Microsoft 安全通报 3009008

  • 项目

SSL 3.0 中的漏洞可能允许信息泄露

发布日期: 2014年 10 月 14 日 | 更新日期: 2015 年 4 月 14 日

版本: 3.0

一般信息

摘要

Microsoft 获悉,有人发布了详细信息介绍一种利用 SSL 3.0 中漏洞的新方法。这是行业范围内的漏洞,影响 SSL 3.0 协议本身,并不针对 Windows 操作系统。Microsoft Windows 的所有受支持版本都实施此协议,因此受此漏洞的影响。Microsoft 目前没有获悉尝试使用报告的漏洞进行的攻击。考虑到攻击情形,此漏洞不会给客户带来较高风险。

我们正在积极与我们的 Microsoft Active Protections Program (MAPP) 合作伙伴合作,为他们提供可用来为客户提供更广泛保护的信息。

完成此调查时,Microsoft 将采取适当的措施帮助保护我们的客户。这可能包括通过我们每月的发布过程提供安全更新或提供不定期的安全更新,具体取决于客户需求。

缓解因素:

  • 攻击者必须发出数百个 HTTPS 请求才能让攻击成功。
  • TLS 1.0、TLS 1.1、TLS 1.2 和所有不使用 CBC 模式的密码套件不受影响。

建议。请参阅此通报中建议措施部分以了解禁用 SSL 3.0 的变通方法。Microsoft 建议客户使用这些变通方法测试其客户端和服务,以使用 SSL 3.0 并相应地进行迁移。

通报详细信息

问题参考

有关此问题的详细信息,请参阅以下参考:

参考

标识

知识库文章

3009008

CVE 参考

CVE-2014-3566 
受影响的软件 ------------ 此通报讨论以下软件。 **受影响的软件**

操作系统

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 SP2(用于基于 Itanium 的系统)

Windows Vista Service Pack 2

Windows Vista x64 Edition Service Pack 2

Windows Server 2008(用于 32 位系统)Service Pack 2

Windows Server 2008(用于基于 x64 的系统)Service Pack 2

Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2

Windows 7(用于 32 位系统)Service Pack 1

Windows 7(用于基于 x64 的系统)Service Pack 1

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1

Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1

Windows 8(用于 32 位系统)

Windows 8(用于基于 x64 的系统)

Windows 8.1(用于 32 位系统)

Windows 8.1(用于基于 x64 的系统)

Windows Server 2012

Windows Server 2012 R2

Windows RT

Windows RT 8.1

服务器核心安装选项

Windows Server 2008(用于 32 位系统)Service Pack 2(服务器核心安装)

Windows Server 2008(用于基于 x64 的系统)Service Pack 2(服务器核心安装)

Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)

Windows Server 2012(服务器核心安装)

