MS12-006: Vulnerability in SSL/TLS could allow information disclosure: January 10, 2012

ÚVOD

Spoločnosť Microsoft vydala bulletin o zabezpečení MS12-006. Ak chcete zobraziť kompletný bulletin o zabezpečení, prejdite na jednu z nasledujúcich webových lokalít spoločnosti Microsoft:

Ako získať pomoc a podporu pre túto aktualizáciu zabezpečenia

Pomoc s inštaláciou aktualizácií:
Podpora pre službu Microsoft Update

Riešenia zabezpečenia pre profesionálov v oblasti IT:
Riešenie problémov a podpora zabezpečenia na lokalite TechNet

Ochráňte svoj počítač s Windowsom pred vírusmi a malvérom:
Centrum riešení vírusov a zabezpečenia

Miestna podpora podľa krajiny:
Medzinárodná podpora

Oprava pomocou nástroja Fix it

K dispozícii sú dve riešenia Fix it.

  • Riešenie Fix it pre protokol TLS (Transport Layer Security) 1.1 v Internet Exploreri: Toto riešenie povolí v Internet Exploreri protokol TLS 1.1, ktorý nie je týmto zabezpečením ovplyvnený. Väčšina typických používateľov by si mala nainštalovať toto riešenie Fix it.
  • Riešenie Fix it pre protokol TLS 1.1 na serveroch s Windowsom: Toto riešenie povoľuje protokol TLS 1.1, ktorý nie je ovplyvnený rizikom.

Riešenia Fix it popísané v tejto časti nie sú určené ako náhrada za žiadnu aktualizáciu zabezpečenia. Odporúča sa vždy inštalovať najnovšie aktualizácie zabezpečenia. V prípade niektorých scenárov však tieto riešenia Fix it ponúkame ako alternatívne riešenie. 

Ďalšie informácie o alternatívnych riešeniach nájdete v bulletine o zabezpečení pomocou aktualizácie MS12-006:

http://technet.microsoft.com/security/bulletin/ms12-006 Bulletin obsahuje ďalšie informácie o probléme a obsahuje tieto informácie:

  • Scenáre, pri ktorých môžete použiť alebo zakázať alternatívne riešenie
  • Okolnosti zmierňujúce riziko
  • Alternatívne riešenia
  • Najčastejšie otázky

Tieto informácie konkrétne nájdete vyhľadaním časti Informácie o zraniteľnosti a rozbalením odseku Alternatívne riešenia v odseku Zraniteľnosť protokolov SSL a TLS – CVE-2011-3389.

Riešenie Fix it pre protokol TLS 1.1 v Internet Exploreri

Ak chcete povoliť alebo zakázať toto riešenie Fix it, kliknite na tlačidlo alebo prepojenie Opraviť pod nadpisom Zapnúť alebo Vypnúť . V dialógovom okne Sťahovanie súboru kliknite na položku Spustiť a potom postupujte podľa pokynov Sprievodcu riešením Fix it.

Povoliť Vypnuté

Poznámky

  • Sprievodcovia môžu byť dostupní iba v angličtine. Automatické opravy však fungujú aj pre ostatné jazykové verzie systému Windows.
  • Ak nepracujete s počítačom, v ktorom sa vyskytol problém, môžete automatickú opravu uložiť na USB kľúč alebo disk CD a potom ju spustiť v počítači, v ktorom sa vyskytol problém.

Riešenie Fix it pre protokol TLS 1.1 na serveroch s Windowsom

Ak chcete povoliť alebo zakázať toto riešenie Fix it, kliknite na tlačidlo alebo prepojenie Opraviť pod nadpisom Zapnúť alebo Vypnúť . V dialógovom okne Sťahovanie súboru kliknite na položku Spustiť a potom postupujte podľa pokynov Sprievodcu riešením Fix it.

Povoliť Vypnuté

Poznámky

  • Sprievodcovia môžu byť dostupní iba v angličtine. Automatické opravy však fungujú aj pre ostatné jazykové verzie systému Windows.
  • Ak nepracujete s počítačom, v ktorom sa vyskytol problém, môžete automatickú opravu uložiť na USB kľúč alebo disk CD a potom ju spustiť v počítači, v ktorom sa vyskytol problém.

Známe problémy s touto aktualizáciou zabezpečenia

Po nainštalovaní tejto aktualizácie zabezpečenia môže dôjsť k zlyhaniu overovania alebo strate pripojenia k niektorým serverom HTTPS. Tento problém sa vyskytuje, pretože táto aktualizácia zabezpečenia mení spôsob odosielania záznamov na servery HTTPS.

Ak chcete dočasne zakázať alebo znova povoliť túto aktualizáciu zabezpečenia, kliknite na tlačidlo alebo prepojenie Opraviť v časti Zakázať aktualizáciu zabezpečenia alebo Znova povoliť aktualizáciu zabezpečenia . V dialógovom okne Sťahovanie súboru kliknite na položku Spustiť a potom postupujte podľa pokynov v Sprievodcovi riešením Fix it.

