Microsoft Security Bulletin MS15-055 – Wichtig
Sicherheitsanfälligkeit in Schannel könnte die Offenlegung von Informationen zulassen (3061518)
Veröffentlicht: 12. Mai 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows, die die Nutzung der öffentlich offengelegten Logjam-Technik erleichtert, einem branchenweiten Problem, das nicht für Windows-Betriebssysteme spezifisch ist. Die Sicherheitsanfälligkeit könnte die Offenlegung von Informationen ermöglichen, wenn Secure Channel (Schannel) die Verwendung einer schwachen Diffie-Hellman ephemeral (DHE)-Schlüssellänge von 512 Bit in einer verschlüsselten TLS-Sitzung zulässt. Das Zulassen von 512-Bit-DHE-Schlüsseln macht DHE-Schlüsselaustausch schwach und anfällig für verschiedene Angriffe. Ein Server muss 512-Bit-DHE-Schlüssellängen unterstützen, damit ein Angriff erfolgreich ist; Die minimale zulässige DHE-Schlüssellänge in Standardkonfigurationen von Windows-Servern beträgt 1024 Bit.
Dieses Sicherheitsupdate ist für alle unterstützten Versionen von Microsoft Windows als wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die minimale zulässige DHE-Schlüssellänge auf 1024 Bit erhöht wird. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt "Sicherheitsrisikeninformationen ".
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3061518.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Betriebssystem | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Server 2008 | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows 7 | |||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows 8 und Windows 8.1 | |||
| Windows 8 für 32-Bit-Systeme (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031, 3050514 in MS15-052[1] |
| Windows 8 für x64-basierte Systeme (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031, 3050514 in MS15-052[1] |
| Windows 8.1 für 32-Bit-Systeme (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows 8.1 für x64-basierte Systeme (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Server 2012 und Windows Server 2012 R2 | |||
| Windows Server 2012 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031, 3050514 in MS15-052[1] |
| Windows Server 2012 R2 (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows RT und Windows RT 8.1 | |||
| Windows RT[2](3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows RT 8.1[2](3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Server Core-Installationsoption | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
| Windows Server 2012 (Server Core-Installation) (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031, 3050514 in MS15-052[1] |
| Windows Server 2012 R2 (Server Core-Installation) (3061518) | Veröffentlichung von Informationen | Wichtig | 3046049 in MS15-031 |
[1]Beachten Sie, dass update 3050514 in MS15-052 gleichzeitig mit 3061518 in MS15-055 veröffentlicht wird. Kunden, die beide Updates manuell unter Windows 8 oder Windows Server 2012 installieren möchten, sollten 3050514 in MS15-052 installieren, bevor sie 3061518 in MS15-055 installieren (dies wird für Kunden mit aktivierter automatischer Aktualisierung automatisch durchgeführt). Weitere Informationen finden Sie im Abschnitt "Bekannte Probleme" des Microsoft Knowledge Base-Artikels 3061518.
[2]Dieses Update ist nur über Windows Update verfügbar.
Häufig gestellte Fragen zum Aktualisieren
Enthält dieses Update andere sicherheitsrelevante Änderungen an Funktionen?
Ja. Dieses Update standardisiert TLS False Start-Chiffre in Windows 8 und Windows 8.1, indem die Optimierung des False Start während der Chiffre-Aushandlung für die folgenden beiden Verschlüsselungen auf Windows 8-Systemen entfernt wird:
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
Es implementiert außerdem eine Bestimmung zur Aufhebung des Falschstarts während der RC4-Verschlüsselungssuite-Aushandlung.
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung vom Mai.
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | ||
|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Schannel bezüglich Offenlegung von Informationen – CVE-2015-1716 | Bewertung des aggregierten Schweregrads |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2008 | ||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows 7 | ||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows 8 und Windows 8.1 | ||
| Windows 8 für 32-Bit-Systeme (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows 8 für x64-basierte Systeme (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows 8.1 für 32-Bit-Systeme (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows 8.1 für x64-basierte Systeme (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2012 und Windows Server 2012 R2 | ||
| Windows Server 2012 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2012 R2 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows RT und Windows RT 8.1 | ||
| Windows RT (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows RT 8.1 (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Server Core-Installationsoption | ||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2012 (Server Core-Installation) (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
| Windows Server 2012 R2 (Server Core-Installation) (3061518) | Wichtige Offenlegung von Informationen | Wichtig |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Schannel bezüglich Offenlegung von Informationen – CVE-2015-1716
Eine Sicherheitslücke zur Offenlegung von Informationen ist im Secure Channel (Schannel) vorhanden, wenn es die Verwendung einer schwachen Diffie-Hellman ephemeral (DHE)-Schlüssellänge von 512 Bit in einer verschlüsselten TLS-Sitzung zulässt. Das Zulassen von 512-Bit-DHE-Schlüsseln macht DHE-Schlüsselaustausch schwach und anfällig für verschiedene Angriffe.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die minimale zulässige DHE-Schlüssellänge auf 1024 Bit erhöht wird.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:
- Ein Server muss 512-Bit-DHE-Schlüssellängen unterstützen, damit ein Angriff erfolgreich ist; Die minimale zulässige DHE-Schlüssellänge in Standardkonfigurationen von Windows-Servern beträgt 1024 Bit.
Problemumgehungen
Die folgende Problemumgehung kann in Ihrer Situation hilfreich sein:
Deaktivieren von DHE-Verschlüsselungssammlungen
Warnung , wenn Sie den Registrierungs-Editor falsch verwenden, können schwerwiegende Probleme auftreten, die möglicherweise erfordern, dass Sie Ihr Betriebssystem neu installieren müssen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.Öffnen Sie den Registrierungs-Editor.
Einstellungen für den Zugriffstastenaustauschalgorithmus durch Navigieren zum folgenden Registrierungsspeicherort:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Wählen Sie den Diffie-Hellman-Unterschlüssel aus (falls er nicht vorhanden ist, erstellen Sie ihn).
Legen Sie den Registrierungswert "Enabled DWORD" auf 0 fest (wenn er nicht vorhanden ist, erstellen Sie ihn).
Beenden Sie den Registrierungs-Editor.
So können Sie die Problemumgehung rückgängig machen.
Öffnen Sie den Registrierungs-Editor.
Einstellungen für den Zugriffstastenaustauschalgorithmus durch Navigieren zum folgenden Registrierungsspeicherort:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Wählen Sie den Diffie-Hellman-Unterschlüssel aus.
Legen Sie den Registrierungswert "Enabled DWORD" auf 1 fest.
Beenden Sie den Registrierungs-Editor.
Auswirkungen der Problemumgehung: Verschlüsselte TLS-Sitzungen, die auf DHE-Schlüsseln basieren, funktionieren nicht mehr, es sei denn, alternative Failoveroptionen wurden implementiert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (12. Mai 2015): Bulletin veröffentlicht.
Seite generiert 2015-05-27 14:31Z-07:00.