Windows Server 2012 R2(服务器核心安装)
  通报常见问题 ------------ **我正在使用 Internet Explorer 版本,而未使用 Internet Explorer 11。我的系统如何防止此漏洞?** 在所有受支持的 Microsoft Windows 版本中,Internet Explorer 11 仅禁用 SSL 3.0。 如果您正在使用不同版本的 Internet Explorer,请参阅变通方法的“建议的变通方法”部分,以将其应用于您的系统来防止此漏洞。 **此通报的适用范围有多大?**  此通报的目的是通知客户 Microsoft 获悉有人发布了详细信息介绍一种利用 SSL 3.0 中漏洞的新方法。此漏洞是一个信息泄露漏洞。 **攻击者如何利用此漏洞?**  在人为干预 (MITM) 攻击中,攻击者可能使加密的 TLS 会话降低,强制客户端使用 SSL 3.0,然后强制浏览器执行恶意代码。此代码向目标 HTTPS 网站发送许多请求,其中如果存在以前经过身份验证的会话,则会自动发送 Cookie。这是要利用此漏洞所必需的条件。攻击者然后可以截取此 HTTPS 通信,并通过利用 SSL 3.0 中 CBC 分组密码的漏洞,可以对加密通信的某些部分(例如身份验证 Cookie)进行解密。 **攻击者可能利用此漏洞执行什么操作?**  成功利用此漏洞的攻击者可以对加密通信的某些部分进行解密。 **造成此漏洞的原因是什么?  **造成此漏洞的原因是 SSL 3.0 中使用的 CBC 加密算法存在漏洞。 **什么是 SSL?  **安全套接字层 (SSL) 是一种通过 Internet 提供通信安全的加密协议。SSL 对通过网络传输的数据进行加密,使用加密技术保护隐私,并使用带密钥的消息验证代码确保消息可靠性。 **什么是 TLS?** 传输层安全性 (TLS) 是一个标准协议,用于在 Internet 或 Intranet 上提供安全的 Web 通信。它使客户端对服务器进行身份分验证,或者服务器对客户端进行身份验证。它还通过加密通信提供安全通道。TLS 是安全套接字层 (SSL) 协议的最新版本。 **TLS 是否受此问题影响?** 否。此问题针对 SSL 3.0。 **这是否是行业范围内的问题?**  是。该漏洞存在于 SSL 3.0 协议的设计中,不仅限于 Microsoft 的实施。 建议措施 -------- ### 应用变通方法 变通办法是指一种设置或配置更改,它不能从根本上纠正问题,但有助于在安全更新可用之前阻止已知的攻击媒介。 - **在 Internet Explorer 中禁用 SSL 3.0 并启用 TLS 1.0、TLS 1.1 和 TLS 1.2** 您可以通过修改 Internet Explorer 中的“高级安全设置”以在 Internet Explorer 中禁用 SSL 3.0 协议。 要更改用于 HTTPS 请求的默认协议版本,请执行以下步骤: 1. 在 Internet Explorer 的“**工具**”菜单上,单击“**Internet选项**”。 2. 在“**Internet选项**”对话框中,单击“**高级**”选项卡。 3. 在“**安全**”类别中,取消选中“**使用SSL3.0**”并选中“**使用 TLS 1.0**”、“**使用 TLS 1.1**”和“**使用 TLS 1.2**”(如果可用)。 4. **注意** 选中连续版本非常重要。不选择连续版本(如勾选了 TLS 1.0 和 1.2 但未勾选 1.1)可能导致连接错误。 5. 单击“**确定**”。 6. 退出,然后重新启动 Internet Explorer。 ? **注意** 在应用此变通方法之后,Internet Explorer 将无法连接到仅支持 SSL 3.0 且不支持 TLS 1.0、TLS 1.1 和 TLS 1.2 的 Web 服务器。 | 注意: | |--------------------------------------------------------------------------------------------------------------------------------------------------------------------| | 要使用自动 Microsoft Fix it 解决方案仅在 Internet Explorer 中禁用 SSL 3.0,请参阅 [Microsoft 知识库文章 3009008](https://support.microsoft.com/kb/3009008/zh-cn)。 | **如何撤消变通方法**。 若要启用 Internet Explorer 中的 SSL 3.0,请执行以下操作。 1. 在 Internet Explorer 的“**工具**”菜单上,单击“**Internet选项**”。 2. 在“**Internet选项**”对话框中,单击“**高级**”选项卡。 3. 在“**安全**”类别中,选中“**使用SSL3.0**”。 4. 单击**确定**。 5. 退出,然后重新启动 Internet Explorer。 - **在组策略中针对 Internet Explorer 禁用 SSL 3.0 并启用 TLS 1.0、TLS 1.1 和 TLS 1.2** 通过修改“关闭加密支持组策略对象”,您可以通过组策略在 Internet Explorer 中禁用对于 SSL 3.0 协议的支持。 1. 打开组策略管理。 2. 选择要修改的组策略对象,用鼠标右键单击并选择“**编辑**”。 3. 在组策略管理编辑器中,浏览到以下设置: “计算机配置”-“>管理模板”->“Windows 组件”->“Internet Explorer”->“Internet 控制面板”->“高级页面”->“关闭加密支持” 4. 双击“**关闭加密支持**”设置以编辑该设置。 5. 单击“**已启用**”。 6. 在“选项”窗口中,将安全协议组合设置更改为“**使用 TLS 1.0、TLS 1.1 和 TLS 1.2**”。 7. **注意** 选中连续版本非常重要。不选择连续版本(如勾选了 TLS 1.0 和 1.2 但未勾选 1.1)可能导致连接错误。 8. 单击“**确定**”。 ? **注意** 管理员应通过将 GPO 链接到其环境中相应的 OU,确保正确地应用此组策略。 **注意** 在应用此变通方法之后,Internet Explorer 将无法连接到仅支持 SSL 3.0 且不支持 TLS 1.0、TLS 1.1 和 TLS 1.2 的 Web 服务器。 **如何撤消变通方法**。 若要禁用 SSL 3.0 策略设置,请执行以下操作: 1. 打开组策略管理。 2. 选择要修改的组策略对象,用鼠标右键单击并选择“**编辑**”。 3. 在组策略管理编辑器中,浏览到以下设置: 计算机配置 -> 管理模板 -> Windows 组件 -> Internet Explorer -> Internet 控制面板 -> 高级页面 -> 关闭加密支持 4. 双击“**关闭加密支持**”设置以编辑该设置。 5. 单击**已禁用。** 6. 单击**确定。** - **在 Windows 中禁用 SSL 3.0** **对于服务器软件** 您可以按照以下步骤在 Windows 上禁用针对 SSL 3.0 协议的支持: 1. 依次单击“**开始**”、“**运行**”,键入 **regedt32** 或 **regedit**,然后单击“**确定**”。 2. 在注册表编辑器中,找到以下注册表项: ``` 
        HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