Zakázať aktualizáciu zabezpečenia Znova povoľte aktualizáciu zabezpečenia

Poznámky

  • Sprievodcovia môžu byť dostupní iba v angličtine. Automatické opravy však fungujú aj pre ostatné jazykové verzie systému Windows.
  • Ak nepracujete s počítačom, v ktorom sa vyskytol problém, môžete automatickú opravu uložiť na USB kľúč alebo disk CD a potom ju spustiť v počítači, v ktorom sa vyskytol problém.

V nasledujúcej tabuľke sú uvedené hodnoty, ktoré tieto riešenia Fix it použijú na položku DWORD databázy SendExtraRecord databázy Registry:

Nadpis Hodnota použitá na položku OdoslaťExtraZáznam
Zakázať aktualizáciu zabezpečenia 2
Znova povoľte aktualizáciu zabezpečenia 0

Poznámka: Nastavenie SendExtraRecord bude súčasťou budúcich vydaní Windowsu.

Známe problémy a ďalšie informácie o tejto aktualizácii zabezpečenia

V nasledujúcich článkoch nájdete ďalšie informácie o tejto aktualizácii zabezpečenia týkajúce sa jednotlivých verzií produktov. Články môžu obsahovať informácie o známych problémoch. V takom prípade je známy problém uvedený pod jednotlivými prepojeniami článku:

  • 2585542 MS12-006: Popis aktualizácie zabezpečenia pre Webio, Winhttp a schannel vo Windowse: 10. január 2012
  • 2638806 MS12-006: Popis aktualizácie zabezpečenia pre Winhttp v systéme Windows Server 2003 a Windows XP Professional, x64 Edition: 10. január 2012

Informácie o databáze Registry

Neodporúča sa, neodporúčame vám používať nasledujúci postup na vypnutie tejto aktualizácie zabezpečenia. Tento postup však poskytujeme pre scenáre, v ktorých môžete používať aplikácie, ktoré nie sú kompatibilné s touto aktualizáciou zabezpečenia, ktorá umožňuje rozdelenie SSL záznamov pre všetky aplikácie.

Dôležité Táto časť, metóda alebo úloha obsahuje kroky na vykonanie úprav v databáze Registry. V prípade nesprávnej úpravy databázy Registry sa však môžu vyskytnúť vážne problémy. Preto postup podľa týchto krokov vykonávajte opatrne. Na zvýšenie bezpečnosti si databázu Registry pred vykonaním úprav zálohujte. V prípade výskytu problému tak potom môžete databázu Registry obnoviť. Ďalšie informácie o zálohovaní a obnovení databázy Registry sa nachádzajú v nasledujúcom článku databázy Microsoft Knowledge Base:

322756 Zálohovanie a obnovovanie databázy Registry v systéme Windows

Táto aktualizácia zabezpečenia predvolene nastavuje režim explicitného súhlasu na úrovni schannel z dôvodu problémov s kompatibilitou aplikácií. Ak chcete túto aktualizáciu zabezpečenia vypnúť pre všetky aplikácie v celom systéme, musíte do nasledujúceho podkľúča databázy Registry pridať hodnotu DWORD s názvom SendExtraRecord a hodnotou 2:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELAk chcete pridať túto položku kanála v databáze Registry položku databázy Registry, postupujte takto:

  1. Kliknite na tlačidlo Štart, kliknite na položku Spustiť, do poľa Otvoriť zadajte príkaz regedit a potom kliknite na tlačidlo OK.

  2. Vyhľadajte v databáze Registry nasledujúci podkľúč a kliknite naň:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. V ponuke Upraviť ukážte na položku Nové a potom kliknite na položku Hodnota DWORD.

  4. Ako názov hodnoty DWORD zadajte SendExtraRecord a potom stlačte kláves Enter.

  5. Kliknite pravým tlačidlom myši na položku Odoslať ExtraZáznam a potom kliknite na položku Upraviť.

  6. Zadaním hodnoty 2 do poľa Údaje hodnôt vypnite rozdelený záznam v kanáli a potom kliknite na tlačidlo OK.

  7. Ukončite editor databázy Registry.

Táto položka databázy Registry môže mať tri hodnoty a každá hodnota poskytuje iné režimy práce:

Hodnota kľúča databázy Registry Popis
0 Predvolene je kanál schannel súčasťou režimu výslovného súhlasu. To znamená, že táto aktualizácia zabezpečenia bude fungovať pre všetkých volajúcich, ktorí odošlú príznak Secure do kanála. Položka SendExtraRecord v databáze Registry schannel sa nevytvorí pomocou balíka zabezpečenia. Preto žiadna položka databázy Registry schannel znamená, že systém je spustený v tomto režime. Ak niekto vytvorí tento kľúč databázy Registry a nastaví hodnotu na 0, schannel sa znova spustí v tomto režime.

