Comment patcher CVE-014-3566 sur un système Windows Server 2012 exécutant IIS ?
Existe-t-il un correctif dans Windows Update, ou dois-je le faire ? une modification du registre pour désactiver SSL 3.0 ?
Réponses
Trop de publicités?
Il n'y a pas de "patch". Il s'agit d'une vulnérabilité dans le protocole, et non d'un bogue dans la mise en œuvre.
Dans Windows Server 2003 à 2012 R2, les protocoles SSL / TLS sont contrôlés par des drapeaux dans le registre définis à l'adresse HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols .
Pour désactiver SSLv3, qui est concerné par la vulnérabilité POODLE, créez une sous-clé à l'emplacement ci-dessus (si elle n'est pas déjà présente) nommée SSL 3.0 et, sous celle-ci, une sous-clé nommée Server (s'il n'est pas déjà présent). À cet endroit ( HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server ) crée une valeur DWORD nommée Enabled et le laisser à 0 .
La désactivation de SSL 2.0, que vous devriez également effectuer, se fait de la même manière, sauf que vous utiliserez une clé nommée SSL 2.0 dans le chemin d'accès au registre ci-dessus.
Je n'ai pas testé toutes les versions, mais je pense que l'on peut supposer qu'un redémarrage est nécessaire pour que ce changement prenne effet.
Eric Lathrop
Points
673
Pour faciliter l'installation, j'ai dérivé ce fichier "disable ssl 2 and 3.reg" de Réponse d'Evan ci-dessus :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000
Vasili Syrakis
Points
4395
DrundoSoft
Points
99
Kazi
Points
81
Voici un PowerShell qui testera la présence des clés de registre, les créera si nécessaire, puis entrera les valeurs nécessaires pour désactiver SSL 2.0 et SSL 3.0.
$regPath1 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0'
$regPath2 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server'
$regPath3 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0'
$regPath4 = 'HKLM:SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 3.0\Server'
If(!(Test-Path -Path $regPath1))
{
New-Item -Path $regPath1 -Force
}
If(!(Test-Path $regPath2))
{
New-Item -Path $regPath2 -Force
}
New-ItemProperty -Path $regPath2 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
New-ItemProperty -Path $regPath2 -Name Enabled -PropertyType DWORD -Value "0" -Force
If(!(Test-Path $regPath3))
{
New-Item -Path $regPath3 -Force
}
If(!(Test-Path $regPath4))
{
New-Item -Path $regPath4 -Force
}
New-ItemProperty -Path $regPath4 -Name DisabledByDefault -PropertyType DWORD -Value "1" -Force
New-ItemProperty -Path $regPath4 -Name Enabled -PropertyType DWORD -Value "0" -ForceIl peut être déployé à l'aide de SCCM ou de la ligne de commande - veillez à exécuter la tâche SCCM ou la ligne de commande en tant qu'administrateur. Certains sites web contenant des informations sur le registre indiquent qu'un redémarrage est nécessaire après la création et/ou la modification des clés de registre.
- Réponses précédentes
- Plus de réponses
