Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Уязвимость в Schannel может разрешить раскрытие информации (3061518)
Опубликовано: 12 мая 2015 г.
Версия: 1.0
Краткий обзор
Это обновление системы безопасности устраняет уязвимость в Microsoft Windows, которая упрощает эксплуатацию открытого метода Logjam в отрасли, которая не связана с операционными системами Windows. Уязвимость может позволить раскрытию информации, когда Secure Channel (Schannel) позволяет использовать слабый ключ Diffie-Hellman эфемерной (DHE) длиной 512 бит в зашифрованном сеансе TLS. Разрешение 512-разрядных ключей DHE делает обмен ключами DHE слабым и уязвимым для различных атак. Для успешной атаки сервер должен поддерживать 512-разрядную длину ключей DHE; Минимальная допустимая длина ключа DHE в конфигурациях по умолчанию серверов Windows — 1024 бита.
Это обновление безопасности оценивается как важно для всех поддерживаемых выпусков Microsoft Windows. Дополнительные сведения см. в разделе "Затронутая программа ".
Обновление безопасности устраняет уязвимость, увеличив минимальную допустимую длину ключа DHE до 1024 бит. Дополнительные сведения об уязвимости см. в разделе "Сведения об уязвимостях".
Дополнительные сведения об этом обновлении см . в статье базы знаний Майкрософт 3061518.
Затронутого программного обеспечения
Затронуты следующие версии программного обеспечения или выпуски. Версии или выпуски, не перечисленные в списке, были в прошлом жизненном цикле поддержки или не затронуты. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
| Операционная система | Максимальное влияние на безопасность | Оценка серьезности агрегата | Обновления заменено |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 с пакетом обновления 2 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Server 2003 x64 Edition с пакетом обновления 2 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Vista | |||
| Windows Vista с пакетом обновления 2 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Vista x64 Edition с пакетом обновления 2 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Server 2008 | |||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows 7 | |||
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows 8 и Windows 8.1 | |||
| Windows 8 для 32-разрядных систем (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031, 3050514 в MS15-052[1] |
| Windows 8 для систем на основе x64 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031, 3050514 в MS15-052[1] |
| Windows 8.1 для 32-разрядных систем (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows 8.1 для систем на основе x64 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Server 2012 и Windows Server 2012 R2 | |||
| Windows Server 2012 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031, 3050514 в MS15-052[1] |
| Windows Server 2012 R2 (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows RT и Windows RT 8.1 | |||
| Windows RT[2](3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows RT 8.1[2](3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Вариант установки основных серверных компонентов | |||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов) (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов) (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
| Windows Server 2012 (установка основных серверных компонентов) (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031, 3050514 в MS15-052[1] |
| Windows Server 2012 R2 (установка основных серверных компонентов) (3061518) | Раскрытие информации | Внимание | 3046049 в MS15-031 |
[1]Обратите внимание, что обновление 3050514 в MS15-052 одновременно выпускается с 3061518 в MS15-055. Клиенты, которые намерены устанавливать оба обновления вручную в Windows 8 или Windows Server 2012, должны устанавливать 3050514 в MS15-052 перед установкой 3061518 в MS15-055 (это выполняется автоматически для клиентов с включенным автоматическим обновлением). Дополнительные сведения см. в разделе "Известные проблемы" статьи базы знаний Майкрософт 3061518.
[2]Это обновление доступно только через Обновл. Windows.
Вопросы и ответы по обновлению
Содержит ли это обновление другие изменения, связанные с безопасностью, в функциональных возможностях?
Да. Это обновление стандартизирует шифры TLS False Start в Windows 8 и Windows 8.1, удалив оптимизацию False Start во время согласования шифров для следующих двух шифров в системах Windows 8:
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
Она также реализует подготовку для запрета false Start во время согласования набора шифров RC4.
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости по отношению к его оценке серьезности и влиянию на безопасность, см. в сводке по индексу эксплойтации в майских бюллетенях.