Toto nastavenie má rovnaký účinok, ako keby ste túto položku databázy Registry nevytvorili vôbec. Aplikácie, ktoré počas inicializácie relácie odošlú do schannel príznak zabezpečenia, uplatnia iba pevnú cestu zabezpečeného kódu. V prípade iných aplikácií nedôjde k žiadnej zmene správania kanála.

Táto aktualizácia zabezpečenia tiež opravuje vrstvy aplikácií, ktoré sú súčasťou prehľadávania webu pomocou Internet Explorera na odoslanie príznaku Zabezpečenie, čo napomáha zabezpečiť situácie používania prehliadača.

Poznámka: V Windows Server 2003 je potrebné nainštalovať 2638806 aktualizácie zabezpečenia na zabezpečenie klientskych aplikácií HTTP, ktoré používajú rozhrania WinHTTP API. Ďalšie informácie nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazí po kliknutí na príslušné číslo článku:
2638806 MS12-006: Popis aktualizácie zabezpečenia pre Winhttp v systéme Windows Server 2003 a Windows XP Professional, x64 Edition: 10. január 2012
1 Nastavenie hodnoty na hodnotu 1 znamená "povolené pre všetky". To znamená, že volajúci nemusia odosielať príznak a schannel rozdelí všetky SSL záznamy. Ak máte nastavenú túto hodnotu, aplikácie nemusia prijímať žiadne zmeny. Zákazník, ktorý má veľké obavy o zabezpečenie systému, môže povoliť tento kľúč databázy Registry k zvýšeniu zabezpečenia svojho systému.
2 Nastavenie hodnoty 2 znamená "zakázané pre všetkých". To znamená, že schannel nerozdelí záznamy pre žiadne šifrované volanie uskutočnené aplikáciou. Tento režim nerešpektuje príznak zabezpečenia, ktorý aplikácia odosiela.

Na základe interného testovania sme zistili, že nie je možné reálne nastaviť hodnotu databázy Registry na hodnotu 1, pretože to môže narušiť príliš veľa scenárov v podniku. Preto používateľom neodporúčame, aby ju používali.

Známe problémy s povolením položky SendExtraRecord databázy Registry

  • Nastavenie hodnoty databázy Registry SendExtraRecord na hodnotu 1 vynúti rozdelenie záznamu v každom volaní na šifrovanie údajov v kanáli. Toto sa stane bez ohľadu na to, či volajúci odoslal príznak Secure počas inicializácie relácie.
  • Mnohé aplikácie, ktoré používajú kanál schannel, sú napísané tak, že strana príjemcu predpokladá, že údaje aplikácie budú zbalené do jedného paketu. Stáva sa to aj v prípade, že aplikácia volá schannel na dešifrovanie. Aplikácie ignorujú príznak nastavený kanálom. Príznak signalizuje aplikácii, že existuje viac údajov, ktoré sa majú dešifrovať a zaznamenať príjemcom. Tento spôsob sa neriadi metódou použitia schannel predpísanou webovou lokalitou MSDN. Keďže aktualizácia zabezpečenia vynucuje rozdelenie záznamov, takéto aplikácie sa zrušia.
  • Nefunkčné aplikácie zahŕňajú produkty spoločnosti Microsoft a vstavané súčasti. Nižšie sú uvedené príklady scenárov, ktoré môžu byť nefunkčné, keď je hodnota databázy Registry SendExtraRecord nastavená na hodnotu 1:
    • Všetky produkty SQL a aplikácie, ktoré sú postavené na SQL.
    • Terminálové servery, ktoré majú zapnuté overovanie na úrovni siete (NLA). NLA je predvolene zapnutá vo Windowse Vista a novších verziách Windowsu.
    • Niektoré scenáre služby vzdialeného prístupu (Routing Remote Access Service)

Nastavenie hodnoty databázy Registry SendExtraRecord na hodnotu 1 vynúti zabezpečené rozdelenie záznamov pre všetky aplikácie, ktoré používajú Windows TLS/SSL. Toto nastavenie však pravdepodobne spôsobí problémy s kompatibilitou aplikácií. Preto odporúčame, aby zákazníci nakonfigurovali protokoly TLS 1.1 a TLS 1.2 namiesto používania tohto nastavenia databázy Registry. Protokoly TLS 1.1 a TLS 1.2 nie sú náchylné na tento problém.

Ak používateľ plánuje používať toto nastavenie databázy Registry, odporúčame, aby pred jeho implementáciou dôkladne otestoval testovanie kompatibility aplikácií. Niektoré bežné produkty, o ktorých je známe, že sú ovplyvnené týmto nastavením, zahŕňajú produkty Microsoft SQL, Windows Terminál Server a Windows Remote Access Server.

Najčastejšie otázky

Otázka: Čo môže spoločnosť Microsoft urobiť, aby mi pomohla opraviť aplikáciu na strane servera?
Odpoveď: Uistite sa, že vaša aplikácia dokáže vyriešiť fragmentáciu záznamov aplikácie SSL/TLS, ako je to popísané v nasledujúcich dokumentoch RFC: