Udostępnij za pośrednictwem


Biuletyn zabezpieczeń firmy Microsoft MS15-055 — ważne

Luka w zabezpieczeniach Schannel może zezwalać na ujawnienie informacji (3061518)

Opublikowano: 12 maja 2015 r.

Wersja: 1.0

Streszczenie

Ta aktualizacja zabezpieczeń rozwiązuje lukę w zabezpieczeniach systemu Microsoft Windows, która ułatwia wykorzystanie publicznie ujawnionej techniki Logjam, problemu dla całej branży, który nie jest specyficzny dla systemów operacyjnych Windows. Luka w zabezpieczeniach może umożliwić ujawnienie informacji, gdy bezpieczny kanał (Schannel) umożliwia użycie słabego klucza efemerycznego Diffie-Hellman (DHE) o długości 512 bitów w zaszyfrowanej sesji protokołu TLS. Umożliwienie 512-bitowych kluczy DHE sprawia, że klucze DHE wymieniają się słabymi i podatnymi na różne ataki. Serwer musi obsługiwać 512-bitowe długości kluczy DHE, aby atak zakończył się powodzeniem; minimalna dozwolona długość klucza DHE w domyślnych konfiguracjach serwerów z systemem Windows wynosi 1024 bity.

Ta aktualizacja zabezpieczeń jest oceniana jako ważna dla wszystkich obsługiwanych wersji systemu Microsoft Windows. Aby uzyskać więcej informacji, zobacz sekcję Oprogramowanie, którego dotyczy problem .

Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach przez zwiększenie minimalnej dozwolonej długości klucza DHE do 1024 bitów. Aby uzyskać więcej informacji na temat luki w zabezpieczeniach, zobacz sekcję Informacje o lukach w zabezpieczeniach.

Aby uzyskać więcej informacji na temat tej aktualizacji, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 3061518.

Oprogramowanie, którego dotyczy problem

Dotyczy to następujących wersji oprogramowania lub edycji. Wersje lub wersje, które nie są wymienione, są przeszłości ich cyklu życia pomocy technicznej lub nie mają wpływu. Aby określić cykl życia pomocy technicznej dla wersji lub wydania oprogramowania, zobacz pomoc techniczna firmy Microsoft Cykl życia.

System operacyjny Maksymalny wpływ na zabezpieczenia Ocena zagregowanej ważności Aktualizacje zastąpione
Windows Server 2003
Windows Server 2003 z dodatkiem Service Pack 2 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Server 2003 z dodatkiem SP2 dla systemów itanium (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Vista
Windows Vista z dodatkiem Service Pack 2 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Vista x64 Edition z dodatkiem Service Pack 2 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Server 2008
Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Server 2008 dla systemów itanium z dodatkiem Service Pack 2 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows 7
Windows 7 dla 32-bitowych systemów z dodatkiem Service Pack 1 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
System Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Server 2008 R2
Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Server 2008 R2 dla systemów itanium z dodatkiem Service Pack 1 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows 8 i Windows 8.1
System Windows 8 dla systemów 32-bitowych (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031 3050514 w ms15-052[1]
System Windows 8 dla systemów opartych na architekturze x64 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031 3050514 w ms15-052[1]
Windows 8.1 dla systemów 32-bitowych (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows 8.1 dla systemów opartych na architekturze x64 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Server 2012 i Windows Server 2012 R2
Windows Server 2012 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031 3050514 w ms15-052[1]
Windows Server 2012 R2 (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows RT i Windows RT 8.1
Windows RT[2](3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows RT 8.1[2](3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Opcja instalacji Server Core
Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (instalacja Server Core) (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (instalacja Server Core) (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (instalacja Server Core) (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031
Windows Server 2012 (instalacja Server Core) (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031 3050514 w ms15-052[1]
Windows Server 2012 R2 (instalacja Server Core) (3061518) Information Disclosure (ujawnienie informacji) Ważne 3046049 w ms15-031

