Bulletin zabezpečení společnosti Microsoft MS16-065 – Důležité
Aktualizace zabezpečení pro rozhraní .NET Framework (3156757)
Publikováno: 10. května 2016 | Aktualizováno: 12. května 2016
Verze: 1.1
Shrnutí
Tato aktualizace zabezpečení řeší chybu zabezpečení v rozhraní Microsoft .NET Framework. Ohrožení zabezpečení může způsobit zpřístupnění informací, pokud útočník vloží nešifrovaná data do cílového zabezpečeného kanálu a pak provede útok typu man-in-the-middle (MiTM) mezi cílovým klientem a legitimním serverem.
Tato aktualizace zabezpečení má hodnocení Důležité pro rozhraní Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6 a Microsoft .NET Framework 4.6.1 v ovlivněných verzích systému Microsoft Windows. Další informace najdete v části Ovlivněný software .
Aktualizace zabezpečení řeší toto ohrožení zabezpečení úpravou způsobu, jakým šifrovací komponenta .NET odesílá a přijímá šifrované síťové pakety. Další informace o ohrožení zabezpečení najdete v části Informace o ohrožení zabezpečení.
Další informace o této aktualizaci naleznete v článku znalostní báze Microsoft Knowledge Base 3156757.
Hodnocení závažnosti ovlivněných softwaru a ohrožení zabezpečení
Ovlivněné jsou následující verze softwaru nebo edice. Verze nebo edice, které nejsou uvedené, jsou buď po jejich životním cyklu podpory, nebo nejsou ovlivněny. Pokud chcete určit životní cyklus podpory pro vaši verzi nebo edici softwaru, přečtěte si téma podpora Microsoftu životní cyklus.
Hodnocení závažnosti uvedená pro každý ovlivněný software předpokládají potenciální maximální dopad ohrožení zabezpečení. Informace týkající se pravděpodobnosti, že do 30 dnů od vydání tohoto bulletinu zabezpečení dojde k zneužití ohrožení zabezpečení v souvislosti s jeho závažností a dopadem na zabezpečení, naleznete v souhrnu v květnovém bulletinu index zneužitelnosti.
| Operační systém | Součást | Ohrožení zabezpečení spočívající ve zpřístupnění informací TLS/SSL – CVE-2016-0149 | Aktualizace nahrazeno |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Důležité zpřístupnění informací | Nic |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Důležité zpřístupnění informací | 2972107 v MS14-057 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Důležité zpřístupnění informací | Nic |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Důležité zpřístupnění informací | Nic |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Důležité zpřístupnění informací | 2972107 v MS14-057 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Důležité zpřístupnění informací | Nic |
| Windows Server 2008 | |||
| Windows Server 2008 pro 32bitové systémy Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Důležité zpřístupnění informací | Nic |
| Windows Server 2008 pro 32bitové systémy Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Důležité zpřístupnění informací | 2972107 v MS14-057 |
| Windows Server 2008 pro 32bitové systémy Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Důležité zpřístupnění informací | Nic |
| Windows Server 2008 pro systémy s platformou x64 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Důležité zpřístupnění informací | Nic |
| Windows Server 2008 pro systémy s platformou x64 Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Důležité zpřístupnění informací | 2972107 v MS14-057 |
| Windows Server 2008 pro systémy s platformou x64 Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Důležité zpřístupnění informací | Nic |
| Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Důležité zpřístupnění informací | Nic |
| Windows 7 | |||
| Windows 7 pro 32bitové systémy Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Důležité zpřístupnění informací | Nic |
| Windows 7 pro 32bitové systémy Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Důležité zpřístupnění informací | 2972107 v MS14-057 |
| Windows 7 pro 32bitové systémy Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Důležité zpřístupnění informací | Nic |
| Windows 7 pro systémy založené na platformě x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Důležité zpřístupnění informací | Nic |
| Windows 7 pro systémy založené na platformě x64 Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Důležité zpřístupnění informací | 2972107 v MS14-057 |
| Windows 7 pro systémy založené na platformě x64 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Důležité zpřístupnění informací | Nic |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Důležité zpřístupnění informací | Nic |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Důležité zpřístupnění informací | 2972107 v MS14-057 |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Důležité zpřístupnění informací | Nic |
| Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Důležité zpřístupnění informací | Nic |
| Windows 8.1 | |||
| Windows 8.1 pro 32bitové systémy | Microsoft .NET Framework 3.5 (3142026) | Důležité zpřístupnění informací | Nic |
| Windows 8.1 pro 32bitové systémy | Microsoft .NET Framework 4.5.2[1](3142030) | Důležité zpřístupnění informací | 2978041 v MS14-057 |
| Windows 8.1 pro 32bitové systémy | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Důležité zpřístupnění informací | Nic |
| Windows 8.1 pro systémy založené na platformě x64 | Microsoft .NET Framework 3.5 (3142026) | Důležité zpřístupnění informací | Nic |
| Windows 8.1 pro systémy založené na platformě x64 | Microsoft .NET Framework 4.5.2[1](3142030) | Důležité zpřístupnění informací | 2978041 v MS14-057 |
| Windows 8.1 pro systémy založené na platformě x64 | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Důležité zpřístupnění informací | Nic |
| Windows Server 2012 a Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3142025) | Důležité zpřístupnění informací | Nic |
| Windows Server 2012 | Microsoft .NET Framework 4.5.2[1](3142032) | Důležité zpřístupnění informací | 2978042 v MS14-057 |
| Windows Server 2012 | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Důležité zpřístupnění informací | Nic |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3142026) | Důležité zpřístupnění informací | Nic |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.2[1](3142030) | Důležité zpřístupnění informací | 2978041 v MS14-057 |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Důležité zpřístupnění informací | Nic |
| Windows RT 8.1 | |||
| Windows RT 8.1 | Microsoft .NET Framework 4.5.2[1][2](3142030) | Důležité zpřístupnění informací | 2978041 v MS14-057 |
| Windows RT 8.1 | Microsoft .NET Framework 4.6/4.6.1[1][2](3142036) | Důležité zpřístupnění informací | Nic |
| Windows 10 | |||
| Windows 10 pro 32bitové systémy[3](3156387) | Microsoft .NET Framework 3.5 | Důležité zpřístupnění informací | 3147458 |
| Windows 10 pro 32bitové systémy[3](3156387) | Microsoft .NET Framework 4.6 | Důležité zpřístupnění informací | 3147458 |
| Windows 10 pro systémy založené na platformě x64[3](3156387) | Microsoft .NET Framework 3.5 | Důležité zpřístupnění informací | 3147458 |
| Windows 10 pro systémy založené na platformě x64[3](3156387) | Microsoft .NET Framework 4.6 | Důležité zpřístupnění informací | 3147458 |
| Windows 10 verze 1511 pro 32bitové systémy[2](3156421) | Microsoft .NET Framework 3.5 | Důležité zpřístupnění informací | 3140768 |
| Windows 10 verze 1511 pro 32bitové systémy[2](3156421) | Microsoft .NET Framework 4.6.1 | Důležité zpřístupnění informací | 3140768 |
| Windows 10 verze 1511 pro systémy s platformou x64[2](3156421) | Microsoft .NET Framework 3.5 | Důležité zpřístupnění informací | 3140768 |
| Windows 10 verze 1511 pro systémy s platformou x64[2](3156421) | Microsoft .NET Framework 4.6.1 | Důležité zpřístupnění informací | 3140768 |
| Možnost instalace jádra serveru | |||
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 (instalace jádra serveru) | Microsoft .NET Framework 3.5.1 (3142024) | Důležité zpřístupnění informací | Nic |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 (instalace jádra serveru) | Microsoft .NET Framework 4.5.2[1](3142033) | Důležité zpřístupnění informací | 2972107 v MS14-057 |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 (instalace jádra serveru) | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Důležité zpřístupnění informací | Nic |
| Windows Server 2012 (instalace jádra serveru) | Microsoft .NET Framework 3.5 (3142025) | Důležité zpřístupnění informací | Nic |
| Windows Server 2012 (instalace jádra serveru) | Microsoft .NET Framework 4.5.2[1](3142032) | Důležité zpřístupnění informací | 2978042 v MS14-057 |
| Windows Server 2012 (instalace jádra serveru) | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Důležité zpřístupnění informací | Nic |
| Windows Server 2012 R2 (instalace jádra serveru) | Microsoft .NET Framework 3.5 (3142026) | Důležité zpřístupnění informací | Nic |
| Windows Server 2012 R2 (instalace jádra serveru) | Microsoft .NET Framework 4.5.2[1](3142030) | Důležité zpřístupnění informací | 2978041 v MS14-057 |
| Windows Server 2012 R2 (instalace jádra serveru) | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Důležité zpřístupnění informací | Nic |
[1]Informace o změnách v podpoře rozhraní .NET Framework 4.x naleznete v tématu Oznámení podpory aplikace Internet Explorer a .NET Framework 4.x.
