Bulletin zabezpečení společnosti Microsoft MS15-055 - Důležité
Ohrožení zabezpečení ve Schannel by mohlo umožnit zpřístupnění informací (3061518)
Publikováno: 12. května 2015
Verze: 1.0
Shrnutí
Tato aktualizace zabezpečení řeší chybu zabezpečení v systému Microsoft Windows, která usnadňuje využívání veřejně zveřejněné techniky Logjam, což je oborový problém, který není specifický pro operační systémy Windows. Ohrožení zabezpečení může umožnit zpřístupnění informací, když zabezpečený kanál (Schannel) umožňuje použít slabou délku klíče DHE (Diffie-Hellman) o délce 512 bitů v šifrované relaci TLS. Povolením 512bitových klíčů DHE jsou výměny klíčů DHE slabé a zranitelné vůči různým útokům. Aby byl útok úspěšný, musí server podporovat 512bitové délky klíčů DHE; Minimální povolená délka klíče DHE ve výchozích konfiguracích serverů s Windows je 1024 bitů.
Tato aktualizace zabezpečení je hodnocena jako důležitá pro všechny podporované verze systému Microsoft Windows. Další informace najdete v části Ovlivněný software .
Aktualizace zabezpečení řeší ohrožení zabezpečení zvýšením minimální povolené délky klíče DHE na 1024 bitů. Další informace o ohrožení zabezpečení najdete v části Informace o ohrožení zabezpečení.
Další informace o této aktualizaci naleznete v článku znalostní báze Microsoft Knowledge Base 3061518.
Ovlivněný software
Ovlivněné jsou následující verze softwaru nebo edice. Verze nebo edice, které nejsou uvedené, jsou buď po jejich životním cyklu podpory, nebo nejsou ovlivněny. Pokud chcete určit životní cyklus podpory pro vaši verzi nebo edici softwaru, přečtěte si téma podpora Microsoftu životní cyklus.
| Operační systém | Maximální dopad na zabezpečení | Agregované hodnocení závažnosti | Aktualizace nahrazeno |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Server 2008 | |||
| Windows Server 2008 pro 32bitové systémy Service Pack 2 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Server 2008 pro systémy s platformou x64 Service Pack 2 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows 7 | |||
| Windows 7 pro 32bitové systémy Service Pack 1 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows 7 pro systémy založené na platformě x64 Service Pack 1 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 pro systémy s platformou x64 Service Pack 1 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows 8 a Windows 8.1 | |||
| Windows 8 pro 32bitové systémy (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031, 3050514 v MS15-052[1] |
| Windows 8 pro systémy založené na platformě x64 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031, 3050514 v MS15-052[1] |
| Windows 8.1 pro 32bitové systémy (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows 8.1 pro systémy založené na platformě x64 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Server 2012 a Windows Server 2012 R2 | |||
| Windows Server 2012 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031, 3050514 v MS15-052[1] |
| Windows Server 2012 R2 (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows RT a Windows RT 8.1 | |||
| Windows RT[2](3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows RT 8.1[2](3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Možnost instalace jádra serveru | |||
| Windows Server 2008 pro 32bitové systémy Service Pack 2 (instalace jádra serveru) (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Server 2008 pro systémy založené na platformě x64 Service Pack 2 (instalace jádra serveru) (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 (instalace jádra serveru) (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
| Windows Server 2012 (instalace jádra serveru) (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031, 3050514 v MS15-052[1] |
| Windows Server 2012 R2 (instalace jádra serveru) (3061518) | Zveřejnění informací | Důležité | 3046049 v MS15-031 |
[1]Upozorňujeme, že aktualizace 3050514 v MS15-052 se vydává souběžně s 3061518 v MS15-055. Zákazníci, kteří mají v úmyslu nainstalovat obě aktualizace ručně ve Windows 8 nebo Windows Serveru 2012, by měli před instalací 3061518 v MS15-055 nainstalovat 3050514 v MS15-055 (to se postará automaticky pro zákazníky s povolenou automatickou aktualizací). Další informace naleznete v části Známé problémy znalostní báze Microsoft Knowledge Base článek 3061518.
[2]Tato aktualizace je dostupná pouze prostřednictvím služba Windows Update.
Nejčastější dotazy k aktualizaci
Obsahuje tato aktualizace nějaké další změny související se zabezpečením funkcí?
Ano. Tato aktualizace standardizuje šifrování TLS False Start v systémech Windows 8 a Windows 8.1 odebráním optimalizace nepravdivého spuštění během vyjednávání šifr pro následující dvě šifry v systémech Windows 8:
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
Implementuje také zřizování pro zakázání spuštění nepravda během vyjednávání šifrovací sady RC4.
