[English]Microsoft hat zum 14. Juli 2020 das Update KB4565524 für Windows Server 2008 R2 freigegeben. Das Update soll unter anderem die kritische SIGRed-Schwachstelle im Windows DNS-Server schließen. Benutzer berichten aber, dass die Update-Installation mit dem Fehlercode 0x80070661 scheitert.
Anzeige
Die SIGRed-Schwachstelle
Im Code des Windows DNS Server existiert seit 17 Jahren ein Bug, der zu einer kritischen Schwachstelle führt. Die per Wurm ausnutzbare Schwachstelle könnte ausgenutzt werden, um Domain-Administrator-Privilegien zu erlangen und die gesamte dahinter liegende Unternehmensinfrastruktur zu gefährden.
Betroffen sind Windows Server 2003 bis hin zum aktuellen Windows Server 2019. Ich hatte im Beitrag Kritisches Update für SigRed Bug im Windows DNS Server ausgiebig über die SIGRed-Schwachstelle berichtet. Das CISA warnt US-Admins, die Schwachstelle schnell zu patchen (CISA warnt Admins: SIGRed Windows DNS Server patchen). Microsoft hat Updates zum Schließen der Schwachstelle freigegeben.
Update KB4565524 für Windows Server 2008 R2
Das Update KB4565524 steht auch für Windows Server 2008 R2 zur Verfügung. Es wird dort zwar nicht explizit erwähnt, aber neben diversen Fixes schließt dieses Update die SIGRed-Schwachstelle.
Update KB4565524 nicht installierbar
In diesem Kommentar weist Brian Hampson darauf hin, dass das Update KB4565524 sich unter Windows Server 2008 nicht installieren lasse.
Anzeige
he July patch for 2008R2 won't apply. It reverts after install. 0x80070661 – wrong architecture.
Hampson weist auf diesen Thread bei reddit.com hin, wo das Problem auch erläutert wird. Ein Betroffener schreibt:
Anyone having issue installing the patch for the new CVE? windows 2008R2
So i installed the SSU for 2008R2 KB4562030
Rebooted even though it wasn't required
Then installed the KB4565524
Rebooted as asked and now it goes to Failure Windows update reverting update.
This happened on 3 different Windows 2008R2 machines
and strangely nothing in the WU logs or event viewer
Anyone got that issue?
Er bekommt das Update also nicht unter Windows Server 2008 R2 installiert. Das Update dürfte den Fehlercode 0x80070661 – wrong architecture angezeigt bekommen.
Die Ursache: Fehlende ESU-Lizenz
Ich habe in diesem Kommentar die Ursache für die krude Fehlermeldung benannt. System mit Windows Server 2008 R2 , die keine ESU-Lizenz besitzen, sind von der Update-Installation ausgeschlossen. Ohne eine ESU-Lizenz schlagen alle Update-Installationen fehl und ein Rollback wird eingeleitet. Das Problem, soweit ich es herausgefunden habe: Es war für Kunden ohne Volumenlizenz-Abonnements oder E3-Pläne nahezu unmöglich, eine ESU-Lizenz zu erhalten – ich kenne bisher keine Lösung.
Die (inoffizielle) BypassESU-Lösung, die von einigen Windows 7-Anwendern verwendet wird, ist keine Option für Windows Server 2008 R2-Systeme (imho, wegen vieler Kollateralschäden). Mein Tipp wäre, einen Blick auf folgenden Blog-Beitrag zu werfen (Windows Server 2008 R2: 0patch fixt SIGRed-Schwachstelle. Dort wird eine Lösung von Acros Security beschrieben, die für kleines Geld die Systeme auch ohne ESU-Lizenz vor Schwachstellen schützt.
Ähnliche Artikel:
Kritisches Update für SigRed Bug im Windows DNS Server
CISA warnt Admins: SIGRed Windows DNS Server patchen
Windows Server 2008 R2: 0patch fixt SIGRed-Schwachstelle
Anzeige
Hallo Herr Born,
es reicht doch der viel beschriebene Registry-Fix, damit man einen 2008R2 Server ohne ESU Lizenz bzgl. des DNS-Bugs sicher bekommt, oder? Ich verstehe daher das Problem des Users nicht, warum man versucht -ohne ESU-Lizenz- den monthly rollup einzuspielen.
