Bulletin de sécurité Microsoft MS15-055 - Important

Une vulnérabilité dans Schannel pourrait permettre la divulgation d'informations (3061518)

Date de publication : 12 mai 2015

Version : 1.0

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows qui facilite l'exploitation de la technique Logjam signalée publiquement, un problème touchant tout le secteur qui n'est pas spécifique aux systèmes d'exploitation Windows. Cette vulnérabilité pourrait permettre la divulgation d'informations lorsque le canal sécurisé (Schannel) autorise l'utilisation d'une clé DHE (Diffie-Hellman ephemeral) faible de 512 bits dans une session TLS chiffrée. Permettre les clés DHE de 512 bits affaiblit les échanges de clés DHE et les rend vulnérables à différentes attaques. Un serveur doit prendre en charge les longueurs de clé DHE 512 bits pour qu'une attaque réussisse ; la longueur de clé DHE minimale acceptable dans des configurations par défaut de serveurs Windows est de 1 024 bits.

Cette mise à jour de sécurité est de niveau « important » pour toutes les versions prises en charge de Microsoft Windows. Pour plus d'informations, consultez la section Logiciels concernés.

La mise à jour de sécurité résout cette vulnérabilité en augmentant la longueur de clé DHE autorisable à 1 024 bits. Pour plus d'informations sur la vulnérabilité, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur cette mise à jour, voir l'article 3061518 de la Base de connaissances Microsoft.

Logiciels concernés

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leur cycle de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Système d'exploitation

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Windows Server 2003

Windows Server 2003 Service Pack 2
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Server 2003 Édition x64 Service Pack 2
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Server 2003 avec SP2 pour systèmes Itanium
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Vista

Windows Vista Service Pack 2
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Vista Édition x64 Service Pack 2
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Server 2008

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Server 2008 pour systèmes x64 Service Pack 2
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Server 2008 pour systèmes Itanium Service Pack 2
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows 7

Windows 7 pour systèmes 32 bits Service Pack 1
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows 7 pour systèmes x64 Service Pack 1
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Server 2008 R2

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows 8 et Windows 8.1

Windows 8 pour systèmes 32 bits
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031,
3050514 dans le Bulletin MS15-052[1]

Windows 8 pour systèmes x64
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031,
3050514 dans le Bulletin MS15-052[1]

Windows 8.1 pour systèmes 32 bits
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows 8.1 pour systèmes x64
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Server 2012 et Windows Server 2012 R2

Windows Server 2012
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031,
3050514 dans le Bulletin MS15-052[1]

Windows Server 2012 R2
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows RT et Windows RT 8.1

Windows RT[2] (3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows RT 8.1[2] (3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Option d'installation Server Core

Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

Windows Server 2012 (installation Server Core)
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031,
3050514 dans le Bulletin MS15-052[1]

Windows Server 2012 R2 (installation Server Core)
(3061518)

Divulgation d'informations

Important

3046049 dans le Bulletin MS15-031

[1]Notez que la mise à jour 3050514 du Bulletin MS15-052 est publiée simultanément à la mise à jour 3061518 du Bulletin MS15-055. Les clients qui envisagent d'installer les deux mises à jour manuellement sous Windows 8 ou Windows Server 2012 doivent installer la mise à jour 3050514 du Bulletin MS15-052 avant la mise à jour 3061518 du Bulletin MS15-055 (cette priorité est automatiquement respectée pour les clients ayant activé les mises à jour automatiques). Pour plus d'informations, consultez la section Problèmes connus de l'Article 3061518 de la Base de connaissances Microsoft.

[2]Cette mise à jour est disponible via Windows Update uniquement.

Forum aux questions concernant les mises à jour

Cette mise à jour comporte-t-elle d'autres modifications de sécurité affectant les fonctionnalités?
Oui. Cette mise à jour standardise les chiffrements TLS False Start dans Windows 8 et Windows 8.1 en supprimant l'optimisation False Start pendant la négociation du chiffrement pour les deux chiffres suivants sur les systèmes Windows 8 :

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Elle intègre également une configuration permettant de désactiver False Start durant la négociation de la suite de chiffrement RC4.

