[English]Kurze Frage an die Administratoren unter den Blog-Lesern, die Updates mit dem WSUS verwalten. Ist bei euch die aktuelle Version des Update KB2565063 (Microsoft Visual C++ 2010 SP1 Redistributable Package) auf dem WSUS bereitgestellt worden? Oder hat Microsoft das schlicht vergessen bzw. rollt keine Sicherheitsupdates mehr aus?
Anzeige
Visual C++ 2010 SP1 Update KB2565063
Bei Update KB2565063 handelt es sich um die aktualisierte Fassung des Microsoft Visual C++ 2010 SP1 Redistributable Package. Dieses wird gebraucht, um Anwendungen, die mit Visual Studio 2010 in Visual C++ erstellt wurden, unter Windows auszuführen. Kürzlich wurde ein Sicherheitsproblem identifiziert. Dieses führt zu einer Sicherheitslücke in MFC-Anwendungen, die mit Visual Studio 2010 erstellt wurden und das Microsoft Visual C++ 2010 Service Pack 1 Redistributable Package enthalten.
Microsoft hat daher zum 12. Mai 2021 das Microsoft Visual C++ 2010 Service Pack 1 Redistributable Package MFC Security Update (Update KB2565063) veröffentlicht. Das Paket lässt sich hier herunterladen.
Und damit wird die Sache etwas undurchsichtig, denn Im Microsoft Update Catalog gibt es nur die Fassung vom 4.4.2012. Das führt zu Problemen.
Anzeige
Rückmeldung eines WSUS-Administrators
Blog-Leser Markus K. hat mich heute per Mail mit folgendem Hinweis auf das Problem aufmerksam gemacht (danke dafür).
Ich leite folgende mail weiter, da uns die Sache wegen Software die wir verwenden müssen aufgefallen ist, aber auch erst, als die Software nicht mehr installiert werden konnte, weil eine entsprechende vclib nicht vorhanden war.
Markus bezieht sich auf einen Diskussion in der patchmanagement.org-Mailing-Liste, wo ein Administrator das Ganze in folgendem Kommentar aufwirft.
Hi all,
maybe someone can enlighten me:
- WSUS Server 2019 has KB2565063 which was released March 2012 which seems a bit old.
- My search finds the MS-page with a pretty new publishing date (5/12/2021).
Looks to me like the package gets updated on the Website but not on WSUS which leaves me with a big question-mark over my head how to get this mess sorted out. How do I stay patched?
Markus K. schrieb mir dazu:
Das entsprechende C++ KB2565063 ist natürlich am WSUS freigegeben, weswegen ich mir da auch gar nichts böses dabei gedacht habe.
Kann es wirklich sein, dass Microsoft das Zeug am WSUS (ich habe ehrlich gestanden nicht gegen WindowsUpdate (MS-Update) gecheckt) vergessen hat, oder habe ich bisher erfolgreich überlesen, dass die Bereitstellung der Patches am WSUS eingestellt wurden?
Ich stelle das jetzt einfach mal in den Raum, da ich keine Antwort weiß. Da das Update im Microsoft Update Catalog ebenfalls eine Uralt-Version ist, nehme ich an, dass Microsoft die Verteilung der Aktualisierung per Windows Update und WSUS schlicht eingestellt hat. Weiß jemand mehr dazu?
Ähnliche Artikel:
Sicherheit: Microsoft Visual C++ Runtime kommt mit alten Wix-Installern und Schwachstellen
Microsoft Security Advisory Notifications and Revisions (Sept. 2019)
Anzeige
In meinem WSUS finde ich auch die Version von 2012. Und auch im Update-Katalog gibt es keine neuere, von daher wundert es mich nicht daß auch im WSUS keine neuere ist:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB2565063
vermutlich nur noch sha2 signiert. die version behinhaltet genau das, was in https://support.microsoft.com/de-de/topic/ms11-025-hinweise-zum-sicherheitsupdate-f%C3%BCr-visual-c-2010-service-pack-1-09-august-2011-09ab9d38-4ce5-6186-a409-1e10818b52b6 beschrieben ist. also ein patch aus dem jahre 2011. warum micrsoft immer so einen unfug macht, weiss keiner.
im catalog ist die gleiche build aus dem jahre 2012 nur halt sha1 signiert.
