MS12-006：SSL/TLS 中的漏洞可能允许信息泄漏：2012 年 1 月 10 日

简介

Microsoft 已发布安全公告 MS12-006。若要查看完整的安全公告，请访问以下 Microsoft 网站之一：

家庭用户：

http://www.microsoft.com/zh-cn/security/pc-security/bulletins/201201.aspx跳过详细信息：立即从 Microsoft Update 网站为您的家庭计算机或便携式计算机下载更新：

http://www.update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=zh-cn
IT 专业人员：

http://technet.microsoft.com/zh-cn/security/bulletin/ms12-006

如何获取此安全更新的相关帮助和支持

帮助安装更新：Microsoft 更新支持

适用于 IT 专业人员的安全解决方案：TechNet 安全疑难解答和支持

帮助保护您运行 Windows 的计算机不受病毒和恶意软件危害：病毒解决方案和安全中心

基于国家/地区的本地支持：国际支持

帮我修复此问题

有两种 Fix it 解决方案可用。

适用于 Internet Explorer 中的传输层安全性 (TLS) 1.1 的 Fix it 解决方案：此解决方案可启用 Windows Internet Explorer 中未受此漏洞影响的 TLS 1.1。大多数典型用户应该安装此 Fix it 解决方案。
基于 Windows 的服务器上的 TLS 1.1 的 Fix it 解决方案：此解决方案可启用未受此漏洞影响的 TLS 1.1。

本部分中介绍的两种 Fix it 解决方案不能取代任何安全更新。我们建议您总是安装最新的安全更新。但是，我们提供这些 Fix it 解决方案作为某些情形下的替代方法。

有关解决方法的详细信息，请参阅安全公告 MS12-006：

http://technet.microsoft.com/zh-cn/security/bulletin/ms12-006 此公告提供了有关此问题的详细信息，并包含以下内容：

可能应用或禁用此替代方法的情况
缓解因素
替代方法
常见问题

具体来说，若要查看此信息，请查找“漏洞信息”部分，然后展开“SSL 和 TLS 协议漏洞 - CVE-2011-3389”段落下的“解决方法”段落。

适用于 Internet Explorer 上的 TLS 1.1 的 Fix it 解决方案

若要启用或禁用此 Fix it 解决方案，请单击“Fix it”按钮或“启用”或“禁用”标题下的链接。单击“文件下载”对话框中的“运行”，然后执行“修复此问题”向导中的步骤。

启用	禁用

注意

这些向导可能只提供英文版本。但是自动修复功能同样适用于其他语言版本的 Windows。
如果操作的计算机中并未出现此问题，则可将自动修复功能保存至闪存驱动器或 CD 中，以便您可以在出现此问题的计算机中运行该功能。

适用于基于 Windows 的服务器上的 TLS 1.1 的 Fix it 解决方案

启用	禁用

注意

此向导可能只提供英文版本。但是，自动修复对其他语言版本的 Windows 同样适用。
如果操作的计算机中并未出现此问题，则可将自动修复功能保存至闪存驱动器或 CD 中，以便您可以在出现此问题的计算机中运行该功能。

此安全更新的已知问题

安装此安全更新后，您可能遇到验证失败或与某些 HTTPS 服务器的连接丢失的问题。此问题发生的原因是，此安全更新更改了记录发送到 HTTPS 服务器的方式。

要暂时禁用或重新启用此安全更新，请单击“Fix it”按钮或“禁用安全更新”或“重新启用安全更新”标题下的链接。单击“文件下载”对话框中的“运行”，然后执行 Fix it 向导中的步骤。

禁用安全更新	重新启用安全更新

注意

此向导可能只提供英文版本。但是，自动修复对其他语言版本的 Windows 同样适用。
如果操作的计算机中并未出现此问题，则可将自动修复功能保存至闪存驱动器或 CD 中，以便您可以在出现此问题的计算机中运行该功能。

下表表示这些 Fix it 解决方案应用到 SendExtraRecord 注册表 DWORD 项的值：

标题	应用于 SendExtraRecord 项的值
禁用安全更新	2
重新启用安全更新	0

注意SendExtraRecord 设置将包括在 Windows 的未来版本中。

有关此安全更新的已知问题和其他信息

下列文章包含此更新针对具体产品版本的其他信息。文章可能包含已知问题的信息。如果是这种情况，已知问题会在每个文章链接的下方列出：

2585542 MS12-006：Windows 中 Webio、Winhttp 和 schannel 的安全更新说明：2012 年 1 月 10 日
2638806 MS12-006：Windows Server 2003 和 Windows XP Professional x64 Edition 中 Winhttp 的安全更新说明：2012 年 1 月 10 日

注册表信息

不推荐我们不建议您使用下列程序禁用此安全更新。但是，我们提供的此程序适用于某些情况，例如，您可能正在使用不与此安全更新兼容的应用程序，这会启用所有应用程序的拆分 SSL 记录。

重要说明本部分（或称方法或任务）包含有关如何修改注册表的步骤。但是，注册表修改不当可能会出现严重问题。因此，请一定严格按照下列步骤操作。为了获得进一步保护，请在修改注册表之前对其进行备份。这样就可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

322756如何在 Windows 中备份和还原注册表

默认情况下，由于应用程序兼容性问题，此安全更新在 schannel 级别设置 Opt-in 模式。要禁用系统范围内所有应用程序的这一安全更新，您必须将名为“SendExtraRecord”且值为 2 的 DWORD 值添加到以下注册表子项：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL 若要添加此 schannel 注册表项，请执行以下步骤：