[1]Należy pamiętać, że 3050514 aktualizacji w ms15-052 jest zwalniana współbieżnie z 3061518 w ms15-055. Klienci, którzy zamierzają ręcznie zainstalować obie aktualizacje w systemie Windows 8 lub Windows Server 2012, powinni zainstalować 3050514 w ms15-052 przed zainstalowaniem 3061518 w ms15-055 (jest to automatycznie obsługiwane dla klientów z włączonym automatycznym aktualizowaniem). Aby uzyskać więcej informacji, zobacz sekcję Znane problemy artykułu bazy wiedzy Microsoft Knowledge Base 3061518.

[2]Ta aktualizacja jest dostępna tylko za pośrednictwem usługi Windows Update .

Często zadawane pytania dotyczące aktualizacji

Czy ta aktualizacja zawiera jakiekolwiek inne zmiany związane z zabezpieczeniami dotyczące funkcji?
Tak. Ta aktualizacja standaryzacji szyfrów TLS False Start w systemach Windows 8 i Windows 8.1 przez usunięcie optymalizacji false start podczas negocjacji szyfrowania dla następujących dwóch szyfrów w systemach Windows 8:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Implementuje również aprowizację umożliwiającą niedozwolonie funkcji False Start podczas negocjacji pakietu szyfrowania RC4.

Klasyfikacje ważności i identyfikatory luk w zabezpieczeniach

Następujące oceny ważności zakładają potencjalny maksymalny wpływ luki w zabezpieczeniach. Aby uzyskać informacje dotyczące prawdopodobieństwa, w ciągu 30 dni od wydania tego biuletynu zabezpieczeń, możliwości wykorzystania luki w zabezpieczeniach w odniesieniu do jego oceny ważności i wpływu na zabezpieczenia, zobacz indeks wykorzystania w podsumowaniu biuletynu majowego.

Ocena ważności luk w zabezpieczeniach i maksymalny wpływ na zabezpieczenia przez oprogramowanie, którego dotyczy problem
Oprogramowanie, którego dotyczy problem Luka w zabezpieczeniach dotycząca ujawniania informacji Schannel — CVE-2015-1716 Ocena zagregowanej ważności
Windows Server 2003
Windows Server 2003 z dodatkiem Service Pack 2 (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2003 x64 Edition z dodatkiem Service Pack 2 (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2003 z dodatkiem SP2 dla systemów opartych na itanium (3061518) Ujawnienie ważnych informacji Ważny
Windows Vista
Windows Vista Service Pack 2 (3061518) Ujawnienie ważnych informacji Ważny
Windows Vista x64 Edition z dodatkiem Service Pack 2 (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2008
Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2008 dla systemów itanium z dodatkiem Service Pack 2 (3061518) Ujawnienie ważnych informacji Ważny
Windows 7
Windows 7 dla 32-bitowych systemów z dodatkiem Service Pack 1 (3061518) Ujawnienie ważnych informacji Ważny
Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2008 R2
Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2008 R2 dla systemów itanium z dodatkiem Service Pack 1 (3061518) Ujawnienie ważnych informacji Ważny
Windows 8 i Windows 8.1
System Windows 8 dla systemów 32-bitowych (3061518) Ujawnienie ważnych informacji Ważny
System Windows 8 dla systemów opartych na architekturze x64 (3061518) Ujawnienie ważnych informacji Ważny
Windows 8.1 dla systemów 32-bitowych (3061518) Ujawnienie ważnych informacji Ważny
Windows 8.1 dla systemów opartych na architekturze x64 (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2012 i Windows Server 2012 R2
Windows Server 2012 (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2012 R2 (3061518) Ujawnienie ważnych informacji Ważny
Windows RT i Windows RT 8.1
Windows RT (3061518) Ujawnienie ważnych informacji Ważny
Windows RT 8.1 (3061518) Ujawnienie ważnych informacji Ważny
Opcja instalacji Server Core
Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (instalacja Server Core) (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (instalacja Server Core) (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (instalacja Server Core) (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2012 (instalacja Server Core) (3061518) Ujawnienie ważnych informacji Ważny
Windows Server 2012 R2 (instalacja Server Core) (3061518) Ujawnienie ważnych informacji Ważny