Noch eine Frage: Sie schreiben bzgl. der Bypass-ESU, dass man diese nicht auf den Server wg. vieler Kollateralschäden einspielen sollte. Wie sicher ist denn die ganze 0patch Geschichte? Wenn am System lauter Micropatches (ohne Absegnung von MS) eingespielt werden, wie stabil ist denn dann das System, noch dazu wenn Active Directory und andere Server-Komponenten zum Einsatz kommen? Dann hat man vielleicht andere Bugs (u.a. im AD) und weiss nicht, wie das passiert ist.
"es reicht doch der viel beschriebene Registry-Fix, damit man einen 2008R2 Server ohne ESU Lizenz bzgl. des DNS-Bugs sicher bekommt, oder?"
Das würde mich auch interessieren, da bin ich nicht ganz schlau draus geworden.
Ohne ESU Lizenz scheitert KB4565524.
Aber KB4565539 nicht !
Siehe CVE-2020-1350
KB4565524 Monthly Rollup
KB4565539 Security Only
Getestet mit Windows 7 x64 & Server 2008 R2
Habe noch keinen Artikel im Netz gefunden, der sagt, dass KB4565539 ohne ESU funktionieren würde. Überall wird bei KB4565539 auf ESU verwiesen.
…oder hattest Du einfach nur Glück ;-) ?
Hab' ich mir's doch gedacht -> GEHT NICHT OHNE ESU!!
Habe KB4565539 bei mir in einer meiner Domain-Controller-Test-Umgebungen installiert (musste erst das neueste SSU reinpacken, damit der PC überhaupt wollte) und nach dem Reboot macht das System die Installation RÜCKGÄNGIG, wenn kein ESU vorhanden ist.
Könnt Euch also die Arbeit sparen, ich hab's getestet!!
Die Behauptung, dass KB4565539 ohne ESU geht, ist schlichtweg falsch!
So, ich geh dann mal meine VM rücksichern ;-) …
Was mich auch noch interessieren würde: sind 2008 R2 Server, die seit Januar 2020 keine Updates mehr bekommen haben, also nicht im ESU Programm sind, mit dem Registry Fix "TcpReceivePacketSize" sicher? …oder setzt dieser Registry Eintrag ein Minimum Patch Level (nach Jan 2020) voraus?
Habe leider keinen Test gefunden, mit dem man die Lücke (sicher) testen kann.
Was viele hier vergessen/übersehen, wenn sie vom "Registry-Fix" reden: Das ist kein Fix, sondern ein Workaround, der einfach die zulässige Paketgröße für Antworten begrenzt. Hat dann laut Microsoft die folgende Auswirkung:
"Nach der Implementierung dieser Problemumgehung kann ein Windows-DNS-Server für seine Clients keine DNS-Namen mehr auflösen, wenn die DNS-Antwort vom Upstreamserver größer als 65.280 Byte ist."
Also ja, auch ohne ESU und das Update sind DNS-Server unter 2008 R2 mit dem Registry Eintrag abgesichert, können allerdings manche Anfragen nicht mehr verarbeiten bzw. liefern einfach kein Ergebnis zurück.
MS sagt doch selbst, dass deren Produkte damit klarkommen und für DNS-Anfragen nach draussen ins Netz braucht man diese Server ja nicht, da sicherlich andere Server inzwischen auch in den Firmen-Netzen sein dürften (2012R2/2016/2019) für die es ja Patches gibt; die können dann die Clients bedienen.
Was ich bei MS unverständlich finde ist, dass viele Unternehmen gerne bereit wären, das ESU Programm zu nutzen und dafür gerne viel bezahlen würden, aber die Latte für das Server ESU sehr hoch gelegt wurde, sodass viele Unternehmen dies nicht beziehen können.
AUSSERDEM, wenn so ein grasser Bug mit Wurm-Potential besteht, dann könnte ja man mal auch von sich aus so einen Patch gratis rausgeben. SO würde Kunden-Zufriedenheit gehen! Und MS würde sich dabei nix abbrechen, sondern helfen, eine grosse Gefahr für das Netz abzuwenden.
Noch etwas zum Thema 0patch. Ich habe von diesem Unternehmen leider nicht viel gehört, bzw. sehe ich da keine Kunden-Referenz-Liste im Netz, wo wenigstens 1 grosses bekanntes Unternehmen bei denen Kunde ist.
Vielleicht weiss ja Hr. Born diesbzgl. besser Bescheid? Denn ich habe von 0patch zum ersten Mal hier in diesem Blog gelesen, vorher kannte ich die gar nicht.