Microsoft Security Bulletin MS15-055 – Viktigt
Sårbarhet i Schannel kan tillåta avslöjande av information (3061518)
Publicerad: 12 maj 2015
Version: 1.0
Sammanfattning
Den här säkerhetsuppdateringen löser en säkerhetsrisk i Microsoft Windows som underlättar utnyttjandet av den offentligt offentliggjorda Logjam-tekniken, ett branschomfattande problem som inte är specifikt för Windows-operativsystem. Säkerhetsrisken kan möjliggöra informationsupplysning när Secure Channel (Schannel) tillåter användning av en svag Diffie-Hellman-nyckellängd (DHE) på 512 bitar i en krypterad TLS-session. Om du tillåter 512-bitars DHE-nycklar blir DHE-nyckeln svag och sårbar för olika attacker. En server måste ha stöd för 512-bitars DHE-nyckellängder för att en attack ska lyckas. den minsta tillåtna DHE-nyckellängden i standardkonfigurationerna för Windows-servrar är 1 024 bitar.
Den här säkerhetsuppdateringen klassificeras som Viktig för alla versioner av Microsoft Windows som stöds. Mer information finns i avsnittet Berörd programvara .
Säkerhetsuppdateringen åtgärdar säkerhetsrisken genom att öka den minsta tillåtna DHE-nyckellängden till 1 024 bitar. Mer information om säkerhetsrisken finns i avsnittet Sårbarhetsinformation .
Mer information om den här uppdateringen finns i Microsoft Knowledge Base-artikeln 3061518.
Programvara som påverkas
Följande programvaruversioner eller utgåvor påverkas. Versioner eller utgåvor som inte visas har antingen passerat sin supportlivscykel eller påverkas inte. Information om hur du fastställer supportlivscykeln för din programvaruversion eller utgåva finns i Microsoft Support Lifecycle.
| Operativsystem | Maximal säkerhetspåverkan | Aggregerad allvarlighetsgrad | Uppdateringar ersatt |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Server 2003 med SP2 för Itanium-baserade system (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Server 2008 | |||
| Windows Server 2008 för 32-bitars System Service Pack 2 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Server 2008 för x64-baserade System Service Pack 2 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Server 2008 för Itanium-baserade System Service Pack 2 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows 7 | |||
| Windows 7 för 32-bitars system Service Pack 1 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows 7 för x64-baserade System Service Pack 1 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Server 2008 R2 för Itanium-baserade System Service Pack 1 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows 8 och Windows 8.1 | |||
| Windows 8 för 32-bitarssystem (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 3050514 i MS15-052[1] |
| Windows 8 för x64-baserade system (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 3050514 i MS15-052[1] |
| Windows 8.1 för 32-bitarssystem (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows 8.1 för x64-baserade system (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Server 2012 och Windows Server 2012 R2 | |||
| Windows Server 2012 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 3050514 i MS15-052[1] |
| Windows Server 2012 R2 (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows RT och Windows RT 8.1 | |||
| Windows RT[2](3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows RT 8.1[2](3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Installationsalternativ för Server Core | |||
| Windows Server 2008 för 32-bitars System Service Pack 2 (Server Core-installation) (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Server 2008 för x64-baserade System Service Pack 2 (Server Core-installation) (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (Server Core-installation) (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
| Windows Server 2012 (Server Core-installation) (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 3050514 i MS15-052[1] |
| Windows Server 2012 R2 (Server Core-installation) (3061518) | Avslöjande av information | Viktigt! | 3046049 i MS15-031 |
[1]Observera att uppdateringen 3050514 i MS15-052 släpps samtidigt med 3061518 i MS15-055. Kunder som tänker installera båda uppdateringarna manuellt på Windows 8 eller Windows Server 2012 bör installera 3050514 i MS15-052 innan du installerar 3061518 i MS15-055 (detta tas om hand automatiskt för kunder med automatisk uppdatering aktiverad). Mer information finns i avsnittet Kända problem i Microsoft Knowledge Base-artikeln 3061518.
[2]Den här uppdateringen är endast tillgänglig via Windows Update .
Vanliga frågor och svar om uppdatering
Innehåller den här uppdateringen några andra säkerhetsrelaterade funktionsändringar?
Ja. Den här uppdateringen standardiserar TLS False Start-chiffer i Windows 8 och Windows 8.1 genom att ta bort optimering av falsk start under chifferförhandling för följande två chiffer i Windows 8-system:
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
Den implementerar också en bestämmelse för att inte tillåta falsk start under rc4-chiffersvitförhandling.