      

  
        **注意** 如果完整的注册表项路径不存在,您可以通过展开可用表项并使用“**新建**”-“>**表项**”选项(在“**编辑**”菜单中)进行创建。
  
    3.  在“**编辑**”菜单上,单击“**添加值**”。  
    4.  在“**数据类型**”列表中,单击“**DWORD**”。  
    5.  在“**值名称**”框中,键入“**已启用**”,然后单击“**确定**”。
  
        **注意** 如果该值存在,请双击该值以编辑其当前值。
  
    6.  在“**编辑 DWORD(32 位)值**”对话框中,键入“**0**”。  
    7.  单击“**确定**”。重启计算机。
  
    ?
  
    **注意** 此变通方法将针对系统上安装的所有服务器软件禁用 SSL 3.0,包括 IIS。
  
    **注意** 应用此变通方法后,仅依赖于 SSL 3.0 的客户端将无法与服务器进行通信。
  
    **如何撤消变通方法**。 若要在 Windows 服务器软件中禁用 SSL 3.0,请执行以下操作:
  
    1.  打开注册表编辑器。  
    2.  找到并单击以下注册表子项: ```

  
            HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
  
          

3.  在“编辑”菜单上,单击“**删除**”。  
4.  在系统提示时,单击“**是**”。  
5.  退出注册表编辑器。  
6.  重启系统。

**?**  

**对于客户端软件**

您可以按照以下步骤在 Windows 上禁用针对 SSL 3.0 协议的支持:

1.  依次单击“**开始**”、“**运行**”,键入 **regedt32** 或 **regedit**,然后单击“**确定**”。  
2.  在注册表编辑器中,找到以下注册表项: ```


        HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

      

  
        **注意** 如果完整的注册表项路径不存在,您可以通过展开可用表项并使用“**新建**”-“>**表项**”选项(在“**编辑**”菜单中)进行创建。
  
    3.  在“**编辑**”菜单上,单击“**添加值**”。  
    4.  在“**数据类型**”列表中,单击“**DWORD**”。  
    5.  在“**值名称**”框中,键入“**已启用**”,然后单击“**确定**”。
  
        **注意** 如果该值存在,请双击该值以编辑其当前值。
  
    6.  在“**编辑 DWORD(32 位)值**”对话框中,键入“**0**”。  
    7.  单击“**确定**”。重启计算机。
  
    ?
  
