Microsoft-beveiligingsbulletin MS15-055 - Belangrijk
Beveiligingsprobleem in Schannel kan openbaarmaking van informatie toestaan (3061518)
Gepubliceerd: 12 mei 2015
Versie: 1.0
Samenvatting
Met deze beveiligingsupdate wordt een beveiligingsprobleem in Microsoft Windows opgelost dat de openbaar bekendgemaakte Logjam-techniek vereenvoudigt, een probleem dat niet specifiek is voor Windows-besturingssystemen. Het beveiligingsprobleem kan openbaarmaking van informatie toestaan wanneer Secure Channel (Schannel) het gebruik van een zwakke Diffie-Hellman kortstondige sleutellengte (DHE) van 512 bits in een versleutelde TLS-sessie toestaat. Door 512-bits DHE-sleutels toe te staan, worden DHE-sleutels zwak en kwetsbaar voor verschillende aanvallen. Een server moet 512-bits DHE-sleutellengten ondersteunen om een aanval succesvol te kunnen uitvoeren; de minimaal toegestane DHE-sleutellengte in standaardconfiguraties van Windows-servers is 1024 bits.
Deze beveiligingsupdate is beoordeeld belangrijk voor alle ondersteunde versies van Microsoft Windows. Zie de sectie Beïnvloede software voor meer informatie.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door de minimaal toegestane DHE-sleutellengte te verhogen tot 1024 bits. Zie de sectie Informatie over beveiligingsproblemen voor meer informatie over het beveiligingsprobleem.
Zie het Microsoft Knowledge Base-artikel 3061518 voor meer informatie over deze update.
Betrokken software
De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
| Besturingssysteem | Maximale beveiligingsimpact | Classificatie voor cumulatieve ernst | Updates vervangen |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Server 2003 met SP2 voor op Itanium gebaseerde systemen (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Server 2008 | |||
| Windows Server 2008 voor 32-bits systemen Service Pack 2 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Server 2008 voor x64-systemen Service Pack 2 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Server 2008 voor Op Itanium gebaseerde Systemen Service Pack 2 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows 7 | |||
| Windows 7 voor 32-bits systemen Service Pack 1 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows 7 voor x64-systemen Service Pack 1 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Server 2008 R2 voor Op Itanium gebaseerde Systemen Service Pack 1 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows 8 en Windows 8.1 | |||
| Windows 8 voor 32-bits systemen (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 3050514 in MS15-052[1] |
| Windows 8 voor x64-systemen (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 3050514 in MS15-052[1] |
| Windows 8.1 voor 32-bits systemen (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows 8.1 voor x64-systemen (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Server 2012 en Windows Server 2012 R2 | |||
| Windows Server 2012 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 3050514 in MS15-052[1] |
| Windows Server 2012 R2 (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows RT en Windows RT 8.1 | |||
| Windows RT[2](3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows RT 8.1[2](3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Server Core-installatieoptie | |||
| Windows Server 2008 voor 32-bits systemen Service Pack 2 (Server Core-installatie) (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Server 2008 voor x64-systemen Service Pack 2 (Server Core-installatie) (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie) (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
| Windows Server 2012 (Server Core-installatie) (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 3050514 in MS15-052[1] |
| Windows Server 2012 R2 (Server Core-installatie) (3061518) | Openbaarmaking van informatie | Belangrijk | 3046049 in MS15-031 |
[1]Houd er rekening mee dat de update 3050514 in MS15-052 gelijktijdig wordt uitgebracht met 3061518 in MS15-055. Klanten die beide updates handmatig willen installeren in Windows 8 of Windows Server 2012, moeten 3050514 installeren in MS15-052 voordat ze 3061518 installeren in MS15-055 (dit wordt automatisch geregeld voor klanten met automatisch bijwerken ingeschakeld). Zie de sectie Bekende problemen van het Microsoft Knowledge Base-artikel 3061518 voor meer informatie.
[2]Deze update is alleen beschikbaar via Windows Update .
Veelgestelde vragen over bijwerken
Bevat deze update andere beveiligingsgerelateerde wijzigingen in functionaliteit?
Ja. Deze update standaardiseert TLS False Start-coderingen in Windows 8 en Windows 8.1 door Onwaar starten-optimalisatie te verwijderen tijdens het onderhandelen over codering voor de volgende twee coderingen op Windows 8-systemen:
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
Er wordt ook een inrichting geïmplementeerd voor het ongedaan maken van de toewijzing van False Start tijdens de onderhandeling van RC4-coderingssuites.