Allvarlighetsgradsklassificeringar och sårbarhetsidentifierare
Följande allvarlighetsgradsklassificeringar förutsätter den potentiella maximala effekten av sårbarheten. Information om sannolikheten, inom 30 dagar efter att säkerhetsbulletinen har släppts, för sårbarhetens sårbarhets exploaterbarhet i förhållande till dess allvarlighetsgrad och säkerhetspåverkan, finns i översikten över sårbarhetsindex i majbulletinen.
| Allvarlighetsgrad för sårbarhet och maximal säkerhetspåverkan av påverkad programvara | ||
|---|---|---|
| Programvara som påverkas | Schannel Information Disclosure Vulnerability - CVE-2015-1716 | Aggregerad allvarlighetsgrad |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2003 med SP2 för Itanium-baserade system (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2008 | ||
| Windows Server 2008 för 32-bitars System Service Pack 2 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2008 för x64-baserade System Service Pack 2 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2008 för Itanium-baserade System Service Pack 2 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows 7 | ||
| Windows 7 för 32-bitars system Service Pack 1 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows 7 för x64-baserade System Service Pack 1 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2008 R2 för Itanium-baserade System Service Pack 1 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows 8 och Windows 8.1 | ||
| Windows 8 för 32-bitarssystem (3061518) | Viktig information – avslöjande | Viktigt |
| Windows 8 för x64-baserade system (3061518) | Viktig information – avslöjande | Viktigt |
| Windows 8.1 för 32-bitarssystem (3061518) | Viktig information – avslöjande | Viktigt |
| Windows 8.1 för x64-baserade system (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2012 och Windows Server 2012 R2 | ||
| Windows Server 2012 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2012 R2 (3061518) | Viktig information – avslöjande | Viktigt |
| Windows RT och Windows RT 8.1 | ||
| Windows RT (3061518) | Viktig information – avslöjande | Viktigt |
| Windows RT 8.1 (3061518) | Viktig information – avslöjande | Viktigt |
| Installationsalternativ för Server Core | ||
| Windows Server 2008 för 32-bitars System Service Pack 2 (Server Core-installation) (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2008 för x64-baserade System Service Pack 2 (Server Core-installation) (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (Server Core-installation) (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2012 (Server Core-installation) (3061518) | Viktig information – avslöjande | Viktigt |
| Windows Server 2012 R2 (Server Core-installation) (3061518) | Viktig information – avslöjande | Viktigt |
Information om säkerhetsrisker
Schannel Information Disclosure Vulnerability - CVE-2015-1716
Det finns en säkerhetsrisk för avslöjande av information i Säker kanal (Schannel) när den tillåter användning av en svag Diffie-Hellman-nyckellängd (DHE) på 512 bitar i en krypterad TLS-session. Om du tillåter 512-bitars DHE-nycklar blir DHE-nyckeln svag och sårbar för olika attacker.
Säkerhetsuppdateringen åtgärdar säkerhetsrisken genom att öka den minsta tillåtna DHE-nyckellängden till 1 024 bitar.
Microsoft fick information om den här sårbarheten genom samordnat avslöjande av säkerhetsrisker. När den här säkerhetsbulletinen utfärdades hade Microsoft inte fått någon information som tyder på att den här sårbarheten hade använts offentligt för att attackera kunder.
Mildrande faktorer
Följande förmildrande faktorer kan vara till hjälp i din situation:
- En server måste ha stöd för 512-bitars DHE-nyckellängder för att en attack ska lyckas. den minsta tillåtna DHE-nyckellängden i standardkonfigurationerna för Windows-servrar är 1 024 bitar.
Provisoriska lösningar
Följande lösning kan vara till hjälp i din situation:
Inaktivera DHE-chiffersviter
Varning Om du använder Registereditorn felaktigt kan du orsaka allvarliga problem som kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att du kan lösa problem som uppstår vid felaktig användning av Registereditorn. Använd Registereditorn på egen risk.Öppna Registereditorn.
Åtkomst till algoritminställningar för nyckelutbyte genom att navigera till följande registerplats:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Välj undernyckeln Diffie-Hellman (om den inte finns skapar du den).
Ange värdet för det aktiverade DWORD-registret till 0 (om det inte finns skapar du det).
Avsluta Registereditorn.
Så här återställer du lösningen.
Öppna Registereditorn.
Åtkomst till algoritminställningar för nyckelutbyte genom att navigera till följande registerplats:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Välj undernyckeln Diffie-Hellman .
Ange det aktiverade DWORD-registervärdet till 1.
Avsluta Registereditorn.
Lösningspåverkan: Krypterade TLS-sessioner som förlitar sig på DHE-nycklar fungerar inte längre om inte alternativa redundansalternativ har implementerats.
Distribution av säkerhetsuppdatering
Information om distribution av säkerhetsuppdateringar finns i artikeln Microsoft Knowledge Base som refereras i sammanfattningen.
Tack
Microsoft känner igen insatserna från de i säkerhetscommunityn som hjälper oss att skydda kunder genom samordnad avslöjande av säkerhetsrisker. Mer information finns i Bekräftelser .
Friskrivning
Informationen som tillhandahålls i Microsoft Knowledge Base tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.
Revideringar
- V1.0 (12 maj 2015): Bulletin publicerad.
Sidan genererades 2015-05-27 14:31Z-07:00.