    **注意** 此变通方法将针对系统上安装的所有客户端软件禁用 SSL 3.0。
  
    **注意** 应用此变通方法后,此计算机上的客户端应用程序将无法与仅支持 SSL 3.0 的其他服务器进行通信。
  
    **如何撤消变通方法**。 若要在 Windows 客户端软件中禁用 SSL 3.0,请执行以下操作:
  
    1.  打开注册表编辑器。  
    2.  找到并单击以下注册表子项: ```

  
            HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
  
          

3.  在“编辑”菜单上,单击“**删除**”。  
4.  在系统提示时,单击“**是**”。  
5.  退出注册表编辑器。  
6.  重启系统。

其他建议措施

  • 保护您的 PC

    我们仍鼓励客户按照“保护您的计算机”指导启用防火墙、获取软件更新并安装防病毒软件。有关详细信息,请参阅Microsoft 安全中心

  • 及时更新 Microsoft 软件

    运行 Windows 软件的用户应该应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到最好的保护。如果不确定您的软件是否最新,请访问 Microsoft Update,扫描您的计算机以获取可用更新,并安装向您提供的任何高优先级更新。如果“自动更新”已启用并配置为向 Microsoft 产品提供更新,则此更新将在发布后自动传输给您,但您应验证它们是否已安装。

鸣谢


Microsoft 感谢下列人员或组织与我们一起致力于保护客户的利益:

其他信息

Microsoft Active Protections Program (MAPP)

为改进客户的安全保护,Microsoft 在发布每月安全更新之前将向主要的安全软件供应商提供漏洞信息。然后,安全软件供应商可以使用该漏洞信息通过其安全软件或者设备向客户提供更新的保护,例如防病毒、基于网络的入侵检测系统或者基于主机的入侵防止系统。要确定是否可从安全软件供应商处得到活动保护,请访问计划合作伙伴(在 Microsoft Active Protections Program (MAPP) 合作伙伴中列出)提供的活动保护网站。

反馈

支持

免责声明

本通报中提供的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2014 年 10 月 14 日): 已发布通报。
  • V1.1(2014 年 10 月 15 日):修订后的通报包含了在 Windows 中禁用 SSL 3.0 协议的变通方法。
  • V2.0(2014 年 10 月 29 日):修订后的通报宣布弃用 SSL 3.0 并阐明了在 Windows 服务器和 Windows 客户端上禁用 SSL 3.0 的变通方法指南,同时宣布针对 Internet Explorer 推出 Microsoft Fix it 解决方案。有关详细信息,请参阅知识库文章 3009008
  • V2.1(2014 年 12 月 9 日):Microsoft 宣布将在 Internet Explorer 11 中推出 SSL 3.0 回退警告。有关详细信息请参阅知识库文章 3013210
  • V2.2(2015 年 2 月 10 日): Microsoft 宣布,默认情况下将在 Internet Explorer 11 中禁用 SSL 3.0 回退尝试。有关详细信息,请参阅 Microsoft 知识库文章 3021952
  • V2.3(2015 年 2 月 16 日): 宣布 Internet Explorer 11 默认禁用 SSL 3.0 的计划日期的修订通告。
  • V3.0(2015 年 4 月 14)已修订公告,宣布安全更新 3038314 将于 2015 年 4 月 14 日发布,Internet Explorer 11 中禁用 SSL 3.0,并添加如何撤销变通办法的相关说明。

页面生成时间 2015-02-16 15:49Z-08:00。