{"id":181151,"date":"2016-09-02T00:10:00","date_gmt":"2016-09-01T22:10:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=181151"},"modified":"2024-05-07T01:15:25","modified_gmt":"2024-05-06T23:15:25","slug":"nachtrag-kollateralschaden-tlssha-1-von-update-kb3172605","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/09\/02\/nachtrag-kollateralschaden-tlssha-1-von-update-kb3172605\/","title":{"rendered":"Nachtrag: Kollateralschaden (TLS\/SHA-1) von Update KB3172605"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Update\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/02\/Update.jpg\" alt=\"Windows Update\" width=\"40\" height=\"40\" align=\"left\" border=\"0\" \/>Microsoft hat im Juli das Update KB3172605 (Juli 2016 update Rollup f\u00fcr Windows 7 SP1 und Windows Server 2008 R2 SP1) herausgebracht. Das Update verursacht noch einen Kollateralschaden, den ich nicht auf dem Radar hatte.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/55608b98143245db905cebf74876a942\" alt=\"\" width=\"1\" height=\"1\" \/>\u00dcber das optionale Update KB3172605 (Juli 2016 update Rollup f\u00fcr Windows 7 SP1 und Windows Server 2008 R2 SP1) hatte ich ja im Artikel <a href=\"https:\/\/borncity.com\/blog\/2016\/07\/22\/windows-7-sp1server-2008-r2-sp1-update-kb3172605\/\">Windows 7 SP1\/Server 2008 R2 SP1 Update KB3172605<\/a> berichtet.<\/p>\n<h2>Das soll das Update fixen<\/h2>\n<p>Gem\u00e4\u00df <a href=\"https:\/\/support.microsoft.com\/de-de\/help\/22801\/windows-7-and-windows-server-2008-r2-update-history\" target=\"_blank\" rel=\"noopener\">Update-History<\/a> soll das Update KB3172605 (Juli 2016 update Rollup f\u00fcr Windows 7 SP1 und Windows Server 2008 R2 SP1) folgendes bringen:<\/p>\n<ul>\n<li>Verbesserter Support der Microsoft Cryptographic Application Programming Interface (CryptoAPI) zur Erkennung von Websites, die den Secure Hash Algorithm 1 (SHA-1) nutzen.<\/li>\n<li>Behobenes Problem in Microsoft Secure Channel (SChannel), das in einigen F\u00e4llen zu fehlgeschlagenen Verbindungen mit Transport Layer Security (TLS) 1.2 gef\u00fchrt hat, je nachdem, ob das Stammzertifikat als Teil der Zertifikatskette f\u00fcr Server-Authentifizierung konfiguriert wurde.<\/li>\n<\/ul>\n<p>Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2016\/07\/22\/windows-7-sp1server-2008-r2-sp1-update-kb3172605\/\">Windows 7 SP1\/Server 2008 R2 SP1 Update KB3172605<\/a> wurden auch die Bluetooth-Probleme thematisiert, die das Update verursachte. Intel Bluetooth-Chips streikten nach Installation des Updates. Und <a href=\"https:\/\/blogs.windows.com\/msedgedev\/2016\/04\/29\/sha1-deprecation-roadmap\/#xKToS2ydR52i8Oej.97\" target=\"_blank\" rel=\"noopener\">hier<\/a> gibt es noch einen Beitrag von Microsoft zum SHA-1-Thema.<\/p>\n<h3>Update KB3172605 ersetzt Update KB3161608<\/h3>\n<p>Generell ist das Update aber nicht ganz unkritisch. Dieses Update ersetzte das Juni Update KB3161608 (siehe <a href=\"https:\/\/borncity.com\/blog\/2016\/06\/22\/update-rollup-kb3161608-fr-windows-7-sp1server-2008-r2\/\">Update Rollup (KB3161608) f\u00fcr Windows 7 SP1\/Server 2008 R2<\/a>). Zum Update KB3161608 hatte ich aber den Artikel <a href=\"https:\/\/borncity.com\/blog\/2016\/08\/09\/rger-mit-kumulativen-ie-11-updates-junijuli-2016-darstellunglogin-etc\/\">\u00c4rger mit kumulativen IE 11-Updates Juni\/Juli 2016 (Darstellung\/Login etc.)<\/a> hier im Blog. Der obige Hinweis, dass im Update KB3172605 sowohl bei SHA-1 als auch bei TLS 1.2 Probleme und Verbesserungen adressiert wurden, l\u00e4sst hoffen und f\u00fcrchten.<\/p>\n<h3>\u00c4rger nach Installation bei Anmeldung und in Intranet-L\u00f6sungen<\/h3>\n<p>Ich habe es nicht weiter thematisiert, da es nur eine Stimme war. In <a href=\"https:\/\/borncity.com\/blog\/2016\/07\/22\/windows-7-sp1server-2008-r2-sp1-update-kb3172605\/#comment-33646\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> berichtet ein Blog-Leser, dass er sich nach der Update-Installation nicht mehr am Benutzerkonto anmelden konnte. Nach Deinstallation per Administratorkonto war wieder alles gut.