[2]Aktualizace Windows RT 8.1 jsou dostupné pouze prostřednictvím služba Windows Update.
[3]Aktualizace Windows 10 jsou kumulativní. Měsíční verze zabezpečení obsahuje všechny opravy zabezpečení pro chyby zabezpečení, které mají vliv na Windows 10, kromě aktualizací nesouvisených se zabezpečením. Aktualizace jsou k dispozici prostřednictvím katalogu služby Microsoft Update.
Poznámka: Windows Server 2016 Technical Preview 5 je ovlivněný. Zákazníkům, kteří používají tento operační systém, doporučujeme použít aktualizaci, která je dostupná prostřednictvím služba Windows Update.
Informace o ohrožení zabezpečení
Ohrožení zabezpečení spočívající ve zpřístupnění informací TLS/SSL – CVE-2016-0149
V protokolu TLS/SSL implementované v šifrovací komponentě rozhraní Microsoft .NET Framework existuje ohrožení zabezpečení spočívající ve zpřístupnění informací. Útočník, který tuto chybu zabezpečení úspěšně zneužil, by mohl dešifrovat šifrovaný provoz SSL/TLS.
Aby útočník mohl toto ohrožení zabezpečení zneužít, musel by nejprve vložit nešifrovaná data do zabezpečeného kanálu a pak provést útok typu man-in-the-middle (MiTM) mezi cílovým klientem a legitimním serverem. Tato aktualizace řeší toto ohrožení zabezpečení úpravou způsobu, jakým šifrovací komponenta .NET odesílá a přijímá šifrované síťové pakety.
Důležité microsoft doporučuje, aby si zákazníci před nasazením do produkčních prostředí stáhli a otestovali příslušnou aktualizaci v kontrolovaných/spravovaných prostředích.
V případě problémů s kompatibilitou aplikací doporučujeme zajistit, aby server a koncové body klienta správně implementovali protokol RFC protokolu TLS a aby mohly interpretovat dva rozdělené záznamy obsahující 1, n-1 bajty po této aktualizaci. Další informace a pokyny pro vývojáře naleznete v článku znalostní báze Microsoft Knowledge Base 3155464.
Následující tabulka obsahuje odkazy na standardní položku pro každou chybu zabezpečení v seznamu společných ohrožení zabezpečení a ohrožení:
| Název ohrožení zabezpečení | CVE number | Veřejně zpřístupněno | Zneužil |
|---|---|---|---|
| Ohrožení zabezpečení spočívající ve zpřístupnění informací protokolu TLS/SSL | CVE-2016-0149 | Yes | No |
Faktory pro zmírnění rizika
Ve vaší situaci můžou být užitečné následující faktory pro zmírnění rizika:
Na zákazníky, kteří povolili protokol TLS1.2, to nemá vliv. Další informace a pokyny pro vývojáře naleznete v článku znalostní báze Microsoft Knowledge Base 3155464.
Alternativní řešení
Společnost Microsoft nezjistila žádná alternativní řešení tohoto ohrožení zabezpečení.
Nasazení aktualizace zabezpečení
Informace o nasazení aktualizací zabezpečení naleznete v článku znalostní báze Microsoft Knowledge Base, na který se odkazuje v souhrnu vedení.
Poděkování
Microsoft rozpoznává úsilí těch, kteří jsou v komunitě zabezpečení, kteří nám pomáhají chránit zákazníky prostřednictvím koordinovaného zpřístupnění ohrožení zabezpečení. Další informace najdete v části Potvrzení .
Právní doložka
Informace poskytované ve znalostní bázi Microsoft Knowledge Base jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (10. května 2016): Bulletin publikován.
- V1.1 (12. května 2016): Revidovaný bulletin s oznámením změny detekce pro aktualizaci 3142037 rozhraní .NET Framework 4.6/4.6.1 Jedná se pouze o informační změnu. Zákazníci, kteří už úspěšně aktualizovali své systémy, nemusí provádět žádnou akci.
Stránka vygenerovaná 2016-05-12 09:54-07:00.