Informacje o lukach w zabezpieczeniach

Luka w zabezpieczeniach dotycząca ujawniania informacji Schannel — CVE-2015-1716

Luka w zabezpieczeniach umożliwiająca ujawnienie informacji istnieje w bezpiecznym kanale (Schannel), gdy umożliwia użycie słabego klucza efemerycznego Diffie-Hellman (DHE) o długości 512 bitów w zaszyfrowanej sesji protokołu TLS. Umożliwienie 512-bitowych kluczy DHE sprawia, że klucze DHE wymieniają się słabymi i podatnymi na różne ataki.

Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach przez zwiększenie minimalnej dozwolonej długości klucza DHE do 1024 bitów.

Firma Microsoft otrzymała informacje o tej lukach w zabezpieczeniach poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Po wydaniu tego biuletynu zabezpieczeń firma Microsoft nie otrzymała żadnych informacji wskazujących, że ta luka w zabezpieczeniach została publicznie wykorzystana do ataku na klientów.

Czynniki korygujące

Następujące czynniki korygujące mogą być pomocne w Twojej sytuacji:

  • Serwer musi obsługiwać 512-bitowe długości kluczy DHE, aby atak zakończył się powodzeniem; minimalna dozwolona długość klucza DHE w domyślnych konfiguracjach serwerów z systemem Windows wynosi 1024 bity.

Obejścia

Następujące obejście może być przydatne w twojej sytuacji:

  • Wyłączanie zestawów szyfrów DHE
    Ostrzeżenie Jeśli używasz edytora rejestru niepoprawnie, może to spowodować poważne problemy, które mogą wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możesz rozwiązać problemy wynikające z nieprawidłowego używania Edytora rejestru. Użyj Edytora rejestru na własne ryzyko.

    1. Uruchom Edytor rejestru.

    2. Uzyskaj dostęp do ustawień algorytmu wymiany kluczy, przechodząc do następującej lokalizacji rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms

    3. Wybierz klucz podrzędny Diffie-Hellman (jeśli nie istnieje, a następnie utwórz go).

    4. Ustaw wartość rejestru DWORD włączone na 0 (jeśli nie istnieje, utwórz ją).

    5. Zamknij Edytor rejestru.  

    Jak cofnąć obejście.

    1. Uruchom Edytor rejestru.

    2. Uzyskaj dostęp do ustawień algorytmu wymiany kluczy, przechodząc do następującej lokalizacji rejestru:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms

    3. Wybierz klucz podrzędny Diffie-Hellman .

    4. Ustaw wartość rejestru DWORD włączone na 1.

    5. Zamknij Edytor rejestru.

     

    Wpływ obejścia: Zaszyfrowane sesje protokołu TLS, które opierają się na kluczach DHE, nie będą już działać, chyba że zostaną zaimplementowane alternatywne opcje trybu failover.

Wdrażanie aktualizacji zabezpieczeń

Aby uzyskać informacje o wdrażaniu aktualizacji zabezpieczeń, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base, do których odwołuje się podsumowanie wykonawcze.

Podziękowania

Firma Microsoft uznaje wysiłki osób w społeczności zabezpieczeń, które pomagają nam chronić klientów poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Aby uzyskać więcej informacji, zobacz Potwierdzenie .

Zastrzeżenie

Informacje podane w bazie wiedzy Microsoft Knowledge Base są dostarczane "tak, jak to jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.

Poprawki

  • Wersja 1.0 (12 maja 2015 r.): Opublikowano biuletyn.

Strona wygenerowana 2015-05-27 14:31Z-07:00.