Biuletyn zabezpieczeń firmy Microsoft MS15-055 — ważne
Luka w zabezpieczeniach Schannel może zezwalać na ujawnienie informacji (3061518)
Opublikowano: 12 maja 2015 r.
Wersja: 1.0
Streszczenie
Ta aktualizacja zabezpieczeń rozwiązuje lukę w zabezpieczeniach systemu Microsoft Windows, która ułatwia wykorzystanie publicznie ujawnionej techniki Logjam, problemu dla całej branży, który nie jest specyficzny dla systemów operacyjnych Windows. Luka w zabezpieczeniach może umożliwić ujawnienie informacji, gdy bezpieczny kanał (Schannel) umożliwia użycie słabego klucza efemerycznego Diffie-Hellman (DHE) o długości 512 bitów w zaszyfrowanej sesji protokołu TLS. Umożliwienie 512-bitowych kluczy DHE sprawia, że klucze DHE wymieniają się słabymi i podatnymi na różne ataki. Serwer musi obsługiwać 512-bitowe długości kluczy DHE, aby atak zakończył się powodzeniem; minimalna dozwolona długość klucza DHE w domyślnych konfiguracjach serwerów z systemem Windows wynosi 1024 bity.
Ta aktualizacja zabezpieczeń jest oceniana jako ważna dla wszystkich obsługiwanych wersji systemu Microsoft Windows. Aby uzyskać więcej informacji, zobacz sekcję Oprogramowanie, którego dotyczy problem .
Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach przez zwiększenie minimalnej dozwolonej długości klucza DHE do 1024 bitów. Aby uzyskać więcej informacji na temat luki w zabezpieczeniach, zobacz sekcję Informacje o lukach w zabezpieczeniach.
Aby uzyskać więcej informacji na temat tej aktualizacji, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 3061518.
Oprogramowanie, którego dotyczy problem
Dotyczy to następujących wersji oprogramowania lub edycji. Wersje lub wersje, które nie są wymienione, są przeszłości ich cyklu życia pomocy technicznej lub nie mają wpływu. Aby określić cykl życia pomocy technicznej dla wersji lub wydania oprogramowania, zobacz pomoc techniczna firmy Microsoft Cykl życia.
| System operacyjny | Maksymalny wpływ na zabezpieczenia | Ocena zagregowanej ważności | Aktualizacje zastąpione |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 z dodatkiem Service Pack 2 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Server 2003 x64 Edition z dodatkiem Service Pack 2 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Server 2003 z dodatkiem SP2 dla systemów itanium (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Vista | |||
| Windows Vista z dodatkiem Service Pack 2 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Vista x64 Edition z dodatkiem Service Pack 2 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Server 2008 | |||
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Server 2008 dla systemów itanium z dodatkiem Service Pack 2 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows 7 | |||
| Windows 7 dla 32-bitowych systemów z dodatkiem Service Pack 1 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| System Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Server 2008 R2 dla systemów itanium z dodatkiem Service Pack 1 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows 8 i Windows 8.1 | |||
| System Windows 8 dla systemów 32-bitowych (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 3050514 w ms15-052[1] |
| System Windows 8 dla systemów opartych na architekturze x64 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 3050514 w ms15-052[1] |
| Windows 8.1 dla systemów 32-bitowych (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows 8.1 dla systemów opartych na architekturze x64 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Server 2012 i Windows Server 2012 R2 | |||
| Windows Server 2012 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 3050514 w ms15-052[1] |
| Windows Server 2012 R2 (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows RT i Windows RT 8.1 | |||
| Windows RT[2](3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows RT 8.1[2](3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Opcja instalacji Server Core | |||
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (instalacja Server Core) (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (instalacja Server Core) (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (instalacja Server Core) (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
| Windows Server 2012 (instalacja Server Core) (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 3050514 w ms15-052[1] |
| Windows Server 2012 R2 (instalacja Server Core) (3061518) | Information Disclosure (ujawnienie informacji) | Ważne | 3046049 w ms15-031 |
[1]Należy pamiętać, że 3050514 aktualizacji w ms15-052 jest zwalniana współbieżnie z 3061518 w ms15-055. Klienci, którzy zamierzają ręcznie zainstalować obie aktualizacje w systemie Windows 8 lub Windows Server 2012, powinni zainstalować 3050514 w ms15-052 przed zainstalowaniem 3061518 w ms15-055 (jest to automatycznie obsługiwane dla klientów z włączonym automatycznym aktualizowaniem). Aby uzyskać więcej informacji, zobacz sekcję Znane problemy artykułu bazy wiedzy Microsoft Knowledge Base 3061518.
[2]Ta aktualizacja jest dostępna tylko za pośrednictwem usługi Windows Update .
Często zadawane pytania dotyczące aktualizacji
Czy ta aktualizacja zawiera jakiekolwiek inne zmiany związane z zabezpieczeniami dotyczące funkcji?
Tak. Ta aktualizacja standaryzacji szyfrów TLS False Start w systemach Windows 8 i Windows 8.1 przez usunięcie optymalizacji false start podczas negocjacji szyfrowania dla następujących dwóch szyfrów w systemach Windows 8:
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
Implementuje również aprowizację umożliwiającą niedozwolonie funkcji False Start podczas negocjacji pakietu szyfrowania RC4.
