Microsoft 安全公告 3009008

  • 项目

SSL 3.0 中的漏洞可能允许信息泄露

发布时间: 2014 年 10 月 14 日 |更新时间:2015 年 4 月 14 日

版本: 3.0

常规信息

执行摘要

Microsoft 知道已发布的详细信息,其中描述了一种利用 SSL 3.0 中的漏洞的新方法。 这是影响 SSL 3.0 协议本身且不特定于 Windows 操作系统的行业范围的漏洞。 所有受支持的 Microsoft Windows 版本都实现此协议,并受此漏洞影响。 Microsoft 目前不知道尝试使用报告漏洞的攻击。 考虑到攻击方案,此漏洞不会被视为客户高风险。

我们正在积极与 Microsoft Active Protections 计划(MAPP)中的合作伙伴合作,提供他们可以用来为客户提供更广泛的保护的信息。

Microsoft 宣布在 2015 年 4 月 14 日 4 月 14 日发布安全更新3038314时,Internet Explorer 11 中默认禁用。 Microsoft 还宣布在未来几个月内将跨 Microsoft 联机服务禁用 SSL 3.0。 我们建议客户将客户端和服务迁移到更安全的安全协议,例如 TLS 1.0、TLS 1.1 或 TLS 1.2。

缓解因素

  • 在攻击成功之前,攻击者必须发出数百个 HTTPS 请求。
  • TLS 1.0、TLS 1.1、TLS 1.2 和不使用 CBC 模式的所有密码套件不会受到影响。

建议。 有关禁用 SSL 3.0 的解决方法,请参阅 此公告的“建议的操作 ”部分。 Microsoft 建议客户使用这些解决方法来测试其客户端和服务,以便使用 SSL 3.0 并相应地开始迁移。

咨询详细信息

问题参考

有关此问题的详细信息,请参阅以下参考:

参考 标识
知识库文章 3009008
CVE 参考 CVE-2014-3566 

受影响的软件

此公告讨论以下软件。

受影响的软件

|**操作系统**| |------------| | |Windows Server 2003 Service Pack 2| |Windows Server 2003 x64 Edition Service Pack 2 | |Windows Server 2003 SP2 for Itanium 基于 System| |Windows Vista Service Pack 2| |Windows Vista x64 Edition Service Pack 2 | |Windows Server 2008 for 32 位系统 Service Pack 2 | |基于 x64 的系统 Service Pack 2 的 Windows Server 2008 | |基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008 | |Windows 7 for 32 位系统 Service Pack 1 | |基于 x64 的系统 Service Pack 1 的 Windows 7 | |基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 | |适用于基于 Itanium 的系统 Service Pack 1 的 Windows Server 2008 R2 | |适用于 32 位系统的 Windows 8 | |基于 x64 的系统版 Windows 8 | |适用于 32 位系统的 Windows 8.1 | |基于 x64 的系统版 Windows 8.1 | |Windows Server 2012 | |Windows Server 2012 R2 | |Windows RT| |Windows RT 8.1| |**Server Core 安装选项**| | |Windows Server 2008 for 32 位系统 Service Pack 2 (服务器核心安装)| |基于 x64 的系统 Service Pack 2(服务器核心安装)的 Windows Server 2008 | |基于 x64 的系统 Service Pack 1 的 Windows Server 2008 R2 (服务器核心安装)| |Windows Server 2012 (服务器核心安装)| |Windows Server 2012 R2 (服务器核心安装)|

 

咨询常见问题解答


我使用的是 11 以外的 Internet Explorer 版本。 如何保护系统免受此漏洞的伤害?
SSL 3.0 仅在所有受支持的 Microsoft Windows 版本 Internet Explorer 11 中禁用。 如果使用的是不同版本的 Internet Explorer,请参阅“建议的解决方法”部分,了解可应用于系统的解决方法,以保护其免受此漏洞的伤害。

公告的范围是什么?
此公告的目的是通知客户 Microsoft 了解描述利用影响 SSL 3.0 的漏洞的新方法的详细信息。 此漏洞是信息泄露漏洞。

攻击者如何利用漏洞?
在中间人(MiTM)攻击中,攻击者可能会降级加密 TLS 会话,迫使客户端使用 SSL 3.0,然后强制浏览器执行恶意代码。 此代码将多个请求发送到目标 HTTPS 网站,如果存在以前经过身份验证的会话,则会自动发送 Cookie。 这是利用此漏洞所需的条件。 然后,攻击者可以拦截此 HTTPS 流量,并通过利用 SSL 3.0 中 CBC 块密码中的弱点来解密加密流量的部分(例如身份验证 Cookie)。

攻击者可能使用此漏洞执行哪些操作?
成功利用此漏洞的攻击者可以解密加密流量的某些部分。

导致漏洞的原因是什么?
该漏洞是由于 SSL 3.0 中缺少 CBC 块密码填充验证造成的。

什么是 SSL?
安全套接字层(SSL)是一种加密协议,通过 Internet 提供通信安全性。 SSL 使用加密来加密通过网络传输的数据,并使用用于隐私的加密和消息可靠性的密钥消息身份验证代码。

