[English]Am 14. Mai 2024 hat Microsoft auch Updates für .Net 6,7 und 8 freigegeben (hatte ich hier im Blog nicht thematisiert). Wie bei Microsoft üblich, gilt auch hier "Mach's nochmal Sam" – so auf den ersten Schuss kriegen die Leute das irgendwie nicht hin. Nehmen wir die Prosa weg bleibt nur schnöde: Die Experten aus Redmond haben alle Net 6, 7, 8 Updates zurückgezogen. Anschließend wurden die Updates erneut freigegeben. Was war passiert, dass Microsoft so drastisch reagieren musste?
Anzeige
Ich habe gar nicht mitbekommen, dass Microsoft mal wieder einen Schlenker hingelegt und Update .Net 6,7 und 8 zurückgezogen hat. Aber Jean F. hat mir gestern eine E-Mail geschickt, in der er auf den Sachverhalt hinwies und mir den Link auf den Support-Beitrag WiX toolset signed with incorrect certificate mitschickte. Die Veröffentlichung von .NET 7.0.20 am 14. Mai 2024 enthielt Updates für das WiX-Toolset, die falsch signiert waren.
Dies führte zu Fehlern in Szenarien unter Windows, in denen Code-Integritätsprüfungen aktiviert waren. Daher musste Microsoft die Updates zurückrufen und dann erneut freigeben. Weitere Details sind dem Support-Beitrag WiX toolset signed with incorrect certificate zu entnehmen.
Anzeige
Wenn man das Advisory naeher betrachtet sieht es allerdings so aus, als ob die falsch signierten WiX-Tools nichts mit der DoS-Vulnerability zu tun haben; sie haben nur scheinbar keine eigene Ueberschrift fuer Letztere in den Support-Beitrag eingetragen…
Die üblichen Versager halt.
Wer weiß, vielleicht hatte jemand bei Microsoft vergessen, die Telemetrie in den Updates zu aktivieren und das würde nun korrigiert. ;)
So war es! Hab die Updates gleich wieder deinstalliert!
Sicherlich eine Folge dessen, dass die Product Groups für Ihre Produkte keine Art Checklisten zwecks Vorprüfungen vor dem Release nutzen.. das wird mehr und mehr zum Trauerspiel 😟 Und Anwender wie Firmen stehen dann wieder einmal im Regen 😩
Ich kann es wirklich nicht verstehen wie man so oft Updates versauen kann. Ich freue mich schon auf die Exchange SE-Umstellung :)
Laut Screenshot:
"The .NET 7.0.20 release on May 14, 2024 included updates to the WiX toolset
which were incorrectly signed. This caused failures in scenarios on
Windows where Code Integrity checks were enabled."
Da stimmt etwas nicht oder ich habe Tomaten auf den Augen.
Am 14.05.2024 (letzter Patchday) wurden meines Wissens die nachfolgenden Versionen veröffentlicht:
– .NET 6.0.30
– .NET 7.0.19
– .NET 8.0.5
Am 28.05.2024 wurden dann außerplanmäßig die nachfolgenden Sicherheitsupdates veröffentlicht:
– .NET 6.0.31
– .NET 7.0.20
– .NET 8.0.6
Laut WSUS ersetzen diese Updates die Updates vom 14.05.2024.
Aktuelle Versionen von .NET und Download, siehe auch:
https://dotnet.microsoft.com/en-us/download/dotnet