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des bulletins de sécurité de mai.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité de divulgation d'informations Schannel - CVE-2015-1716

Indice de gravité cumulée

Windows Server 2003

Windows Server 2003 Service Pack 2
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2003 Édition x64 Service Pack 2
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2003 avec SP2 pour systèmes Itanium
(3061518)

Important
Divulgation d'informations

Important

Windows Vista

Windows Vista Service Pack 2
(3061518)

Important
Divulgation d'informations

Important

Windows Vista Édition x64 Service Pack 2
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2008

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2008 pour systèmes x64 Service Pack 2
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2008 pour systèmes Itanium Service Pack 2
(3061518)

Important
Divulgation d'informations

Important

Windows 7

Windows 7 pour systèmes 32 bits Service Pack 1
(3061518)

Important
Divulgation d'informations

Important

Windows 7 pour systèmes x64 Service Pack 1
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2008 R2

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(3061518)

Important
Divulgation d'informations

Important

Windows 8 et Windows 8.1

Windows 8 pour systèmes 32 bits
(3061518)

Important
Divulgation d'informations

Important

Windows 8 pour systèmes x64
(3061518)

Important
Divulgation d'informations

Important

Windows 8.1 pour systèmes 32 bits
(3061518)

Important
Divulgation d'informations

Important

Windows 8.1 pour systèmes x64
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2012 et Windows Server 2012 R2

Windows Server 2012
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2012 R2
(3061518)

Important
Divulgation d'informations

Important

Windows RT et Windows RT 8.1

Windows RT
(3061518)

Important
Divulgation d'informations

Important

Windows RT 8.1
(3061518)

Important
Divulgation d'informations

Important

Option d'installation Server Core

Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2012 (installation Server Core)
(3061518)

Important
Divulgation d'informations

Important

Windows Server 2012 R2 (installation Server Core)
(3061518)

Important
Divulgation d'informations

Important

Informations par vulnérabilité

Vulnérabilité de divulgation d'informations Schannel - CVE-2015-1716

Une vulnérabilité de divulgation d'informations se produit dans le canal sécurisé (Schannel) lorsqu'il permet l'utilisation d'une clé DHE (Diffie-Hellman ephemeral) faible de 512 bits dans une session TLS chiffrée. Permettre les clés DHE de 512 bits affaiblit les échanges de clés DHE et les rend vulnérables à différentes attaques.

La mise à jour de sécurité résout cette vulnérabilité en augmentant la longueur de clé DHE autorisable à 1 024 bits.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

  • Un serveur doit prendre en charge les longueurs de clé DHE 512 bits pour qu'une attaque réussisse ; la longueur de clé DHE minimale acceptable dans des configurations par défaut de serveurs Windows est de 1 024 bits.

Solutions de contournement

La solution de contournement suivante peut être utile, selon votre situation :

  • Désactivation des suites de chiffrement DHE

    Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

    1. Ouvrez l'Éditeur du Registre.
    2. Pour modifier les paramètres d'algorithme d'échange de clé, accédez à l'emplacement de Registre suivant :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms

    1. Sélectionnez la sous-clé Diffie-Hellman (si elle n'existe pas, créez-la).
    2. Définissez la valeur de Registre DWORD Enabled sur 0 (si elle n'existe pas, créez-la).
    3. Quittez l'Éditeur du Registre.

    Procédure d'annulation de cette solution de contournement.

    1. Ouvrez l'Éditeur du Registre.
    2. Pour modifier les paramètres d'algorithme d'échange de clé, accédez à l'emplacement de Registre suivant :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms

    1. Sélectionnez la sous-clé Diffie-Hellman.
    2. Définissez la valeur de Registre DWORD Enabled sur 1.
    3. Quittez l'Éditeur du Registre.

    Impact de la solution de contournement : Les sessions TLS chiffrées s'appuyant sur des clés DHE ne fonctionnent plus, à moins que des options de basculement alternatives aient été mises en place.

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (12 mai 2015) : Bulletin publié.

Page générée le 27/05/2015 14:31Z-07:00.