Neue sha2-Signatur könnte die Lösung sein.
Inhaltlich sehe ich keine Änderungen bisher bis auf die geänderte Dateigröße des Installers.
Korrekt. Ich habe die Dateien gerade mit welchem aus meinem "Archiv" verglichen.
Die "alten"/ursprünglichen haben ein Signaturdatum vom 29.06.2011 und sind ausschließlich SHA1-signiert, die "neuen" haben ein Signaturdatum vom 11.05.2021 und sind ausschließlich SHA256-signiert. Entpackt man die Installer sind sie vollständig identisch.
Viele Grüße
Stimmt.
Rechtsklick und "Digitale Signaturen", zeigt beim alten Installer (zb von TechpowerUp von April 2021) nur sha1 (kein sha2) und Datum 29.Juni 2011.
Beim neuen Installer (MS Catalog oder MS Webseite) zeigt es nur sha2 (kein sha1) und Datum 11.Mai 2021, obwohl im MS-Catalog als Datum der 04.04.2012 drin steht.
Microsoft vergisst also manchmal das Anpassen des Datums im Catalog, wenn neu signiert wurde.
Die MS-Meta-Daten sind also unvollständig.
Hallo, bei der Version die mal via download Link und Webseite bekommt ist das schön mit SHA256 signiert. Kann imho nicht der Grund sein.
Versionen von TechpowerUp, 2021-05:
vcredist2010_x64.exe , Version 10.0.40219.325 , 10.274.136 Bytes
vcredist2010_x86.exe , Version 10.0.40219.325 , 8.990.552 Bytes
beide identisch mit der Version aus dem Microsoft-Catalog vom 04.04.2012
neue Variante von Microsoft:
vcredist_x64.exe , Version 10.0.40219.325 , 10.277.328 Bytes
vcredist_x86.exe , Version 10.0.40219.325 , 8.993.744 Bytes
published 12.Mai 2021
(Link aus dem obigen Artikel)
also selbe Dateiversion, aber unterschiedliche Dateigrößen (ob englisch oder deutsch ist egal bzw identisch).
Die Version 10.0.40219.325 steht auch im KB-Artikel KB2565063
Im Security-Bulletion MS11-025 steht:
Published: April 12, 2011 | Updated: October 9, 2018
(also nicht 5/12/2021, wie es auf der verlinkten Download-Seite steht)
Warum hat das Update denn die uralte Nummer KB2565063 anstatt eine, die mit KB500 beginnt, wie es für Mai 2021 üblich war?
Wurde überhaupt etwas geändert an den eigentlichen Dateien im Vergleich zum 12.April 2011 (erstes Publish-Datum)?
Falls ja, warum ist dann die Dateiversion identisch?
Falls nein, warum ist dann die Dateigröße nicht identisch?
Die (unter anderem) neu installierte Datei mfc100deu.dll hat die Dateiversion 10.0.40219.325 und das Datum 11.6.2011.
Kann da nur beipflichten.
Es ist alles etwas seltsam und vor allem undurchsichtig.
Mich macht halt stutzig, dass es ein Bulletin gibt, aber die Beschaffung des Patches völlig intransparent und unklar ist.
Ich möchte mir jedenfalls keine Gedanken darüber machen müssen, ob ich nun mit dem freigegebenen KB auf der sicheren Seite bin, oder eben vielleicht doch nicht?
Die x64 Datei vom 11.5.2021 (Signaturzeit) hat Version 10.0.40219.325
Die bisher von MS verbreitete Datei vom 25.10.2016 (Signaturzeit) hat Version 10.0.40219.473, ist also eine höhere Version.
Wenn ich die "neue" Datei starte, wird mir deshalb nur "Wiederherstellen des alten Zustands" oder "Deinstallieren" angeboten und nicht die Neuinstallation einer aktuelleren Version.
Irgendwas ist da schief gelaufen bei MS.