什么是 TLS?
传输层安全性(TLS)是一种标准协议,用于在 Internet 或 Intranet 上提供安全的 Web 通信。 它使客户端能够对服务器进行身份验证,或者(可选)服务器对客户端进行身份验证。 它还通过加密通信提供安全通道。 TLS 是安全套接字层 (SSL) 协议的最新版本。

TLS 是否受此问题影响?
否。 此问题特定于 SSL 3.0。

这是一个行业范围内的问题吗?
是的。 该漏洞驻留在 SSL 3.0 协议的设计中,并不局限于 Microsoft 的实现。

建议的操作

应用解决方法

解决方法是指未更正基础问题的设置或配置更改,但有助于在安全更新可用之前阻止已知的攻击途径。

  • 禁用 SSL 3.0 并在 Internet Explorer 中启用 TLS 1.0、TLS 1.1 和 TLS 1.2

    可以通过修改 Internet Explorer 中的高级安全设置来禁用 Internet Explorer 中的 SSL 3.0 协议。

    若要更改要用于 HTTPS 请求的默认协议版本,请执行以下步骤:

    1. 在“Internet Explorer 工具” 菜单上,单击“ InternetOptions”。
    2. InternetOptions 对话框中,单击“ 高级 ”选项卡。
    3. 在“安全”类别中,un检查 UseSSL3.0 和检查使用 TLS 1.0使用 TLS 1.1 和使用 TLS 1.2(如果可用)。
    4. 请注意,检查连续版本非常重要。 不选择连续版本(例如检查 TLS 1.0 和 1.2,但不检查 1.1)可能会导致连接错误。
    5. 单击“确定”。
    6. 退出并重新启动 Internet Explorer。

    请注意 ,应用此解决方法后,Internet Explorer 将无法连接到仅支持 SSL 到 3.0 且不支持 TLS 1.0、TLS 1.1 和 TLS 1.2 的 Web 服务器。 

    注意:
    请参阅 Microsoft 知识库文章3009008 使用自动 Microsoft 修复解决方案在 Internet Explorer 中禁用 SSL 3.0。

    如何撤消解决方法。 按照以下步骤在 Internet Explorer 中启用 SSL 3.0。

    1. 在“Internet Explorer 工具” 菜单上,单击“ InternetOptions”。
    2. InternetOptions 对话框中,单击“ 高级 ”选项卡。
    3. “安全”类别中,检查 UseSSL3.0
    4. 单击“确定”。
    5. 退出并重新启动 Internet Explorer。

  • 禁用 SSL 3.0 并在组策略中为 Internet Explorer 启用 TLS 1.0、TLS 1.1 和 TLS 1.2

    可以通过修改“关闭加密支持组策略”对象,通过组策略禁用对 Internet Explorer 中的 SSL 3.0 协议的支持。

    1. 打开“组策略管理” 。

    2. 选择要修改的组策略对象,右键单击并选择“ 编辑”。

    3. 在组策略管理编辑器中,浏览到以下设置:
      计算机配置 -> 管理员主模板 - Windows 组件 -> Internet Explorer ->> Internet 控制面板 - 高级页面 ->> 关闭加密支持

    4. 双击“ 关闭加密支持 ”设置以编辑设置。

    5. 单击“已启用”。

    6. 在“选项”窗口中,将“安全协议组合”设置更改为“使用 TLS 1.0、TLS 1.1 和 TLS 1.2”。

    7. 请注意,检查连续版本非常重要。 不选择连续版本(例如检查 TLS 1.0 和 1.2,但不检查 1.1)可能会导致连接错误。

    8. 单击“确定”。

      请注意,管理员istrators 应通过将 GPO 链接到其环境中的相应 OU 来适当地应用此组策略。

    请注意 ,应用此解决方法后,Internet Explorer 将无法连接到仅支持 SSL 到 3.0 且不支持 TLS 1.0、TLS 1.1 和 TLS 1.2 的 Web 服务器。 

    如何撤消解决方法。 按照以下步骤禁用 SSL 3.0 策略设置:

    1. 打开“组策略管理” 。

    2. 选择要修改的组策略对象,右键单击并选择“ 编辑”。

    3. 在组策略管理编辑器中,浏览到以下设置:
      计算机配置 -> 管理员主模板 - Windows 组件 -> Internet Explorer ->> Internet 控制面板 - 高级页面 ->> 关闭加密支持

    4. 双击“ 关闭加密支持 ”设置以编辑设置。

    5. 单击“ 已禁用”。

    6. 单击“确定”。

  • 在 Windows 中禁用 SSL 3.0

    对于服务器软件

    可以按照以下步骤在 Windows 上禁用对 SSL 3.0 协议的支持:

