Бюллетень по безопасности Майкрософт MS16-065 — важно
Обновление системы безопасности для платформа .NET Framework (3156757)
Опубликовано: 10 мая 2016 г. | Обновлено: 12 мая 2016 г.
Версия: 1.1
Краткий обзор
Это обновление системы безопасности устраняет уязвимость в Microsoft платформа .NET Framework. Уязвимость может привести к раскрытию информации, если злоумышленник внедряет незашифрованные данные в целевой защищенный канал, а затем выполняет атаку "человек в середине" (MiTM) между целевым клиентом и законным сервером.
Это обновление системы безопасности оценивается как важно для Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (SP2), Microsoft платформа .NET Framework 3.5, Microsoft платформа .NET Framework 3.5.1, Microsoft платформа .NET Framework 4.5.2, Майкрософт платформа .NET Framework 4.6 и Microsoft платформа .NET Framework 4.6.1 в затронутых выпусках Microsoft Windows. Дополнительные сведения см. в разделе "Затронутая программа ".
Обновление системы безопасности устраняет уязвимость, изменив способ отправки и получения зашифрованных сетевых пакетов компонентом шифрования .NET. Дополнительные сведения об уязвимости см. в разделе "Сведения об уязвимостях".
Дополнительные сведения об этом обновлении см . в статье базы знаний Майкрософт 3156757.
Оценки серьезности уязвимостей и программного обеспечения
Затронуты следующие версии программного обеспечения или выпуски. Версии или выпуски, не перечисленные в списке, были в прошлом жизненном цикле поддержки или не затронуты. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
Оценки серьезности, указанные для каждого затронутого программного обеспечения, предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости по отношению к его оценке серьезности и влиянию на безопасность, см. в сводке по индексу эксплойтации в майских бюллетенях.
| Операционная система | Компонент | Уязвимость раскрытия информации TLS/SSL — CVE-2016-0149 | Обновления заменены |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (3142023) | Важное раскрытие информации | нет |
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.5.2[1](3142033) | Важное раскрытие информации | 2972107 в MS14-057 |
| Windows Vista с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.6[1](3142037) | Важное раскрытие информации | нет |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (3142023) | Важное раскрытие информации | нет |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 4.5.2[1](3142033) | Важное раскрытие информации | 2972107 в MS14-057 |
| Windows Vista x64 Edition с пакетом обновления 2 | Microsoft платформа .NET Framework 4.6[1](3142037) | Важное раскрытие информации | нет |
| Windows Server 2008 | |||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (3142023) | Важное раскрытие информации | нет |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 4.5.2[1](3142033) | Важное раскрытие информации | 2972107 в MS14-057 |
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 | Microsoft платформа .NET Framework 4.6[1](3142037) | Важное раскрытие информации | нет |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (3142023) | Важное раскрытие информации | нет |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.5.2[1](3142033) | Важное раскрытие информации | 2972107 в MS14-057 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 4.6[1](3142037) | Важное раскрытие информации | нет |
| Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2) | Microsoft платформа .NET Framework 2.0 с пакетом обновления 2 (3142023) | Важное раскрытие информации | нет |
| Windows 7 | |||
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3142024) | Важное раскрытие информации | нет |
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 4.5.2[1](3142033) | Важное раскрытие информации | 2972107 в MS14-057 |
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 4.6/4.6.1[1](3142037) | Важное раскрытие информации | нет |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3142024) | Важное раскрытие информации | нет |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 4.5.2[1](3142033) | Важное раскрытие информации | 2972107 в MS14-057 |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 4.6/4.6.1[1](3142037) | Важное раскрытие информации | нет |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3142024) | Важное раскрытие информации | нет |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 4.5.2[1](3142033) | Важное раскрытие информации | 2972107 в MS14-057 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 4.6/4.6.1[1](3142037) | Важное раскрытие информации | нет |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1) | Microsoft платформа .NET Framework 3.5.1 (3142024) | Важное раскрытие информации | нет |
| Windows 8.1 | |||
| Windows 8.1 для 32-разрядных систем | Microsoft платформа .NET Framework 3.5 (3142026) | Важное раскрытие информации | нет |
| Windows 8.1 для 32-разрядных систем | Microsoft платформа .NET Framework 4.5.2[1](3142030) | Важное раскрытие информации | 2978041 в MS14-057 |
| Windows 8.1 для 32-разрядных систем | Microsoft платформа .NET Framework 4.6/4.6.1[1](3142036) | Важное раскрытие информации | нет |
| Windows 8.1 для систем на основе x64 | Microsoft платформа .NET Framework 3.5 (3142026) | Важное раскрытие информации | нет |
| Windows 8.1 для систем на основе x64 | Microsoft платформа .NET Framework 4.5.2[1](3142030) | Важное раскрытие информации | 2978041 в MS14-057 |
| Windows 8.1 для систем на основе x64 | Microsoft платформа .NET Framework 4.6/4.6.1[1](3142036) | Важное раскрытие информации | нет |
| Windows Server 2012 и Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft платформа .NET Framework 3.5 (3142025) | Важное раскрытие информации | None |
| Windows Server 2012 | Microsoft платформа .NET Framework 4.5.2[1](3142032) | Важное раскрытие информации | 2978042 в MS14-057 |
| Windows Server 2012 | Microsoft платформа .NET Framework 4.6/4.6.1[1](3142035) | Важное раскрытие информации | нет |
