Microsoft 安全公告 MS15-089 - 重要
WebDAV 中的漏洞可能导致信息泄露 (3076949)
发布日期:2015 年 8 月 11 日
版本: 1.0
执行摘要
此安全更新可修复 Microsoft Windows 中的漏洞。如果攻击者通过启用了安全套接字层 (SSL) 2.0 的 WebDAV 服务器强制执行加密的 SSL 2.0 会话并使用中间人 (MiTM) 攻击解密部分加密流量,则该漏洞可能导致信息泄露。
对于 Microsoft Windows 所有受支持的版本(未受影响的 Itanium 服务器和 Windows 10 除外),此安全更新的等级为“重要”。有关详细信息,请参阅“受影响的软件”部分。
该安全更新通过确保 Microsoft Web 分布式创作和版本控制 (WebDAV) 客户端默认使用更为安全的协议而不是 SSL 2.0 来修复此漏洞。有关该漏洞的详细信息,请参阅“漏洞信息”一节。
有关此更新的详细信息,请参阅 Microsoft 知识库文章 3076949。
受影响的软件
以下软件版本都受到影响。未列出的版本的支持生命周期已结束或者不受影响。要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期。
| **操作系统** | **最大安全影响** | **综合严重等级** | **替代的更新** |
| **Windows Vista** | |||
| [Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=72970964-7ae3-4dd4-945e-7bb98256cdb8) (3076949) | 信息泄漏 | 重要 | 无 |
| [Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=e91ce01e-c3c5-419a-b733-1b0c4d97044b) (3076949) | 信息泄漏 | 重要 | 无 |
| **Windows Server 2008** | |||
| [Windows Server 2008(用于 32 位系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=893d269e-10c2-4323-b525-30824bf1fde0)[1] (3076949) | 信息泄漏 | 重要 | 无 |
| [Windows Server 2008(用于基于 x64 的系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=0681ea13-c632-4159-979c-618fdd8bac18)[1] (3076949) | 信息泄漏 | 重要 | 无 |
| **Windows 7** | |||
| [Windows 7(用于 32 位系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=6c3771d6-a4f2-4782-ae4d-6dec8236f100) (3076949) | 信息泄漏 | 重要 | 无 |
| [Windows 7(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=8642efc9-6c47-48f5-b091-f9b3d4516224) (3076949) | 信息泄漏 | 重要 | 无 |
| **Windows Server 2008 R2** | |||
| [Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=4e2a2271-4a59-4a7a-b6a5-a93508294898)[1] (3076949) | 信息泄漏 | 重要 | 无 |
| **Windows 8 和 Windows 8.1** | |||
| [Windows 8(用于 32 位系统)](https://www.microsoft.com/download/details.aspx?familyid=fcbde248-9eb1-4762-ba48-1288c3b4e120) (3076949) | 信息泄漏 | 重要 | 无 |
| [Windows 8(用于基于 x64 的系统)](https://www.microsoft.com/download/details.aspx?familyid=7f2bee20-7ee5-4b22-8e33-88e198d3dd6e) (3076949) | 信息泄漏 | 重要 | 无 |
| [Windows 8.1(用于 32 位系统)](https://www.microsoft.com/download/details.aspx?familyid=b1db4693-9353-46a1-a8e9-5ddc50d90037) (3076949) | 信息泄漏 | 重要 | 无 |
| [Windows 8.1(用于基于 x64 的系统)](https://www.microsoft.com/download/details.aspx?familyid=e37e4ecc-b8a1-4af9-9c5b-af7e15f9d560) (3076949) | 信息泄漏 | 重要 | 无 |
| **Windows Server 2012 和 Windows Server 2012 R2** | |||
| [Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=65d3224c-b2d4-4882-87ef-c7a8a7b98c04)[1] (3076949) | 信息泄漏 | 重要 | 无 |
