Olvasás angol nyelven

Megosztás a következőn keresztül:

Microsoft MS14-066 biztonsági közlemény – Kritikus fontosságú

  • Cikk

A Schannel biztonsági rése távoli kódfuttatást tehet lehetővé (2992611)

Közzétéve: 2014. november 11. | Frissítve: 2014. december 9.

Verzió: 3.0

Vezetői összefoglaló

Ez a biztonsági frissítés a Windows Microsoft Secure Channel (Schannel) biztonsági csomagjában található, privátan jelentett biztonsági rést oldja fel. A biztonsági rés távoli kódfuttatást tehet lehetővé, ha egy támadó speciálisan létrehozott csomagokat küld egy Windows-kiszolgálónak.

Ez a biztonsági frissítés kritikus besorolású a Microsoft Windows összes támogatott kiadásához. További információkért lásd az Érintett szoftverek szakaszt.

A biztonsági frissítés úgy oldja meg a biztonsági rést, hogy kijavítja, hogyan fertőtleníti a Schannel a speciálisan létrehozott csomagokat. A biztonsági résről további információt az adott biztonsági rés gyakori kérdések (GYIK) alszakaszában talál.

A frissítésről további információt a Microsoft Tudásbázis 2992611.

 

Érintett szoftver

Az alábbi szoftvert teszteltük annak megállapítására, hogy mely verziókra vagy kiadásokra van hatással. A többi verzió vagy kiadás vagy túllépte a támogatási életciklusukat, vagy nem érinti őket. A szoftververzió vagy -kiadás támogatási életciklusának meghatározásához tekintse meg Microsoft ügyfélszolgálata életciklust.

Érintett szoftver 

Operációs rendszer Maximális biztonsági hatás Súlyosság összesített minősítése Frissítések lecserélve
Windows Server 2003
Windows Server 2003 Service Pack 2 (2992611) Távoli kódvégrehajtás Kritikus 2655992 az MS12-049-ben
Windows Server 2003 x64 Edition Service Pack 2 (2992611) Távoli kódvégrehajtás Kritikus 2655992 az MS12-049-ben
Windows Server 2003 SP2 itanium-alapú rendszerekhez (2992611) Távoli kódvégrehajtás Kritikus 2655992 az MS12-049-ben
Windows Vista
Windows Vista Service Pack 2 (2992611) Távoli kódvégrehajtás Kritikus 2207566 az MS10-085-ben
Windows Vista x64 Edition Service Pack 2 (2992611) Távoli kódvégrehajtás Kritikus 2207566 az MS10-085-ben
Windows Server 2008
Windows Server 2008 for 32 bites Systems Service Pack 2 (2992611) Távoli kódvégrehajtás Kritikus 2207566 az MS10-085-ben
Windows Server 2008 x64-alapú Systems Service Pack 2 rendszerhez (2992611) Távoli kódvégrehajtás Kritikus 2207566 az MS10-085-ben
Windows Server 2008 for Itanium-alapú Systems Service Pack 2 (2992611) Távoli kódvégrehajtás Kritikus 2207566 az MS10-085-ben
Windows 7
Windows 7 for 32 bites Systems Service Pack 1 (2992611) Távoli kódvégrehajtás Kritikus 2868725 SA2868725
Windows 7 x64-alapú Systems Service Pack 1 (2992611) Távoli kódvégrehajtás Kritikus 2868725 SA2868725
Windows Server 2008 R2
Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (2992611) Távoli kódvégrehajtás Kritikus 2868725 SA2868725
Windows Server 2008 R2 for Itanium-alapú Systems Service Pack 1 (2992611) Távoli kódvégrehajtás Kritikus 2868725 SA2868725
Windows 8 és Windows 8.1
Windows 8 32 bites rendszerekhez (2992611) Távoli kódvégrehajtás Kritikus 2868725 SA2868725
Windows 8 x64-alapú rendszerekhez (2992611) Távoli kódvégrehajtás Kritikus 2868725 SA2868725
Windows 8.1 32 bites rendszerekhez (2992611) Távoli kódvégrehajtás Kritikus Egyik sem
Windows 8.1 x64-alapú rendszerekhez (2992611) Távoli kódvégrehajtás Kritikus Egyik sem
Windows Server 2012 és Windows Server 2012 R2
Windows Server 2012 (2992611) Távoli kódvégrehajtás Kritikus 2868725 SA2868725
Windows Server 2012 R2 (2992611) Távoli kódvégrehajtás Kritikus Egyik sem
Windows RT és Windows RT 8.1
Windows RT[1](2992611) Távoli kódvégrehajtás Kritikus 2868725 SA2868725
Windows RT 8.1[1](2992611) Távoli kódvégrehajtás Kritikus Egyik sem
Server Core telepítési lehetőség
Windows Server 2008 for 32 bites Systems Service Pack 2 (Server Core telepítés) (2992611) Távoli kódvégrehajtás Kritikus 2207566 az MS10-085-ben
Windows Server 2008 x64-alapú Systems Service Pack 2 rendszerhez (Server Core telepítés) (2992611) Távoli kódvégrehajtás Kritikus 2207566 az MS10-085-ben
Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (Server Core telepítés) (2992611) Távoli kódvégrehajtás Kritikus 2868725 SA2868725
Windows Server 2012 (Server Core telepítés) (2992611) Távoli kódvégrehajtás Kritikus 2868725 SA2868725
Windows Server 2012 R2 (Server Core telepítés) (2992611) Távoli kódvégrehajtás Kritikus Egyik sem