    1. 单击“开始”,单击“运行,键入 regedt32 或键入 regedit,然后单击“确定”。
    2. 在注册表编辑器中,找到以下注册表项:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    请注意,如果完整的注册表项路径不存在,可以通过展开可用键并使用“编辑”菜单中的“新建 ->Key”选项来创建它。

    1. “编辑 ”菜单上,单击“ AddValue”。
    2. DataType 列表中,单击 DWORD
    3. ValueName 框中,键入 “已启用”,然后单击“ 确定”。 

    请注意 ,如果存在此值,请双击该值以编辑其当前值。

    1. “编辑 DWORD(32 位)值 ”对话框中,键入 0
    2. 单击“确定”。 重新启动计算机。

     

    请注意 ,此解决方法将为系统上安装的所有服务器软件(包括 IIS)禁用 SSL 3.0。

    请注意 ,应用此解决方法后,仅依赖于 SSL 3.0 的客户端将无法与服务器通信。

    如何撤消解决方法。 按照以下步骤在 Windows 服务器软件中禁用 SSL 3.0:

    1. 打开注册表编辑器。
    2. 找到并单击以下注册表子项:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    1. 在“编辑”菜单上,单击“ 删除”。
    2. 在系统提示时单击 “是”
    3. 启动注册表编辑器。
    4. 重新启动系统。

    对于客户端软件

    可以按照以下步骤在 Windows 上禁用对 SSL 3.0 协议的支持:

    1. 单击“开始”,单击“运行,键入 regedt32 或键入 regedit,然后单击“确定”。
    2. 在注册表编辑器中,找到以下注册表项:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    请注意,如果完整的注册表项路径不存在,可以通过展开可用键并使用“编辑”菜单中的“新建 ->Key”选项来创建它。

    1. “编辑 ”菜单上,单击“ AddValue”。
    2. DataType 列表中,单击 DWORD
    3. ValueName 框中,键入 “已启用”,然后单击“ 确定”。 

    请注意 ,如果存在此值,请双击该值以编辑其当前值。

    1. “编辑 DWORD(32 位)值 ”对话框中,键入 0
    2. 单击“确定”。 重新启动计算机。

     

    请注意 ,此解决方法将禁用系统上安装的所有客户端软件的 SSL 3.0。

    请注意 ,应用此解决方法后,此计算机上的客户端应用程序将无法与其他仅支持 SSL 3.0 的服务器通信。

    如何撤消解决方法。 按照以下步骤在 Windows 客户端软件中禁用 SSL 3.0:

    1. 打开注册表编辑器。
    2. 找到并单击以下注册表子项:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    1. 在“编辑”菜单上,单击“ 删除”。
    2. 在系统提示时单击 “是”
    3. 启动注册表编辑器。
    4. 重新启动系统。

其他建议的操作

  • 保护电脑

    我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 有关详细信息,请参阅 Microsoft 保险箱ty & 安全中心

  • 使 Microsoft 软件更新保持更新

    运行 Microsoft 软件的用户应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果你不确定你的软件是否是最新的,请访问 Microsoft 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果已启用自动更新并配置为提供 Microsoft 产品的更新,则更新会在发布时向你传递,但应验证它们是否已安装。

致谢

Microsoft 感谢 以下部门与我们合作,帮助保护客户:

  • Google 安全团队Bodo Möller 就此问题与我们合作

其他信息

Microsoft Active Protections 计划 (MAPP)

为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴列出。

反馈

支持

免责声明

此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修订

  • V1.0 (2014 年 10 月 14 日):已发布公告。
  • V1.1(2014 年 10 月 15 日):修订后的公告,包括一种在 Windows 中禁用 SSL 3.0 协议的解决方法。
  • V2.0(2014 年 10 月 29 日):修订了宣布弃用 SSL 3.0 的公告,以阐明有关在 Windows 服务器和 Windows 客户端上禁用 SSL 3.0 的解决方法说明,并宣布 Microsoft 修复了 Internet Explorer 解决方案的可用性。 有关详细信息,请参阅 知识库文章3009008
  • V2.1(2014 年 12 月 9 日):Microsoft 宣布在 Internet Explorer 11 中提供 SSL 3.0 回退警告。 有关详细信息,请参阅 知识库文章3013210
  • V2.2(2015 年 2 月 10 日):Microsoft 宣布在 Internet Explorer 11 中默认禁用 SSL 3.0 回退尝试。 有关详细信息,请参阅 Microsoft 知识库文章3021952
  • V2.3(2015 年 2 月 16 日):修订了公告,宣布在 Internet Explorer 11 中默认禁用 SSL 3.0 的计划日期。
  • V3.0(2015 年 4 月 14 日)修订公告,宣布在 2015 年 4 月 14 日 4 月 14 日发布安全更新3038314时,Internet Explorer 3.0 默认处于禁用状态,并添加有关如何撤消解决方法的说明。

页面生成的 2015-04-07 14:32Z-07:00。