Microsoft hat im Umfeld des September-Patchdays noch zwei Dokumente mit Sicherheitsempfehlungen herausgegeben. Es handelt sich um die Empfehlungen 3181759 (Sicherheitsanfälligkeiten in ASP.NET Core View Components) und 3174644 (Unterstützung für den Diffie-Hellman-Schlüsselaustausch).
Anzeige
Sicherheitsempfehlung 3174644: Diffie-Hellman-Schlüsselaustausch
Die Aktualisierung der Sicherheitsempfehlung 3174644 ist für Administratoren relevant, die eine TLS-Kommunikation für TLS-Server anpassen wollen. Aktuell ist die Größe eines Diffie-Hellman-Schlüssels (DH-Modulus) (in der Implementierung des DHE-Schlüsselaustausches) auf den Standardwert 1024 eingestellt.
Alle Versionen von Windows 10 unterstützen die neuen DH-Moduluseinstellungen und verwenden 2048 als Standardeinstellung für den DH-Modulus. Durch die aktualisierte Unterstützung können Administratoren einen Modulus der Größe 2048, 3072 oder 4096 konfigurieren. Dadurch lässt sich die Sicherheit der verwalteten TLS-Server erhöhen.
Die aktualisierte Sicherheitsempfehlung beschreibt den Registrierungseintrag auf einem TLS-Server:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman
dessen DWORD-Wert ServerMinKeyBitLength auf 0x00000800 einzustellen ist. Damit wird die Schlüssellänge auf 2048 Bit vereinbart. Weitere Erläuterungen sind in diesem Microsoft-Dokument zu finden.
Sicherheitsempfehlung 3181759: ASP.NET Core View Component
Die Aktualisierung der Sicherheitsempfehlung 3181759 ist für Entwickler im ASP.NET-Umfeld relevant. Es gibt Sicherheitsanfälligkeiten in den öffentlichen Versionen von ASP.NET Core View Components (ASP.NET Code MVC 1.0.0), die Rechteerweiterungen ermöglichen können. Ich hatte dieses Thema zeitnah im Blog im Artikel Sicherheitslücke in ASP.NET behandelt. Weitere Informationen finden sich in diesem Microsoft-Dokument. (via)
2015
