 1 înseamnă "activat pentru toţi." Acest lucru înseamnă apelanţii nu a trimite pavilion, şi schannel va împărţi toate înregistrările SSL. Cu acest set de valoare, aplicaţii nu trebuie să ia orice schimbare. Un client care este foarte preocupat de securitate sistem poate ajuta face sistemul lor mai sigure, permiţând acest registru cheie.
2 Setarea valorii la 2 înseamnă "dezactivat pentru toţi." Acest lucru înseamnă că schannel nu va împărţi înregistrările pentru orice apel sosit de criptare care face cererea. Acest mod nu onoarea steagul sigure, care trimite o cerere.
Pe baza interne de testare, am constatat că imposibil practic de setat valoarea de registry la 1 deoarece se pot sparge prea multe scenarii într-o întreprindere. Prin urmare, vom descuraja utilizatorii de folosind-o.

Probleme cunoscute cu care să permită intrarea de registry SendExtraRecord

  • Stabilirea valorii de registry SendExtraRecord pentru 1 impune scindarea de înregistrare în fiecare apel sosit pentru a cripta datele în schannel. Acest lucru are loc indiferent dacă apelantul a trimis Secure pavilion în timpul inițializării şedinţă.
  • Multe aplicaţii care utilizează schannel sunt scrise astfel încât partea receptor presupune aplicarea datelor vor fi ambalate într-un singur pachet. Acest lucru se întâmplă chiar dacă aplicarea necesită schannel pentru decriptare. Cererile ignora un steag care este stabilit de schannel. Pavilion indică la cererea că există mai multe date pentru a fi decriptate şi preluat de către receptor. Această metodă nu urmează metoda MSDN-prescrise de a folosi schannel. Deoarece actualizare de securitate impune scindarea de înregistrare, acest lucru pauze de astfel de cereri.
  • Rupt cererile includ produsele Microsoft şi în caseta de componente. Următoarele sunt exemple de scenarii care poate fi rupt atunci când valoarea registry SendExtraRecord este setat la 1:
    • Toate produsele SQL, şi aplicaţii care sunt construite pe SQL.
    • fermă de servere terminale care au reţea nivel de autentificare (NLA) activat. implicit, NLA este activată în Windows Vista şi versiunile ulterioare de Windows.
    • Unele scenarii de rutare Remote Access Service (RRAS).
Stabilirea valorii de registry SendExtraRecord pentru 1 impune înregistrare sigure-divizare pentru toate aplicaţiile care utilizează Windows TLS/SSL. Cu toate acestea, această setare este probabil să aibă probleme de compatibilitate cerere. De aceea, vă recomandăm că clienţii configura TLS 1.1 şi TLS 1.2 în loc să utilizaţi această setare de registry. TLS 1.1 şi TLS 1.2 nu sunt vulnerabili la această problemă.

Dacă un utilizator intenţionează să folosească această setare de registry, vă recomandăm ca acestea test extensiv cerere compatibility testare înainte de a le pune în aplicare. Unele produse comune, care sunt cunoscute a fi afectate de această setare includ produse Microsoft SQL, Windows Terminal Server, şi Windows Remote Access Server.
FAQ
Q: Ce pot face pentru a ajuta-ma fix cererea mea de partea de server Microsoft?
A: Asiguraţi-vă că aplicaţia poate manipula a dosarelor de cerere fragmentarea SSL/TLS, după cum este descris în RFCs următoarele:

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 2643584 - Ultima examinare: 04/17/2014 05:54:00 - Revizie: 2.0

Windows 7 Service Pack 1, Windows 7 Enterprise, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Home Basic, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003 Service Pack 2

  • atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew kbmt KB2643584 KbMtro
Feedback