| Windows Server 2012 R2 | Microsoft платформа .NET Framework 3.5 (3142026) | Важное раскрытие информации | нет |
| Windows Server 2012 R2 | Microsoft платформа .NET Framework 4.5.2[1](3142030) | Важное раскрытие информации | 2978041 в MS14-057 |
| Windows Server 2012 R2 | Microsoft платформа .NET Framework 4.6/4.6.1[1](3142036) | Важное раскрытие информации | нет |
| Windows RT 8.1 | |||
| Windows RT 8.1 | Microsoft платформа .NET Framework 4.5.2[1][2](3142030) | Важное раскрытие информации | 2978041 в MS14-057 |
| Windows RT 8.1 | Microsoft платформа .NET Framework 4.6/4.6.1[1][2](3142036) | Важное раскрытие информации | нет |
| Windows 10 | |||
| Windows 10 для 32-разрядных систем[3](3156387) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3147458 |
| Windows 10 для 32-разрядных систем[3](3156387) | Microsoft .NET Framework 4.6 | Важное раскрытие информации | 3147458 |
| Windows 10 для систем на основе x64[3](3156387) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3147458 |
| Windows 10 для систем на основе x64[3](3156387) | Microsoft .NET Framework 4.6 | Важное раскрытие информации | 3147458 |
| Windows 10 версии 1511 для 32-разрядных систем[2](3156421) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3140768 |
| Windows 10 версии 1511 для 32-разрядных систем [2](3156421) | Microsoft .NET Framework 4.6.1 | Важное раскрытие информации | 3140768 |
| Windows 10 версии 1511 для систем на основе x64[2](3156421) | Платформа Microsoft .NET Framework 3.5 | Важное раскрытие информации | 3140768 |
| Windows 10 версии 1511 для систем на основе x64 [2](3156421) | Microsoft .NET Framework 4.6.1 | Важное раскрытие информации | 3140768 |
| Вариант установки основных серверных компонентов | |||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5.1 (3142024) | Важное раскрытие информации | нет |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 4.5.2[1](3142033) | Важное раскрытие информации | 2972107 в MS14-057 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 4.6/4.6.1[1](3142037) | Важное раскрытие информации | нет |
| Windows Server 2012 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5 (3142025) | Важное раскрытие информации | нет |
| Windows Server 2012 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 4.5.2[1](3142032) | Важное раскрытие информации | 2978042 в MS14-057 |
| Windows Server 2012 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 4.6/4.6.1[1](3142035) | Важное раскрытие информации | нет |
| Windows Server 2012 R2 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 3.5 (3142026) | Важное раскрытие информации | нет |
| Windows Server 2012 R2 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 4.5.2[1](3142030) | Важное раскрытие информации | 2978041 в MS14-057 |
| Windows Server 2012 R2 (установка основных серверных компонентов) | Microsoft платформа .NET Framework 4.6/4.6.1[1](3142036) | Важное раскрытие информации | нет |
[1]Сведения об изменениях в поддержке платформа .NET Framework 4.x см. в Internet Explorer и платформа .NET Framework объявления о поддержке 4.x.
[2]Обновления Windows RT 8.1 доступны только через Обновл. Windows.
[3]Обновления Windows 10 являются накопительными. Ежемесячный выпуск системы безопасности включает все исправления безопасности для уязвимостей, влияющих на Windows 10, помимо обновлений, не относящихся к безопасности. Обновления доступны через каталог Центра обновления Майкрософт.
Обратите внимание, что windows Server 2016 Technical Preview 5 затронут. Клиентам, работающим с этой операционной системой, рекомендуется применить обновление, которое доступно через Обновл. Windows.
Сведения об уязвимостях
Уязвимость раскрытия информации TLS/SSL — CVE-2016-0149
Уязвимость раскрытия информации существует в протоколе TLS/SSL, реализованном в компоненте шифрования Microsoft платформа .NET Framework. Злоумышленник, который успешно воспользовался этой уязвимостью, может расшифровать зашифрованный трафик SSL/TLS.
Чтобы воспользоваться уязвимостью, злоумышленник должен сначала внедрить незашифрованные данные в безопасный канал, а затем выполнить атаку "человек в середине" (MiTM) между целевым клиентом и законным сервером. Обновление устраняет уязвимость, изменив способ отправки и получения зашифрованных сетевых пакетов компонент шифрования .NET.
Важно, чтобы пользователи загружали и проверяли применимое обновление в управляемых и управляемых средах перед развертыванием в рабочих средах.
В случае проблем совместимости приложений рекомендуется убедиться, что серверные и клиентские конечные точки правильно реализуют TLS RFC, и что они могут интерпретировать две разделенные записи, содержащие 1, n-1 байт соответственно после этого обновления. Дополнительные сведения и рекомендации разработчика см. в статье базы знаний Майкрософт 3155464.
В следующей таблице содержатся ссылки на стандартную запись для каждой уязвимости в списке распространенных уязвимостей и уязвимостей:
| Заголовок уязвимости | Номер CVE | Опубликованную | Эксплуатируемый |
|---|---|---|---|
| Уязвимость раскрытия информации TLS/SSL | CVE-2016-0149 | Да | Нет |
Смягчающие факторы
В вашей ситуации могут оказаться полезными следующие факторы устранения рисков :
Клиенты, которые включили TLS1.2, не затрагиваются. Дополнительные сведения и рекомендации разработчика см. в статье базы знаний Майкрософт 3155464.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Развертывание обновлений безопасности
Сведения о развертывании обновлений безопасности см. в статье базы знаний Майкрософт, на которую ссылается сводка по исполнительному руководству.
Благодарности
Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (10 мая 2016 г.): бюллетень опубликован.
- Версия 1.1 (12 мая 2016 г.): измененный бюллетень, чтобы объявить об изменении обнаружения для обновления 3142037 для платформа .NET Framework 4.6/4.6.1. Это только информационное изменение. Клиентам, которые уже успешно обновили свои системы, не нужно предпринимать никаких действий.
Страница создана 2016-05-12 09:54-07:00.