"Die bisher von MS verbreitete Datei vom 25.10.2016 (Signaturzeit)"
Wo hast du die her?
Link?
Für Rechner, die nicht im Internet sind, hole ich mir die Updates über wsusoffline (https://www.wsusoffline.net/) und mounte eine ISO (ist allerdings bei Version 1909 Schluss, leider). In den dabei von wsusoffline erstellten ISO-Dateien (je nach Windows-Version) gibt es immer einen Ordner cpp, in dem alle VC Runtimes stecken. Da ist für VC2010 diese Version drin.
Ich weiß nicht, wo ich die direkt finde.
Jetzt fall ich echt vom Glauben ab, du hast recht.
wsusoffline hatte ich selber mehrmals benutzt, eben in dem Ordner nachgeschaut und da steht tatsächlich eine andere Version drin.
vcredist2010_x64.exe , Version 10.0.40219.473 , 10.275.000 Bytes, Dateidatum: 17.10.2018 , Signaturen: sha1^und sha256, jeweils 25.10.2016
vcredist2010_x86.exe , Version 10.0.40219.473 , 8.993.456 Bytes, 17.10.2018, Dateidatum: 17.10.2018 , Signaturen: sha1^und sha256, jeweils 25.10.2016
Hat also Microsoft aktuell eine veraltete Dateiversion 10.0.40219.325 neu signiert und neu veröffentlicht anstatt die neue Dateiversion 10.0.40219.473 ?
Vielen Dank für diesen Hinweis.
Das Projekt geht weiter unter https://gitlab.com/wsusoffline
Vgl. https://forums.wsusoffline.net/viewtopic.php?f=7&t=10194
Dateivergleiche:
TechpowerUp 2021-05:
vcredist2005_x64.exe , Version 6.0.2900.2180 , nur sha1 vom 17.Mai 2011
vcredist2008_x64.exe , Version 9.0.30729.5677 , nur sha1 vom 19.April 2011
-> vcredist2010_x64.exe , Version 10.0.40219.325 , nur sha1 vom 29.Juni 2011
vcredist2012_x64.exe , Version 11.0.61030.0 , sha1 und sha256 jeweils vom 30.Oktober 2013
vcredist2013_x64.exe , Version 12.0.40664.0 , sha1 und sha256 jeweils vom 25.Mai 2017
-> vcredist2015_2017_2019_x64.exe , Version 14.29.30129.1 , nur sha256 vom 04.Mai 2021
wsusoffline (2021-06-08):
vcredist2005_x64.exe , Version 6.0.2900.2180 , nur sha256 vom 11.Mai 2021
vcredist2008_x64.exe , Version 9.0.30729.5677 , nur sha256 vom 11.Mai 2021
-> vcredist2010_x64.exe , Version 10.0.40219.473 , sha1 und sha256 jeweils vom 25.Oktober 2016
vcredist2012_x64.exe , Version 11.0.61030.0 , sha1 und sha256 jeweils vom 30.Oktober 2013
vcredist2013_x64.exe , Version 12.0.40664.0 , sha1 und sha256 jeweils vom 25.Mai 2017
-> vcredist2019_x64.exe , Version 14.24.28127.4 , sha1 und sha256 jeweils vom 28.September 2019
wsusoffline liefert also aktuell auch eine veraltete Version vcredist2019_x64.exe aus (14.24.28127.4 statt 14.29.30129.1).
vcredist2010_x64.exe aus dem Microsoft Catalog und von der Downloadseite hat die veraltete Version 10.0.40219.325 statt 10.0.40219.473). Dafür hat die neu veröffentlichte alte Version aber jetzt eine besser Signatur, höhöhö, da hat Microsoft mal wieder Mist gebaut.
wsusoffline liefert die neuste offizielle Version aus.
Quelle ist in dem Fall die Seite „visualstudio.com". Die neueren Versionen sind Betas/Previews/…, welche unter Umständen später als final deklariert werden. Dann werden sie eingepflegt.
Warum steht diese neue offizielle Version 10.0.40219.473 dann nicht auch im Microsoft Catalog drin?
