{"id":180230,"date":"2016-08-09T01:04:00","date_gmt":"2016-08-08T23:04:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=180230"},"modified":"2024-02-11T18:31:08","modified_gmt":"2024-02-11T17:31:08","slug":"rger-mit-kumulativen-ie-11-updates-junijuli-2016-darstellunglogin-etc","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/08\/09\/rger-mit-kumulativen-ie-11-updates-junijuli-2016-darstellunglogin-etc\/","title":{"rendered":"Ärger mit kumulativen IE 11-Updates Juni\/Juli 2016 (Darstellung\/Login etc.)"},"content":{"rendered":"

Im Juni und Juli 2016 gab es kumulative Updates f\u00fcr den Internet Explorer 11. Bei Blog-Leser Axel H. gab es danach Probleme in einer Intranet-Umgebung (Sharepoint), in der pl\u00f6tzliche Webseiten nicht mehr korrekt dargestellt wurden. Aber es gab wohl weltweit weitere Probleme und Administratoren haben mit den Updates zu k\u00e4mpfen.<\/p>\n

<\/p>\n

\"\"So werden Probleme mit der Anmeldung an bestimmter SAP-Software berichtet, wo die Anmeldungen der Benutzer pl\u00f6tzlich verweigert wird. Oder die TLS-Kommunikation liefert Fehler. Blog-Leser Axel H. hat mir die Infos st\u00fcckweise, nach Erkenntnislage, zukommen lassen, so dass ich diese einfach mal hier einstelle. Vielleicht gibt es von der Leserschaft noch Hinweise, wie man die Probleme umgehen kann \u2013 oder Dritte profitieren von den Hinweisen.<\/p>\n

Erste Mail mit Hinweisen auf die IE 11 Probleme<\/h3>\n

Die Mail erreichte mich bereits am 3. August 2016 \u2013 da war aber Windows 10 Anniversary Update angesagt, so dass ich die Info \"auf Halde\" gelegt und Axel H. entsprechend informiert habe. Hier seine Infos:<\/p>\n

Hallo Hr. Born,<\/p>\n

uns ist aufgefallen, wenn wir diese Patche [kumulative IE 11-Updates Juni\/Juli 2016, siehe folgender Absatz] installieren, dass wir manche Seiten im Intranet (\u00fcber Internetseiten haben wir noch keine Infos) nicht mehr \u00f6ffnen k\u00f6nnen und auf unserem SharePoint manche Seiten etwas verschoben angezeigt werden.<\/p>\n

MS16-063(Juni) und\/oder MS16-084 auf unseren W7 Clients\u00a0 bzw. die Kumulativen Windows 10 Patche vom Juni und\/oder Juli, die die jeweiligen Patche auch enthalten<\/p>\n

Die IE Version ist anschlie\u00dfend entweder 11.0.32 (Juni) oder 11.0.33 (Juli). Mit der Version 11.0.31 gab es weder auf W7, noch auf W10 diese Probleme. Bei Deinstallation des Patches unter W7, funktioniert der Zugriff zu den Seiten wieder und auch die SharePoint Seiten sehen wieder lesbar aus.<\/p>\n

Die einzigen Meldungen \u00fcber Probleme oder interessante Hinweise auf die Patche habe ich bislang hier gefunden:<\/p>\n

Windows update KB3170106 messes up sharepoint (Link gebrochen)
\nAn update to our SHA-1 deprecation roadmap<\/a><\/p>\n

Der erste Link ist nur ein \u00e4rgerlicher Kommentar (so \u00e4hnlich haben wir auch geschimpft :-)), der zweite Link ist schon etwas interessanter, wobei ich dies derzeit noch nicht ganz verstehe… (aber vielleicht k\u00f6nnen sie damit mehr anfangen :-)…<\/p><\/blockquote>\n

Da das Problem wohl recht virulent war (mir war noch nichts unter die Augen gekommen), hat Axel weiter gebohrt und mir am 4. August 2016 noch weitere Links zu Fundstellen per Mail zukommen lassen.<\/p>\n

wir haben inzwischen doch weitere Kommentare und \u00e4hnliche Hinweise gefunden. Zum Teil sogar mit Workarounds (im SAP Umfeld):<\/p>\n

update KB3170106 which changed the way ASP objects are handled<\/a>
\nwindows 10 update 15 Jun 2016<\/a>
\nCould not establish secure channel for SSL\/TLS with authority<\/a>
\nJune 2016 Update KB3163018 – TLS 1.0 support removed\/blocked?<\/p><\/blockquote>\n

In den Beitr\u00e4gen wird best\u00e4tigt, dass das diverse IE 11 Updates wie KB31616086 und KB3161608) vom 15. Juni 2016 wohl einige Seiteneffekte verursacht, weil Server-Zertifikate ausgetauscht wurden. In anderen werden SSL-Fehler bem\u00e4ngelt. Nach Deinstallation der Updates sind die Probleme weg.<\/p>\n