[1]Ez a frissítés csak a Windows Update-en keresztül érhető el.

 

Gyakori kérdések frissítése

A frissítés tartalmaz további, biztonsággal kapcsolatos módosításokat a funkciókban?
Igen. A jelen közlemény Biztonságirés-információk szakaszában felsorolt módosítások mellett ez a frissítés a Windows 7, Windows Server 2008 R2, Windows 8 és Windows Server 2012 rendszerekhez elérhető TLS-titkosítási csomagokat is tartalmazza. További információt a Microsoft Tudásbázis 2992611 című cikkében talál. 

Súlyossági minősítések és biztonságirés-azonosítók

Az alábbi súlyossági minősítések feltételezik a biztonsági rés lehetséges maximális hatását. A biztonsági rés súlyosságával és biztonsági hatásával kapcsolatos biztonsági rés kihasználásának valószínűségéről a biztonsági közlemény megjelenésétől számított 30 napon belül tekintse meg a novemberi közlemény összegzésében található Kizsákmányolhatósági indexet.

Biztonságirés súlyossági besorolása és az érintett szoftverek által gyakorolt maximális biztonsági hatás
Érintett szoftver Microsoft Schannel távoli kódvégrehajtási biztonsági rés – CVE-2014-6321 Súlyosság összesített minősítése
Windows Server 2003
Windows Server 2003 Service Pack 2 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2003 x64 Edition Service Pack 2 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2003 SP2 itanium-alapú rendszerekhez (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Vista
Windows Vista Service Pack 2 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Vista x64 Edition Service Pack 2 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2008
Windows Server 2008 for 32 bites Systems Service Pack 2 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2008 x64-alapú Systems Service Pack 2 rendszerhez (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2008 for Itanium-alapú Systems Service Pack 2 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows 7
Windows 7 for 32 bites Systems Service Pack 1 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows 7 x64-alapú Systems Service Pack 1 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2008 R2
Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2008 R2 for Itanium-alapú Systems Service Pack 1 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows 8 és Windows 8.1
Windows 8 32 bites rendszerekhez (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows 8 x64-alapú rendszerekhez (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows 8.1 32 bites rendszerekhez (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows 8.1 x64-alapú rendszerekhez (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2012 és Windows Server 2012 R2
Windows Server 2012 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2012 R2 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows RT és Windows RT 8.1
Windows RT (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows RT 8.1 (2992611) Kritikus távoli kódvégrehajtás Kritikus
Server Core telepítési lehetőség
Windows Server 2008 for 32 bites Systems Service Pack 2 (Server Core telepítés) (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2008 x64-alapú Systems Service Pack 2 rendszerhez (Server Core telepítés) (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (Server Core telepítés) (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2012 (Server Core telepítés) (2992611) Kritikus távoli kódvégrehajtás Kritikus
Windows Server 2012 R2 (Server Core telepítés) (2992611) Kritikus távoli kódvégrehajtás Kritikus