| [Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=1b74ff7b-2fb5-45a8-81a3-ecab643ec716)[1] (3076949) | 信息泄漏 | 重要 | 无 |
| **Windows RT 和 Windows RT 8.1** | |||
| Windows RT[2] (3076949) | 信息泄漏 | 重要 | 无 |
| Windows RT 8.1[2] (3076949) | 信息泄漏 | 重要 | 无 |
[1]服务器仅在安装“桌面体验”后受到影响。
[2]此更新仅通过 Windows 更新提供。
严重等级和漏洞标识符
以下严重等级假设漏洞的可能的最大影响。有关此安全公告发布 30 天内,漏洞利用的安全等级和安全影响的可能性的信息,请参阅 8 月份公告摘要中的利用指数。
| **按受影响软件列出的漏洞严重等级和最大安全影响** | ||
| **受影响的软件** | [**WebDAV 客户端信息泄露漏洞 - CVE-2015-2476**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2476) | **综合严重等级** |
| **Windows Vista** | ||
| Windows Vista Service Pack 2 (3076949) | **重要** 信息泄漏 | **重要** |
| Windows Vista x64 Edition Service Pack 2 (3076949) | **重要** 信息泄漏 | **重要** |
| **Windows Server 2008** | ||
| Windows Server 2008(用于 32 位系统)Service Pack 2 (3076949) | **重要** 信息泄漏 | **重要** |
| Windows Server 2008(用于基于 x64 的系统)Service Pack 2 (3076949) | **重要** 信息泄漏 | **重要** |
| **Windows 7** | ||
| Windows 7(用于 32 位系统)Service Pack 1 (3076949) | **重要** 信息泄漏 | **重要** |
| Windows 7(用于基于 x64 的系统)Service Pack 1 (3076949) | **重要** 信息泄漏 | **重要** |
| **Windows Server 2008 R2** | ||
| Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 (3076949) | **重要** 信息泄漏 | **重要** |
| **Windows 8 和 Windows 8.1** | ||
| Windows 8(用于 32 位系统) (3076949) | **重要** 信息泄漏 | **重要** |
| Windows 8(用于基于 x64 的系统) (3076949) | **重要** 信息泄漏 | **重要** |
| Windows 8.1(用于 32 位系统) (3076949) | **重要** 信息泄漏 | **重要** |
| Windows 8.1(用于基于 x64 的系统) (3076949) | **重要** 信息泄漏 | **重要** |
| **Windows Server 2012 和 Windows Server 2012 R2** | ||
| Windows Server 2012 (3076949) | **重要** 信息泄漏 | **重要** |
| Windows Server 2012 R2 (3076949) | **重要** 信息泄漏 | **重要** |
| **Windows RT 和 Windows RT 8.1** | ||
| Windows RT (3076949) | **重要** 信息泄漏 | **重要** |
| Windows RT 8.1 (3076949) | **重要** 信息泄漏 | **重要** |
漏洞信息
WebDAV 客户端信息泄露漏洞 - CVE-2015-2476
当 Microsoft Web 分布式创作和版本控制 (WebDAV) 客户端以显式方式允许使用安全套接字层 (SSL) 2.0 时存在信息泄露漏洞。成功利用此漏洞的攻击者可以对加密通信的某些部分进行解密。
攻击者通过启用了安全套接字层 (SSL) 2.0 的 WebDAV 服务器强制执行加密的 SSL 2.0 会话并使用中间人 (MiTM) 攻击解密部分加密通信以利用该漏洞。该安全更新通过确保 Microsoft Web 分布式创作和版本控制 (WebDAV) 客户端默认使用更为安全的协议而不是 SSL 2.0 来修复此漏洞。
Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。
缓解因素
Microsoft 并未发现此漏洞的任何缓解因素。
变通办法
Microsoft 并未发现此漏洞的任何变通办法。
安全更新程序部署
有关安全更新部署信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。
鸣谢
Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢部分。
免责声明
Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。
修订版本
- V1.0(2015 年 8 月 11 日):公告已发布。
页面生成时间:2015-08-05 12:48Z-07:00。