SAP-Anmeldeprobleme<\/h3>\n

Axel hatte mir noch einen Link auf den Beitrag Server's Security Certificate Windows 7<\/a> mit Hinweisen auf ein SAP-Problem zukommen lassen. Dort konnten sich Nutzer nicht mehr an SAP-Software auf dem Server anmelden. Im von ihm angeh\u00e4ngten SAP-Dokument gab es die Best\u00e4tigung, dass es Probleme mit Zertifikaten g\u00e4be. Leider liegt das PDF-Dokument nur als Grafik vor \u2013 hier mein Screenshot:<\/p>\n

\"SAP<\/a><\/p>\n

Der Inhalt wird in diesem Beitrag SAP B1 – There is a problem with the server's security certificate – Windows 10<\/a> thematisiert. Dort gibt es erneut den Vorschlag, die Sicherheits-Updates KB3163017\/KB3163018 zu deinstallieren. SAP empfiehlt dagegen den Umstieg auf neuere Versionen der SAP Business One Clients.<\/p>\n

Erste L\u00f6sungsans\u00e4tze<\/h3>\n

Da es sich um Sicherheits-Updates f\u00fcr den IE 11 handelt und deren Deinstallation sowie ein Browserwechsel im Intranet eher ausscheiden, hat sich Axel weiter auf die Suche gemacht. Letzten Freitag kam dann folgende Information von ihm.<\/p>\n

Hallo,<\/p>\n

so wie es derzeit aussieht, konnten wir unsere SharePoint Probleme auf eine Einstellung in der Sitelist des Enterprise Mode (Unternehmensmodus) zur\u00fcckf\u00fchren.<\/p>\n

Eine Unterseite war \u00fcber diese Sitelist vom Enterprise Mode ausgeschlossen und funktionierte anstandslos, bevor die Kumulativen IE Patche vom Juni\/Juli auf W7\/W10 installiert wurden. Anschlie\u00dfend jedoch war diese Unterseite nach links verschoben (man sah nur noch die H\u00e4lfte). Nimmt man nun die Sitelist heraus und setzt f\u00fcr die Unterseite den Enterprise Mode manuell, so sieht alles so aus, wie ohne die Patche.<\/p>\n

Wenn am Montag diese Sitelist angepasst worden ist, werden wir sehen ob es funktioniert.<\/p>\n

Heftigere Probleme haben wir dagegen weiterhin mit Anwendungsseiten, insbesondere mit dem HP Service Manager, dieser funktioniert derzeit weiterhin nicht mehr unter W10 nach dem letzten kumulativen W10 Patch. (unter W7 funktioniert die Seite\/Anwendung dagegen). Wir vermuten es ist ein TLS 1.0+SHA-1 handshake Fehler, der aber nur unter W10 mit dem IE zu Problemen f\u00fchrt, mit Chrome gibt es auch unter W10 keine Probleme.<\/p>\n

Vorl\u00e4ufiges Fazit:<\/p>\n

Ja, die Kumulativen IE Patche haben Auswirkungen auf das Design von Seiten, wenn man mit dem Enterprise Mode \u201eherumspielt\" und ver\u00e4ndern das Verhalten des\u00a0 selbigen nach dem Update.<\/p>\n

Ob diese IE Patche auch f\u00fcr die Probleme unter W10 alleine verantwortlich sind, oder ob noch ein anderer W10 Patch verantwortlich ist, ist nicht ganz einfach zu ermitteln, da man die Patche leider nicht mehr einzeln installieren kann. Die Wahrscheinlichkeit aber, dass es sich um ein Zertifikatsproblem handelt ist allerdings sehr hoch\u2026<\/p><\/blockquote>\n

Und gestern kam dann noch eine erg\u00e4nzende Information per Mail mit weiteren Pr\u00e4zisierungen.<\/p>\n

so wie es aussieht, haben meine Kollegen in Portugal das Problem gefunden.<\/p>\n

Mit dem neuen Patch wurden zwei \u201eCipher-Suite\"-Eintr\u00e4ge hinzugef\u00fcgt (s. KB3161639<\/a>), diese scheinen die Reihenfolge bei der Verwendung der Zertifikate zu st\u00f6ren (oder was auch immer).<\/p>\n

L\u00f6scht man die Eintr\u00e4ge<\/p>\n

TLS_DHE_RSA_WITH_AES_256_CBC_SHA
\nTLS_DHE_RSA_WITH_AES_128_CBC_SHA<\/p>\n

hier<\/p>\n

HKLM\\SYSTEM\\CurrentControlSet\\Control\\Cryptography\\
\nConfiguration\\Local\\SSL\\00010002<\/p>\n

hat man mit dem Zugriff von Windows 10 auf alte Web-Server nicht mehr die Probleme, sie werden wieder angezeigt.<\/p>\n

Vielleicht reicht es auch die neuen Eintr\u00e4ge an das Ende der Liste zu h\u00e4ngen und nicht in die Mitte\u2026<\/p>\n

W\u00e4re nat\u00fcrlich einfacher, die Web-Server h\u00e4tten diese ebenfalls eingebunden\u2026<\/p>\n

Wir vermuten weiterhin, dass wir das Problem auch auf Windows 7 Clients bekommen w\u00fcrden, wenn wir das Juni Roll-Up KB3161608 installieren w\u00fcrden\u2026 was wir aber bislang geblockt haben\u2026<\/p><\/blockquote>\n