Microsoft macht da richtig schlampige arbeit und wenn ein Hacker ganz gezielt nach den Unterschieden zwischen den beiden Versionen 10.0.40219.325 und 10.0.40219.473 sucht und dann diese Lücken ausnutzt, dann hat man ein Problem mit v.325.
Noch eine Seltsamkeit bzw BUG:
die neuere Version vcredist2010_x64.exe , Version 10.0.40219.473 (aus wsusoffline) kann ich nicht installieren, weil angeblich "SQL Server VSS Writer" geöffnet ist und dieses die Installation blockiert.
Ich wüsste aber nicht, welches Programm da geöffnet sein sollte.
Die Version 10.0.40219.325 kann ich hingegen sofort und ohne jede Änderung installieren.
Was ist da los?
Die x86-Variante hat diesen Bug nicht.
VSS Writer hat laut Microsoft etwas mit der Volumenschattenkopie zu tun, aber der Dienst ist bei mir nicht gestartet und auf manuell eingestellt.
Könnte an Macrium Reflect liegen, das ist installiert, aber nicht gestartet, aber der Reflect-Dienst ist aktiv.
Selbst wenn ich den Macrium Reflect Dienst beende bleibt der Bug bestehen und die Installation von v10.0.40219.473 wird verweigert.
Wer kennt die Lösung warum sich v10.0.40219.473 nicht bei laufendem "SQL Server VSS Writer" installieren lässt und wie man letzteren eliminieren kann und warum das die v10.0.40219.325 nicht betrifft?
Den Dienst "SQL Server VSS Writer" muss man beenden, dann lässt sich auch v10.0.40219.473 installieren.
Die Dienste Volumenschattenkopie, Microsoft Softwareschattenkopie-Anbieter und Macrium Reflect sind unabhängig vom Problem, also nicht verantwortlich.
Ich habe "Microsoft SQL Server 2012 Express LocalDB" installiert, vermutlich stammt der Dienst "SQL Server VSS Writer" dort her.
Ich habe aber vergessen, für welches Programm ich diesen SQL-Server eigentlich brauchte.
Warum ist der nun inkompatibel bzw blockiert die Installation mit der v.473, aber nicht mit v.325?
hier mal so eine art history mit links:
https://github.com/abbodi1406/vcredist/tree/master/source_links
10.0.40219.473 SP1 funktionieren zwar die download links der support kb dafür ist verschwunden.
10.0.40219.455 SP1
sind eigene hotfix versionen, die man nur anfordern konnte.
und
10.0.40219.325 SP1
ist besagtes security fix
und eigentlich gilt
https://support.microsoft.com/de-de/topic/aktuelle-unterst%C3%BCtzte-downloads-f%C3%BCr-visual-c-2647da03-1eea-4433-9aff-95f26a218cc0
und gemäß https://docs.microsoft.com/en-us/lifecycle/products/visual-studio-2010
ist das sowieso wohl längst end of life.
Kann mir bitte jemand erklären, was dies für "Normal-User" bedeutet?
Sollte man jetzt die "aktualisierten" Versionen der vcredist_x64.exe sowie der vcredist_x86.exe unter dem oben genannten Link (https://www.microsoft.com/en-us/download/details.aspx?id=26999) herunterladen und installieren, oder bringt dies rein gar nichts (oder weiß dies niemand)?
Installiert bei mir ist momentan unter anderem:
Microsoft Visual C++ 2010 x64 Redistributable – 10.0.40219
Microsoft Visual C++ 2010 x86 Redistributable – 10.0.40219
beide installiert am 04.02.2013
Hallo Zusammen im angegebenen Link findet man unter Systemanforderungen kein Windows 10. Demnach ist das für Windows 10 nicht relevant? Kann ich mir nicht wirklich vorstellen. Ist ja im Update Catalog auch oft in den Descriptions so. Wäre aber toll hierzu eine Info zu bekommen. Klar kann es auch einfach herunterladen und Windows wird meckern wenn es für mein Win 10 nicht relevant ist.
P.S.:
Zu den heutigen Patchday habe ich hier noch gar nichts gefunden wohl aber bei deskmodder.