依次单击“开始”、“运行”，在“打开”框中键入“regedit”，然后单击“确定”。
找到并单击注册表中的以下子项：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。
键入 SendExtraRecord 作为 DWORD 的名称，然后按 Enter 键。
右键单击“SendExtraRecord”，然后单击“修改”.
在“数值数据”框中，键入“2”禁用 schannel 中的拆分记录，然后单击“确定”。
退出注册表编辑器。

此注册表项可以有三个值，每个值均提供不同的操作模式：

注册表项值	说明
0	默认情况下，schannel 包含在“Optin 模式”中。这意味着此安全更新将为发送安全标志到 schannel 的所有调用方服务。安全软件包将创建“SendExtraRecord”schannel 注册表项。因此，无 schannel 注册表项意味着系统正在运行此模式。如果有人创建了此注册表项并将值设置为 0，则 schannel 将再次在此模式中运行。此设置与完全不创建此注册表项的效果相同。在初始化期间发送安全标志到 schannel 的应用程序将只运用固定的安全代码路径。对于其他应用程序，schannel 行为方面将无变化。此安全更新还将修复使用 Internet Explorer 发送安全标志参与 Web 浏览的应用程序层，从而帮助保护浏览器的使用场合。注意必须在 Windows Server 2003 中安装安全更新 2638806，以帮助保护使用 WinHTTP API 的 HTTP 客户端应用程序。有关详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 2638806 MS12-006：Windows Server 2003 和 Windows XP Professional x64 Edition 中 Winhttp 的安全更新说明：2012 年 1 月 10 日
1	将值设置为 1 表示“为所有启用”。这意味着调用方不必发送标志，并且 schannel 将拆分所有的 SSL 记录。设置此值后，应用程序不必进行任何更改。非常担心系统安全的客户可启用此注册表项以使系统变得更安全。
2	将值设置为 2 表示“为所有禁用”。这意味着 schannel 不会为应用程度发出的任何加密呼叫拆分记录。此模式不服从应用程序发送的安全标志。

注册表项值

说明

默认情况下，schannel 包含在“Optin 模式”中。这意味着此安全更新将为发送安全标志到 schannel 的所有调用方服务。安全软件包将创建“SendExtraRecord”schannel 注册表项。因此，无 schannel 注册表项意味着系统正在运行此模式。如果有人创建了此注册表项并将值设置为 0，则 schannel 将再次在此模式中运行。

此设置与完全不创建此注册表项的效果相同。在初始化期间发送安全标志到 schannel 的应用程序将只运用固定的安全代码路径。对于其他应用程序，schannel 行为方面将无变化。

此安全更新还将修复使用 Internet Explorer 发送安全标志参与 Web 浏览的应用程序层，从而帮助保护浏览器的使用场合。

注意必须在 Windows Server 2003 中安装安全更新 2638806，以帮助保护使用 WinHTTP API 的 HTTP 客户端应用程序。有关详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

2638806 MS12-006：Windows Server 2003 和 Windows XP Professional x64 Edition 中 Winhttp 的安全更新说明：2012 年 1 月 10 日

将值设置为 1 表示“为所有启用”。这意味着调用方不必发送标志，并且 schannel 将拆分所有的 SSL 记录。设置此值后，应用程序不必进行任何更改。非常担心系统安全的客户可启用此注册表项以使系统变得更安全。

将值设置为 2 表示“为所有禁用”。这意味着 schannel 不会为应用程度发出的任何加密呼叫拆分记录。此模式不服从应用程序发送的安全标志。

根据内部测试，我们发现您无法有效地将注册表值设置为 1，因为它会中断企业中的许多场景。因此，我们不鼓励用户使用它。

启用 SendExtraRecord 注册表项的已知问题

将 SendExtraRecord 注册表值设置为 1 会强制在每次调用 schannel 中的加密数据时执行记录拆分。无论调用方是否在会话初始化期间发送安全标志，都会出现此情况。
已编写了许多使用 schannel 的应用程序，因此接收端假定应用程序数据将被打包到一个单数据包中。即使应用程序调用 schannel 进行解密，仍然会发生这种情况。应用程序忽略 schannel 设置的标志。该标志向应用程序表明，有更多的数据需要由接收方进行解密和获取。此方法不遵循 MSDN 规定的使用 schannel 的方法。因为安全更新会强制执行记录拆分，这将中断此类应用程序。
中断的应用程序包括 Microsoft 产品和封装组件。以下是一些方案示例，在将 SendExtraRecord 注册表值设置为 1 时，它们会被中断：
- 所有 SQL 产品以及构建到 SQL 上的应用程序。
- 已开启网络级别身份验证 (NLA) 的终端服务器。默认情况下，在 Windows Vista 和更高版本的 Windows 中启用了 NLA。
- 某些路由远程访问服务 (RRAS) 方案。

将 SendExtraRecord 注册表值设置为 1 会为所有使用 Windows TLS/SSL 的应用程序强制执行安全记录拆分。但是，此设置有可能出现应用程序兼容性问题。因此，我们建议客户配置 TLS 1.1 和 TLS 1.2，而不是使用此注册表设置。TLS 1.1 和 TLS 1.2 不易受到此问题的影响。

如果用户打算使用此注册表设置，我们建议他们在执行此操作之前对应用程序兼容性测试进行广泛的测试。已知的会受此设置影响的而一些常见产品包括 Microsoft SQL 产品、Windows 终端服务器和 Windows 远程访问服务器。

常见问题

问： Microsoft 可以做些什么来帮助我修复服务器端应用程序？
答：确保您的应用程序可以处理 SSL/TLS 应用程序记录的碎片，如以下 RFC 所述：