Ernstclassificaties en id's voor beveiligingsproblemen
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Index exploitability in de samenvatting van het bulletin van mei.
| Ernstclassificatie van beveiligingsproblemen en maximale beveiligingsimpact door betrokken software | ||
|---|---|---|
| Betrokken software | Beveiligingsprobleem met openbaarmaking van Schannel-informatie - CVE-2015-1716 | Classificatie voor cumulatieve ernst |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2003 met SP2 voor Op Itanium gebaseerde systemen (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2008 | ||
| Windows Server 2008 voor 32-bits systemen Service Pack 2 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2008 voor x64-systemen Service Pack 2 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2008 voor Op Itanium gebaseerde Systemen Service Pack 2 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows 7 | ||
| Windows 7 voor 32-bits systemen Service Pack 1 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows 7 voor x64-systemen Service Pack 1 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2008 R2 voor Op Itanium gebaseerde Systemen Service Pack 1 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows 8 en Windows 8.1 | ||
| Windows 8 voor 32-bits systemen (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows 8 voor x64-systemen (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows 8.1 voor 32-bits systemen (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows 8.1 voor x64-systemen (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2012 en Windows Server 2012 R2 | ||
| Windows Server 2012 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2012 R2 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows RT en Windows RT 8.1 | ||
| Windows RT (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows RT 8.1 (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Server Core-installatieoptie | ||
| Windows Server 2008 voor 32-bits systemen Service Pack 2 (Server Core-installatie) (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2008 voor x64-systemen Service Pack 2 (Server Core-installatie) (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie) (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2012 (Server Core-installatie) (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
| Windows Server 2012 R2 (Server Core-installatie) (3061518) | Belangrijke openbaarmaking van informatie | Belangrijk |
Informatie over het beveiligingsprobleem
Beveiligingsprobleem met openbaarmaking van Schannel-informatie - CVE-2015-1716
Er bestaat een beveiligingsprobleem met betrekking tot openbaarmaking van informatie in Secure Channel (Schannel) wanneer het gebruik van een zwakke Diffie-Hellman kortstondige sleutellengte (DHE) van 512 bits in een versleutelde TLS-sessie toestaat. Door 512-bits DHE-sleutels toe te staan, worden DHE-sleutels zwak en kwetsbaar voor verschillende aanvallen.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door de minimaal toegestane DHE-sleutellengte te verhogen tot 1024 bits.
Microsoft heeft informatie ontvangen over dit beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen. Toen dit beveiligingsbulletin werd uitgegeven, had Microsoft geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar is gebruikt om klanten aan te vallen.
Factoren beperken
De volgende beperkende factoren kunnen nuttig zijn in uw situatie:
- Een server moet 512-bits DHE-sleutellengten ondersteunen om een aanval succesvol te kunnen uitvoeren; de minimaal toegestane DHE-sleutellengte in standaardconfiguraties van Windows-servers is 1024 bits.
Tijdelijke oplossingen
De volgende tijdelijke oplossing kan nuttig zijn in uw situatie:
DHE-coderingssuites uitschakelen
Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit ernstige problemen veroorzaken waarvoor u het besturingssysteem mogelijk opnieuw moet installeren. Microsoft kan niet garanderen dat u problemen kunt oplossen die het gevolg zijn van een onjuist gebruik van de Register-editor. Gebruik Register-editor op eigen risico.Open de Register-editor.
Ga naar de volgende registerlocatie om de instellingen van het algoritme voor sleuteluitwisseling te openen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Selecteer de subsleutel Diffie-Hellman (als deze niet bestaat, maak deze dan).
Stel de registerwaarde Enabled DWORD in op 0 (als deze niet bestaat, maakt u deze).
Sluit de Register-editor af.
De tijdelijke oplossing ongedaan maken.
Open de Register-editor.
Ga naar de volgende registerlocatie om de instellingen van het algoritme voor sleuteluitwisseling te openen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Selecteer de subsleutel Diffie-Hellman .
Stel de registerwaarde Enabled DWORD in op 1.
Sluit de Register-editor af.
Gevolgen van de tijdelijke oplossing: versleutelde TLS-sessies die afhankelijk zijn van DHE-sleutels werken niet meer, tenzij er alternatieve failoveropties zijn geïmplementeerd.
Implementatie van beveiligingsupdates
Zie het Microsoft Knowledge Base-artikel waarnaar wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (12 mei 2015): Bulletin gepubliceerd.
Pagina gegenereerd 2015-05-27 14:31Z-07:00.