Klasyfikacje ważności i identyfikatory luk w zabezpieczeniach
Następujące oceny ważności zakładają potencjalny maksymalny wpływ luki w zabezpieczeniach. Aby uzyskać informacje dotyczące prawdopodobieństwa, w ciągu 30 dni od wydania tego biuletynu zabezpieczeń, możliwości wykorzystania luki w zabezpieczeniach w odniesieniu do jego oceny ważności i wpływu na zabezpieczenia, zobacz indeks wykorzystania w podsumowaniu biuletynu majowego.
| Ocena ważności luk w zabezpieczeniach i maksymalny wpływ na zabezpieczenia przez oprogramowanie, którego dotyczy problem | ||
|---|---|---|
| Oprogramowanie, którego dotyczy problem | Luka w zabezpieczeniach dotycząca ujawniania informacji Schannel — CVE-2015-1716 | Ocena zagregowanej ważności |
| Windows Server 2003 | ||
| Windows Server 2003 z dodatkiem Service Pack 2 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2003 x64 Edition z dodatkiem Service Pack 2 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2003 z dodatkiem SP2 dla systemów opartych na itanium (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Vista x64 Edition z dodatkiem Service Pack 2 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2008 | ||
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2008 dla systemów itanium z dodatkiem Service Pack 2 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows 7 | ||
| Windows 7 dla 32-bitowych systemów z dodatkiem Service Pack 1 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2008 R2 dla systemów itanium z dodatkiem Service Pack 1 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows 8 i Windows 8.1 | ||
| System Windows 8 dla systemów 32-bitowych (3061518) | Ujawnienie ważnych informacji | Ważny |
| System Windows 8 dla systemów opartych na architekturze x64 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows 8.1 dla systemów 32-bitowych (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows 8.1 dla systemów opartych na architekturze x64 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2012 i Windows Server 2012 R2 | ||
| Windows Server 2012 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2012 R2 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows RT i Windows RT 8.1 | ||
| Windows RT (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows RT 8.1 (3061518) | Ujawnienie ważnych informacji | Ważny |
| Opcja instalacji Server Core | ||
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (instalacja Server Core) (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (instalacja Server Core) (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (instalacja Server Core) (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2012 (instalacja Server Core) (3061518) | Ujawnienie ważnych informacji | Ważny |
| Windows Server 2012 R2 (instalacja Server Core) (3061518) | Ujawnienie ważnych informacji | Ważny |
Informacje o lukach w zabezpieczeniach
Luka w zabezpieczeniach dotycząca ujawniania informacji Schannel — CVE-2015-1716
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji istnieje w bezpiecznym kanale (Schannel), gdy umożliwia użycie słabego klucza efemerycznego Diffie-Hellman (DHE) o długości 512 bitów w zaszyfrowanej sesji protokołu TLS. Umożliwienie 512-bitowych kluczy DHE sprawia, że klucze DHE wymieniają się słabymi i podatnymi na różne ataki.
Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach przez zwiększenie minimalnej dozwolonej długości klucza DHE do 1024 bitów.
Firma Microsoft otrzymała informacje o tej lukach w zabezpieczeniach poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Po wydaniu tego biuletynu zabezpieczeń firma Microsoft nie otrzymała żadnych informacji wskazujących, że ta luka w zabezpieczeniach została publicznie wykorzystana do ataku na klientów.
Czynniki korygujące
Następujące czynniki korygujące mogą być pomocne w Twojej sytuacji:
- Serwer musi obsługiwać 512-bitowe długości kluczy DHE, aby atak zakończył się powodzeniem; minimalna dozwolona długość klucza DHE w domyślnych konfiguracjach serwerów z systemem Windows wynosi 1024 bity.
Obejścia
Następujące obejście może być przydatne w twojej sytuacji:
Wyłączanie zestawów szyfrów DHE
Ostrzeżenie Jeśli używasz edytora rejestru niepoprawnie, może to spowodować poważne problemy, które mogą wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możesz rozwiązać problemy wynikające z nieprawidłowego używania Edytora rejestru. Użyj Edytora rejestru na własne ryzyko.Uruchom Edytor rejestru.
Uzyskaj dostęp do ustawień algorytmu wymiany kluczy, przechodząc do następującej lokalizacji rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Wybierz klucz podrzędny Diffie-Hellman (jeśli nie istnieje, a następnie utwórz go).
Ustaw wartość rejestru DWORD włączone na 0 (jeśli nie istnieje, utwórz ją).
Zamknij Edytor rejestru.
Jak cofnąć obejście.
Uruchom Edytor rejestru.
Uzyskaj dostęp do ustawień algorytmu wymiany kluczy, przechodząc do następującej lokalizacji rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Wybierz klucz podrzędny Diffie-Hellman .
Ustaw wartość rejestru DWORD włączone na 1.
Zamknij Edytor rejestru.
Wpływ obejścia: Zaszyfrowane sesje protokołu TLS, które opierają się na kluczach DHE, nie będą już działać, chyba że zostaną zaimplementowane alternatywne opcje trybu failover.
Wdrażanie aktualizacji zabezpieczeń
Aby uzyskać informacje o wdrażaniu aktualizacji zabezpieczeń, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base, do których odwołuje się podsumowanie wykonawcze.
Podziękowania
Firma Microsoft uznaje wysiłki osób w społeczności zabezpieczeń, które pomagają nam chronić klientów poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Aby uzyskać więcej informacji, zobacz Potwierdzenie .
Zastrzeżenie
Informacje podane w bazie wiedzy Microsoft Knowledge Base są dostarczane "tak, jak to jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Poprawki
- Wersja 1.0 (12 maja 2015 r.): Opublikowano biuletyn.
Strona wygenerowana 2015-05-27 14:31Z-07:00.