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||
|---|---|---|
| Затронутого программного обеспечения | Уязвимость schannel Information Disclosure — CVE-2015-1716 | Оценка серьезности агрегата |
| Windows Server 2003 | ||
| Windows Server 2003 с пакетом обновления 2 (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2003 x64 Edition с пакетом обновления 2 (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium (3061518) | Важное раскрытие информации | Важно! |
| Windows Vista | ||
| Windows Vista с пакетом обновления 2 (3061518) | Важное раскрытие информации | Важно! |
| Windows Vista x64 Edition с пакетом обновления 2 (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2008 | ||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (3061518) | Важное раскрытие информации | Важно! |
| Windows 7 | ||
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (3061518) | Важное раскрытие информации | Важно! |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (3061518) | Важное раскрытие информации | Важно! |
| Windows 8 и Windows 8.1 | ||
| Windows 8 для 32-разрядных систем (3061518) | Важное раскрытие информации | Важно! |
| Windows 8 для систем на основе x64 (3061518) | Важное раскрытие информации | Важно! |
| Windows 8.1 для 32-разрядных систем (3061518) | Важное раскрытие информации | Важно! |
| Windows 8.1 для систем на основе x64 (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2012 и Windows Server 2012 R2 | ||
| Windows Server 2012 (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2012 R2 (3061518) | Важное раскрытие информации | Важно! |
| Windows RT и Windows RT 8.1 | ||
| Windows RT (3061518) | Важное раскрытие информации | Важно! |
| Windows RT 8.1 (3061518) | Важное раскрытие информации | Важно! |
| Вариант установки основных серверных компонентов | ||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов) (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов) (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2012 (установка основных серверных компонентов) (3061518) | Важное раскрытие информации | Важно! |
| Windows Server 2012 R2 (установка основных серверных компонентов) (3061518) | Важное раскрытие информации | Важно! |
Сведения об уязвимостях
Уязвимость schannel Information Disclosure — CVE-2015-1716
Уязвимость раскрытия информации существует в Secure Channel (Schannel), когда она позволяет использовать слабый ключ Diffie-Hellman эфемерной (DHE) длиной 512 бит в зашифрованном сеансе TLS. Разрешение 512-разрядных ключей DHE делает обмен ключами DHE слабым и уязвимым для различных атак.
Обновление безопасности устраняет уязвимость, увеличив минимальную допустимую длину ключа DHE до 1024 бит.
Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей. При выпуске этого бюллетеня по безопасности корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов.
Смягчающие факторы
В вашей ситуации могут оказаться полезными следующие факторы устранения рисков :
- Для успешной атаки сервер должен поддерживать 512-разрядную длину ключей DHE; Минимальная допустимая длина ключа DHE в конфигурациях по умолчанию серверов Windows — 1024 бита.
Методы обхода проблемы
В вашей ситуации может оказаться полезным следующее решение:
Отключение наборов шифров DHE
Предупреждение при неправильном использовании редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не может гарантировать, что вы можете решить проблемы, возникающие в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя.Откройте редактор реестра.
Параметры алгоритма обмена ключами доступа, перейдя к следующему расположению реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Выберите вложенный ключ Diffie-Hellman (если он не существует, затем создайте его).
Задайте для параметра "Включенный реестр DWORD" значение 0 (если оно не существует, а затем создайте его).
Выйдите из редактора реестра.
Как отменить обходное решение.
Откройте редактор реестра.
Параметры алгоритма обмена ключами доступа, перейдя к следующему расположению реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Выберите вложенный ключ Diffie-Hellman .
Задайте для параметра "Включенный реестр DWORD" значение 1.
Выйдите из редактора реестра.
Влияние обходного решения. Зашифрованные сеансы TLS, использующие ключи DHE, больше не будут функционировать, если только альтернативные варианты отработки отказа не были реализованы.
Развертывание обновлений безопасности
Сведения о развертывании обновлений безопасности см. в статье базы знаний Майкрософт, на которую ссылается сводка по исполнительному руководству.
Благодарности
Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (12 мая 2015 г.): Бюллетень опубликован.
Страница создана 2015-05-27 14:31Z-07:00.