Hodnocení závažnosti a identifikátory ohrožení zabezpečení
Následující hodnocení závažnosti předpokládají potenciální maximální dopad ohrožení zabezpečení. Informace týkající se pravděpodobnosti, že do 30 dnů od vydání tohoto bulletinu zabezpečení dojde k zneužití ohrožení zabezpečení v souvislosti s jeho závažností a dopadem na zabezpečení, naleznete v souhrnu v květnovém bulletinu index zneužitelnosti.
| Hodnocení závažnosti ohrožení zabezpečení a maximální dopad na zabezpečení ovlivněným softwarem | ||
|---|---|---|
| Ovlivněný software | Ohrožení zabezpečení spočívající ve zpřístupnění informací Schannel – CVE-2015-1716 | Agregované hodnocení závažnosti |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2008 | ||
| Windows Server 2008 pro 32bitové systémy Service Pack 2 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2008 pro systémy s platformou x64 Service Pack 2 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows 7 | ||
| Windows 7 pro 32bitové systémy Service Pack 1 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows 7 pro systémy založené na platformě x64 Service Pack 1 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 pro systémy s platformou x64 Service Pack 1 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows 8 a Windows 8.1 | ||
| Windows 8 pro 32bitové systémy (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows 8 pro systémy x64 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows 8.1 pro 32bitové systémy (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows 8.1 pro systémy založené na platformě x64 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2012 a Windows Server 2012 R2 | ||
| Windows Server 2012 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2012 R2 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows RT a Windows RT 8.1 | ||
| Windows RT (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows RT 8.1 (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Možnost instalace jádra serveru | ||
| Windows Server 2008 pro 32bitové systémy Service Pack 2 (instalace jádra serveru) (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2008 pro systémy x64 s aktualizací Service Pack 2 (instalace jádra serveru) (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 (instalace jádra serveru) (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2012 (instalace jádra serveru) (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
| Windows Server 2012 R2 (instalace jádra serveru) (3061518) | Důležité zpřístupnění informací | Důležité upozornění |
Informace o ohrožení zabezpečení
Ohrožení zabezpečení spočívající ve zpřístupnění informací Schannel – CVE-2015-1716
V zabezpečeném kanálu (Schannel) existuje ohrožení zabezpečení spočívající ve zpřístupnění informací, když umožňuje používat slabou délku klíče DHE (Diffie-Hellman) o délce 512 bitů v šifrované relaci TLS. Povolením 512bitových klíčů DHE jsou výměny klíčů DHE slabé a zranitelné vůči různým útokům.
Aktualizace zabezpečení řeší ohrožení zabezpečení zvýšením minimální povolené délky klíče DHE na 1024 bitů.
Společnost Microsoft obdržela informace o této chybě zabezpečení prostřednictvím koordinovaného zpřístupnění ohrožení zabezpečení. Při vydání tohoto bulletinu zabezpečení společnost Microsoft nepřijala žádné informace, které by značily, že se tato chyba zabezpečení veřejně používala k útoku zákazníků.
Faktory pro zmírnění rizika
Ve vaší situaci můžou být užitečné následující faktory pro zmírnění rizika:
- Aby byl útok úspěšný, musí server podporovat 512bitové délky klíčů DHE; Minimální povolená délka klíče DHE ve výchozích konfiguracích serverů s Windows je 1024 bitů.
Alternativní řešení
Ve vaší situaci může být užitečné následující alternativní řešení :
Zakázání šifrovacích sad DHE
Upozornění Pokud používáte Editor registru nesprávně, může dojít k vážným problémům, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že můžete vyřešit problémy, které vyplývají z nesprávného použití Editoru registru. Editor registru používejte na vlastní nebezpečí.Otevřete Editor registru.
Nastavení algoritmu výměny přístupových klíčů přejděte do následujícího umístění registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Vyberte podklíč Diffie-Hellman (pokud neexistuje, vytvořte ho).
Nastavte povolenou hodnotu registru DWORD na hodnotu 0 (pokud neexistuje, vytvořte ji).
Ukončete program Editor registru.
Postup vrácení alternativního řešení zpět
Otevřete Editor registru.
Nastavení algoritmu výměny přístupových klíčů přejděte do následujícího umístění registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Vyberte podklíč Diffie-Hellman.
Nastavte povolenou hodnotu registru DWORD na hodnotu 1.
Ukončete program Editor registru.
Dopad alternativního řešení: Šifrované relace TLS, které spoléhají na klíče DHE, už nebudou fungovat, pokud nebyly implementovány alternativní možnosti převzetí služeb při selhání.
Nasazení aktualizace zabezpečení
Informace o nasazení aktualizací zabezpečení naleznete v článku znalostní báze Microsoft Knowledge Base, na který se odkazuje v souhrnu vedení.
Poděkování
Microsoft rozpoznává úsilí těch, kteří jsou v komunitě zabezpečení, kteří nám pomáhají chránit zákazníky prostřednictvím koordinovaného zpřístupnění ohrožení zabezpečení. Další informace najdete v části Potvrzení .
Právní doložka
Informace poskytované ve znalostní bázi Microsoft Knowledge Base jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (12. května 2015): Bulletin publikováno.
Stránka vygenerovaná 2015-05-27 14:31Z-07:00.