Microsoft đã thừa nhận một vấn đề mới ảnh hưởng đến một số Windows các phiên bản có thể dẫn đến các kết nối Bảo mật lớp vận chuyển (TLS) và Lớp cổng bảo mật (SSL) liên tục bị lỗi hoặc bị hết thời gian.
Lỗi này là do thực thi liên quan đến bảo mật cho CVE-2019-1318 Lỗ hổng giả mạo TLS, dẫn đến Windows các thiết bị gặp sự cố và hết thời gian trong quá trình đàm phán bộ mật mã TLS_DHE_ *.
Điều này chỉ xảy ra khi các thiết bị đang cố gắng thực hiện kết nối TLS với các thiết bị mà không hỗ trợ tiện ích mở rộng Secret Master Secret (EMS).
"Kết nối giữa hai thiết bị chạy bất kỳ phiên bản được hỗ trợ nào của Windows Microsoft không nên có vấn đề này khi được cập nhật đầy đủ ", Microsoft cho biết thêm.
Bài viết hỗ trợ nói rằng nó áp dụng cho những điều sau đây Windows phiên bản:
• Windows 10 Phiên bản 1607
• Windows Máy chủ 2016
• Windows 10
• Windows 8.1
• Windows Máy chủ 2012 R2
• Windows Máy chủ 2012
• Windows 7 Gói dịch vụ 1
• Windows Gói dịch vụ Server 2008 R2 1
• Windows Gói dịch vụ máy chủ 2008 2
Xuất xứ Windows cập nhật
Một số cập nhật tích lũy và chỉ bảo mật, cũng như các bản cập nhật hàng tháng được phát hành như một phần của Bản vá tháng 10 năm 2019 của Microsoft, được biết là gây ra sự cố này trên nhiều nền tảng.
Đây là danh sách tất cả các bản cập nhật đã biết sẽ kích hoạt điều này một khi được cài đặt:
• KB4519998 – LCU cho Windows Máy chủ, phiên bản 1607 và Windows Máy chủ 2016.
• KB4520005 – Rollup hàng tháng cho Windows 8.1 và Windows Máy chủ 2012 R2.
• KB4520007 – Rollup hàng tháng cho Windows Máy chủ 2012.
• KB4519976 – Rollup hàng tháng cho Windows 7 SP1 và Windows Máy chủ 2008 R2 SP1.
• KB4520002 – Rollup hàng tháng cho Windows Máy chủ 2008 SP2
• KB4519990 – Cập nhật chỉ bảo mật cho Windows 8.1 và Windows Máy chủ 2012 R2.
• KB4519985 – Cập nhật chỉ bảo mật cho Windows Máy chủ 2012 và Windows Nhúng 8 Tiêu chuẩn.
• KB4520003 – Cập nhật chỉ bảo mật cho Windows 7 SP1 và Windows Máy chủ 2008 R2 SP1
• KB4520009 – Cập nhật chỉ bảo mật cho Windows Máy chủ 2008 SP2
Cách giải quyết có sẵn
Microsoft cung cấp hai giải pháp sau đây để giảm thiểu thời gian chờ TLS không liên tục và một số lỗi mà một số người gặp phải Windows người dùng:
1. Cho phép hỗ trợ cho tiện ích mở rộng Mở rộng bí mật (EMS) khi thực hiện kết nối TLS trên cả máy khách và hệ điều hành máy chủ.
– EMS theo quy định trong RFC 7627, Đã được thêm vào các phiên bản được hỗ trợ của Windows trong năm dương lịch 2015. Mọi cập nhật được phát hành vào hoặc sau tháng 10 8, 2019, sẽ được bật EMS theo mặc định cho CVE-2019-1318.
2. Đối với các hệ điều hành không hỗ trợ EMS, hãy xóa bộ mật mã TLS_DHE_ * khỏi danh sách bộ mật mã trong HĐH của thiết bị khách TLS
– Để được hướng dẫn về cách làm điều này trên Windows, xem Ưu tiên Schannel Suites.
Mặc dù điều này sẽ cho phép bạn thoát khỏi mọi cơn đau đầu TLS do lỗi này gây ra, Microsoft nói rằng không nên tắt EMS vì tiện ích mở rộng TLS này được giới thiệu ngăn chặn các cuộc tấn công trung gian.
Windows Người dùng đã vô hiệu hóa EMS trước đây có thể kích hoạt lại nó bằng cách đặt các giá trị khóa đăng ký sau trên máy chủ và máy khách:
HKLMSystemCurrentControlSetControlSecurityProvidersSchannel On TLS Server: DisableServerExtendedMasterSecret: 0 On TLS Client: DisableClientExtendedMasterSecret: 0