So weit die Beschreibung der Problematik. Mein Dank an Axel f\u00fcr das bereitgestellte Material (sowie an Mark Heitbrink, der im Hintergrund wohl auch mit herum werkelte). Nun die Frage in die Runde: Kann sich da jemand einen Reim drauf machen? Gibt es weitere Betroffene? Gibt es ggf. eine bessere L\u00f6sung?<\/p>\n

Nachtr\u00e4ge vom 10. August 2016<\/h3>\n

In einer weiteren Mail hat mich Blog-Leser Axel \u00fcber die weiteren Erkenntnisse informiert. Ich gebe diese einfach mal weiter:<\/p>\n

wir haben inzwischen weitere Informationen zu den Roll-Up-Patchen.<\/p>\n

Die Liste der \u201eCipher-Suites\" wird auch unter W7 durch den Patch mit weiteren Eintr\u00e4gen neu erstellt. Letztes Jahr hat MS die Priorisierung der Verschl\u00fcsselungssamlungen ge\u00e4ndert (s. https:\/\/technet.microsoft.com\/library\/security\/3042058.aspx<\/a>). D. h., \u00e4ndert man die Reihenfolge der Eintr\u00e4ge, so \u00e4ndert man auch deren Priorit\u00e4t:<\/p>\n

Unter W10 half es den Eintrag<\/p>\n

TLS_RSA_WITH_AES_128_CBC_SHA<\/p>\n

vor den beiden neuen Eintr\u00e4gen<\/p>\n

TLS_DHE_RSA_WITH_AES_256_CBC_SHA
\nTLS_DHE_RSA_WITH_AES_128_CBC_SHA<\/p>\n

einzuf\u00fcgen, damit wir unseren HP ServiceManager wieder nutzen konnten.<\/p>\n

Die Liste der \u201eCipher Suites\" auf der Microsoft Seite <\/a>\u00a0sieht bei uns etwas anders aus und wir f\u00fcrchten, dass sie durch diverse Patche auch Neusortierungen oder weitere Erg\u00e4nzungen erfahren k\u00f6nnte, daher suchten wir nach einer Alternative.<\/p>\n

Inzwischen wissen wir auch mehr \u00fcber die \u201eDHE\" (Diffie-Hellman Ephemeral) Eintr\u00e4ge. Microsoft erh\u00f6hte die L\u00e4nge der Schl\u00fcssel von 512 auf 1024 Bit https:\/\/support.microsoft.com\/en-us\/kb\/3061518<\/a> und damit kamen die Probleme, da \u00e4ltere Web-Serverinstallationen diese nicht verarbeiten k\u00f6nnen (solange sie nicht auch diese Einstellungen\/Keys benutzen)\u2026<\/p>\n

In dem obigen Artikel beschreiben sie einen Registrykey \u201eClientMinKeyBitLength\", den man wieder auf den Wert 512 zur\u00fccksetzen kann. (ggfs. ist anschlie\u00dfend ein Reboot n\u00f6tig!)<\/p>\n

HKEY_LOCAL_MACHINE\\SYSTEM\\
\nCurrentControlSet\\Control\\SecurityProviders\\
\nSCHANNEL\\KeyExchangeAlgorithms\\
\nDiffie-Hellman
\nClientMinKeyBitLength DWORD 00000200<\/p>\n

Allerdings setzt man dann nat\u00fcrlich wieder die Security herab\u2026 (getestet unter W10 LTSB, Tests unter W7 folgen noch)<\/p>\n

Ein paar Links zum Thema:
\nhttps:\/\/msdn.microsoft.com\/en-us\/library\/windows\/desktop\/aa374757(v=vs.85).aspx<\/a>
\nhttps:\/\/msdn.microsoft.com\/library\/windows\/desktop\/mt767769.aspx<\/a><\/p>\n

https:\/\/www.kuketz-blog.de\/nsa-abhoersichere-ssl-verschluesselung-fuer-apache-und-nginx\/<\/a><\/p>\n

Hinweise zu den Rollups: https:\/\/blogs.technet.microsoft.com\/windowsitpro\/2016\/05\/17\/simplifying-updates-for-windows-7-and-8-1\/<\/a><\/p><\/blockquote>\n

Soweit der neueste Stand. Falls ihr eigene Erkenntnisse habt, k\u00f6nnt ihr diese ja hier in den Kommentaren nachtragen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Im Juni und Juli 2016 gab es kumulative Updates f\u00fcr den Internet Explorer 11. Bei Blog-Leser Axel H. gab es danach Probleme in einer Intranet-Umgebung (Sharepoint), in der pl\u00f6tzliche Webseiten nicht mehr korrekt dargestellt wurden. Aber es gab wohl weltweit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,185],"tags":[2732,5222,5223,154,4315],"class_list":["post-180230","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-update","tag-internet-explorer-11","tag-kb31616086-kb3161608-kb3163017","tag-kb3163018","tag-probleme","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/180230","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=180230"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/180230\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=180230"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=180230"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=180230"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}