 

Microsoft Schannel távoli kódvégrehajtási biztonsági rés – CVE-2014-6321

A biztonságos csatorna (Schannel) biztonsági csomagjában távoli kódvégrehajtási biztonsági rés található a speciálisan létrehozott csomagok helytelen feldolgozása miatt. A Microsoft összehangolt biztonságirés-közzététellel kapott információt erről a biztonsági résről. A biztonsági közlemény kiadásakor a Microsoft nem kapott semmilyen információt arról, hogy a biztonsági rést nyilvánosan használták az ügyfelek támadására. A frissítés a speciálisan létrehozott csomagok Schannel általi fertőtlenítésével oldja meg a biztonsági rést.

Enyhítő tényezők

A Microsoft nem talált enyhítő tényezőket a biztonsági réshez.

Kerülő megoldások

A Microsoft nem talált megkerülő megoldást a biztonsági résre.

GYIK

Mire használhatja a támadó a biztonsági rést?
A biztonsági rést sikeresen kihasználó támadó tetszőleges kódot futtathat egy célkiszolgálón.

Hogyan használhatja ki a támadó a biztonsági rést?
A támadó megpróbálhatja kihasználni ezt a biztonsági rést, ha speciálisan létrehozott csomagokat küld egy Windows-kiszolgálóra.

Mely rendszerek vannak elsősorban veszélyben a sebezhetőség miatt?
Az érintett Schannel-verziót futtató kiszolgáló- és munkaállomásrendszerek elsősorban veszélyben vannak.

Biztonsági frissítés üzembe helyezése

A biztonsági frissítések központi telepítésével kapcsolatos információkért tekintse meg a Microsoft Tudásbázis vezetői összefoglalójában hivatkozott cikket.

Köszönetnyilvánítás

A Microsoft felismeri a biztonsági közösség azon dolgozóinak erőfeszítéseit, akik összehangolt biztonsági rések feltárásával segítenek az ügyfelek védelmében. További információt a Nyugtázások című témakörben talál.

Felelősséget kizáró nyilatkozat

A Microsoft Tudásbázisban megadott információk "az adott módon" vannak megadva, semmilyen garancia nélkül. A Microsoft kizár minden kifejezett vagy vélelmezett garanciát, beleértve a kereskedelmi forgalomra és az adott célra való alkalmasságra vonatkozó szavatosságot. A Microsoft Corporation vagy beszállítói semmilyen esetben sem vonhatók felelősségre semmilyen kárért, beleértve a közvetlen, közvetett, járulékos, következményi, üzleti nyereség elvesztését vagy különleges károkat, még akkor sem, ha a Microsoft Corporationt vagy szállítóit értesítették az ilyen károk lehetőségéről. Egyes államok nem teszik lehetővé a következményi vagy járulékos károkért való felelősség kizárását vagy korlátozását, így a fenti korlátozás nem alkalmazható.

Változatok

  • 1.0-s verzió (2014. november 11.): Közlemény megjelent.
  • V2.0 (2014. november 18.): A windowsos Server 2008 R2 és Windows Server 2012 rendszert futtató rendszerek 2992611 frissítésének bejelentésére módosított közlemény. Ez a megoldás azokat az ismert problémákat oldja meg, amelyeket kis számú ügyfél tapasztalt az eredeti kiadásban szereplő új TLS-titkosítási csomagokkal. A Windows Server 2008 R2 vagy a Windows Server 2012 rendszert futtató ügyfeleknek, akik a 2992611 frissítést a 2012. november 18-a előtt telepítették, újra alkalmazniuk kell a frissítést. További információt a Microsoft Tudásbázis 2992611 című cikkében talál.
  • V3.0 (2014. december 9.): A windowsos Vista és a Windows Server 2008 rendszert futtató rendszerek 2992611 frissítésének bejelentésére módosított közlemény. Az eredeti kiadásban szereplő probléma megoldása. A Windows Vista vagy a Windows Server 2008 rendszert futtató ügyfeleknek, akik a 2992611 frissítést a 2008. december 9- e előtt telepítették, újra kell alkalmazniuk a frissítést. További információt a Microsoft Tudásbázis 2992611 című cikkében talál.

Lap generálva 2015-03-31 11:42Z-07:00.