<\/p>\n<p>Kritischer hat es jedoch Leute im Unternehmensumfeld getroffen. In meinem englischsprachigen Blog habe ich Ende August <a href=\"http:\/\/borncity.com\/win\/2016\/07\/22\/update-rollup-kb3172605-for-windows-7-sp1server-2008-r2-sp1-screws-up-bluetooth\/#comment-543\" target=\"_blank\" rel=\"noopener\">zwei Kommentare<\/a> erhalten, die auf weitere Probleme hinweisen:<\/p>\n<blockquote><p>After distributing our monthly patches with <a href=\"https:\/\/de.wikipedia.org\/wiki\/System_Center_Configuration_Manager\" target=\"_blank\" rel=\"noopener\">SCCM<\/a> some of out servicedesk employees complained that they couldn't reach the telephonecenter portal from their workstations: \"This page can't be displayed\". This portal is build in an Apache Struts setup with Java content (.do extension). After removing KB3172605 (x64) and a reboot the portal could be reached again.<\/p><\/blockquote>\n<p>Bei Cisco gibt es <a href=\"http:\/\/www.cisco.com\/c\/en\/us\/support\/docs\/customer-collaboration\/unified-contact-center-express-1061\/200556-UCCX-10-6-Pages-Does-not-Load-in-IE11-Af.html\" target=\"_blank\" rel=\"noopener\">einen KB-Artikel<\/a>, der sich aber auf KB3161608\/KB3161606 bezieht, aber die gleiche Fehlersymptomatik beschreibt und L\u00f6sungsans\u00e4tze beschreibt. Bin aber nicht sicher, ob die weiter helfen.<\/p>\n<p>Und der zweite <a href=\"http:\/\/borncity.com\/win\/2016\/07\/22\/update-rollup-kb3172605-for-windows-7-sp1server-2008-r2-sp1-screws-up-bluetooth\/#comment-550\" target=\"_blank\" rel=\"noopener\">Nutzer-Kommentar<\/a> klingt \u00e4hnlich, dort konnte nicht mehr auf eine SAP-L\u00f6sung zugegriffen werden.<\/p>\n<blockquote><p>We had the same issue as Marco \u2013 we could not get to our application (SAP BusinessObjects) \"Page Not Found\". After uninstalling KB3172605 \u2013 we could access the application.<\/p><\/blockquote>\n<p>Bei einer Suche im Web bin ich dann auf weitere Treffer gesto\u00dfen, wo Probleme mit dem Patch thematisiert werden. Ich tippe auf die TLS 1.2-Geschichte als Ursache. Bei VMware gibt es den KB-Artikel vSphere Web Client is unavailable after applying windows updates (2146002), der einen Fehler beim Zugriff auf den vSphere Web Client beschreibt:<\/p>\n<blockquote><p>Login to the query service failed.<br \/>\nAn SSL error occurred. (The Request was aborted: Could not create SSL\/TLS secure channel.)<\/p><\/blockquote>\n<p>VMware gibt an, dass die Deinstallation von KB3172605 hilft. Alternativ kann man den Registrierungs-Editor als Administrator starten und zu folgendem Schl\u00fcssel navigieren:<\/p>\n<p>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\<br \/>\nSCHANNEL\\KeyExchangeAlgorithms\\Diffie-Hellman<\/p>\n<p>Dort tr\u00e4gt man den DWORD (32)-Wert <em>ClientMinKeyBitLength<\/em>=00000200 ein, um die Schl\u00fcssell\u00e4nge zu reduzieren.<\/p>\n<p>Ich habe mal die Infos hier zusammen getragen. Vielleicht kann sich jemand einen Reim darauf machen oder zeigen euch die richtige Richtung auf.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2016\/07\/22\/windows-7-sp1server-2008-r2-sp1-update-kb3172605\/\">Windows 7 SP1\/Server 2008 R2 SP1 Update KB3172605<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/06\/22\/update-rollup-kb3161608-fr-windows-7-sp1server-2008-r2\/\">Update Rollup (KB3161608) f\u00fcr Windows 7 SP1\/Server 2008 R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/08\/09\/rger-mit-kumulativen-ie-11-updates-junijuli-2016-darstellunglogin-etc\/\">\u00c4rger mit kumulativen IE 11-Updates Juni\/Juli 2016 (Darstellung\/Login etc.)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft hat im Juli das Update KB3172605 (Juli 2016 update Rollup f\u00fcr Windows 7 SP1 und Windows Server 2008 R2 SP1) herausgebracht. Das Update verursacht noch einen Kollateralschaden, den ich nicht auf dem Radar hatte.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185],"tags":[5180,4294],"class_list":["post-181151","post","type-post","status-publish","format-standard","hentry","category-update","tag-update-kb3172605","tag-windows-7"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/181151","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=181151"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/181151\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=181151"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=181151"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=181151"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}