{"id":192237,"date":"2017-07-12T19:51:32","date_gmt":"2017-07-12T17:51:32","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=192237"},"modified":"2024-02-11T19:06:56","modified_gmt":"2024-02-11T18:06:56","slug":"installationsprobleme-mit-updates-kb4025252-und-kb4025336","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/07\/12\/installationsprobleme-mit-updates-kb4025252-und-kb4025336\/","title":{"rendered":"Probleme mit Updates KB4025252 und KB4025336 (Juni 2017)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\" align=\"left\" \/>Am 11. Juli 2017 hat Microsoft ja ein kumulatives Update f\u00fcr den Internet Explorer freigegeben, welches einige Probleme, u.a. die berichteten Abst\u00fcrze des IE 11 beheben soll. Aber das Update KB4025252 bringt ein neues Problem: Es wird immer wieder zur Installation angeboten. Und das Rollup Update KB4025336 f\u00fcr Windows 8.1 f\u00fchrt dazu, dass sich die Clients nicht mehr mit WSUS verbinden k\u00f6nnen. Hier ein wenig seziert, wie sich die Probleme mit den IE 11-Patches hinziehen und wo es sonst noch \u00c4rger gibt. <strong>Erg\u00e4nzung:<\/strong> Von Update\u00a0KB4025252 gibt es eine Revision f\u00fcr WSUS\/SCCM, so dass die Installation jetzt klappt &#8211; Details inside.<\/p>\n<p><!--more--><\/p>\n<h2>Patch-Desaster beim Internet Explorer 11<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/816e8cadaa0a42f495586603793ff73c\" alt=\"\" width=\"1\" height=\"1\" \/>So ein richtig gl\u00fcckliches H\u00e4ndchen kann man Microsoft bez\u00fcglich der Internet Explorer-Updates wohl nicht bescheinigen. Benutzer, die das Sicherheits-Update KB4021558, oder KB4022719 oder KB4022725 etc. vom 13. Juni 2017 installieren, stellten beim Internet Explorer 11 anschlie\u00dfend Druckprobleme fest. Ich hatte dies im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/06\/18\/internet-explorer-11-druckprobleme-durch-juni-2017-updates\/\">Internet Explorer 11-Druckprobleme durch Juni 2017 Updates<\/a> berichtet.<\/p>\n<p>Microsoft hat dann den Patch <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4032782\/a-blank-page-or-404-error-prints-when-you-try-to-print-a-frame-in-inte\" target=\"_blank\" rel=\"noopener\">KB4032782<\/a> zum Beheben des Fehlers bereitstellt. In der betreffenden KB-Seite sind die Fehlerbilder beschrieben \u2013 und mit der Revision vom 23. Juni 2017 findet sich auch ein Verweis auf den Fix. Man musste sich aber den Fix aus dem <a href=\"https:\/\/www.catalog.update.microsoft.com\/search.aspx?q=KB4032782\">Microsoft Update Catalog<\/a> herunterladen.<\/p>\n<p>Da der IE mit einem Fluch beladen ist, wurde das Druckproblem im Internet Explorer 11 zwar behoben. Anwender berichteten aber, dass der Browser nun beim Besuch komplexerer Seiten mit Scripten und Werbung abst\u00fcrze. Ich habe das Thema im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/06\/29\/ie11-druckprobleme-in-windows-behoben-juni-2017\/\">IE11-Druckprobleme in Windows behoben \u2013 nun Abst\u00fcrze (Juni 2017)<\/a> Ende Juni 2017 behandelt.<\/p>\n<h2>Fix f\u00fcr Internet Explorer 11-Abst\u00fcrze (Juli 2017)<\/h2>\n<p>Am Dienstag, den 11. Juli 2017 hat Microsoft erneut ein Update f\u00fcr den Internet Explorer freigegeben, welches die Abst\u00fcrze beim Besuch komplexer Webseiten beim IE 11 beheben soll.<\/p>\n<ul>\n<li>In Windows 7 SP1 (und korrespondierende Server-Varianten) patcht das Rollup Update KB4025341 diese Absturzproblematik.<\/li>\n<li>In Windows 8.1\u00a0 (und korrespondierende Server-Varianten) patcht das Rollup Update KB4025336 die Internet Explorer 11 Absturzproblematik.<\/li>\n<li>F\u00fcr Windows 10 und Windows Server 2017 wurde der Fix in den kumulierenden Updates KB4025342, KB4025339, KB4025344 und KB4025338 ausgeliefert.<\/li>\n<\/ul>\n<p>Das hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/07\/12\/patchday-juli-2017-updates-fr-windows-78-1\/\">Patchday Juli 2017: Updates f\u00fcr Windows 7\/8.1<\/a> sowie im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/07\/11\/patchday-juli-2017-updates-fr-windows-10\/\">Patchday Juli 2017: Updates f\u00fcr Windows 10<\/a> thematisiert.<\/p>\n<h2>\u00c4rger mit Update KB4025252 \u2013 wird mehrfach angeboten<\/h2>\n<p>Microsoft hat zus\u00e4tzlich noch das kumulative Update <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4025252\/cumulative-security-update-for-internet-explorer-july-11-2017\" target=\"_blank\" rel=\"noopener\">KB4025252<\/a> f\u00fcr den Internet Explorer angeboten (siehe <a href=\"https:\/\/borncity.com\/blog\/2017\/07\/11\/sicherheitsupdates-juli-2017-kurzbersicht\/\">Sicherheitsupdates Juli 2017\u2013Kurz\u00fcbersicht<\/a>. Dieses ist erforderlich, falls man nur die Security only Rollups f\u00fcr Windows 7 SP1 oder Windows 8.1 sowie die Server Varianten installiert.<\/p>\n<p>Inzwischen schlagen aber die Meldungen ein, dass dieses Update-Paket kaputt ist und sich nicht sauber installieren l\u00e4sst. Es wird zwar installiert, aber im Anschluss (zumindest auf WSUS) wieder zur Installation angeboten.<\/p>\n<ul>\n<li>Die erste Info erreichte mich in <a href=\"https:\/\/borncity.com\/blog\/2017\/07\/11\/sicherheitsupdates-juli-2017-kurzbersicht\/#comment-46212\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> hier im Blog. In weiteren Kommentaren wird berichtet, dass der Patch in WSUS nur f\u00fcr 32-Bit-Clients angefordert wird, w\u00e4hrend die 64-Bit-Clients meinen, das Update schon zu haben.<\/li>\n<li>Auch zu meinem englischsprachigen Blog-Beitrag gibt es <a href=\"http:\/\/borncity.com\/win\/2017\/07\/12\/microsoft-july-2017-patch-day\/#comment-1442\" target=\"_blank\" rel=\"noopener\">einen Kommentar<\/a>, der auf die sich wiederholende Update-Schleife hinweist.<\/li>\n<li>Dann bin ich im heise.de-Forum auf <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Patchday-bei-Microsoft-Erneut-SMB-Schwachstelle-geschlossen\/Probleme-mit-KB4025252-KB4025336\/posting-30691559\/show\/\" target=\"_blank\" rel=\"noopener\">diese Post<\/a> gesto\u00dfen, wo jemand unter Windows 7 mit dem Update in eine Endlos-Installationsschleife gerauscht ist.<\/li>\n<li>Bei reddit.com gibt es <a href=\"https:\/\/web.archive.org\/web\/20230603123551\/https:\/\/www.reddit.com\/r\/sysadmin\/comments\/6mthym\/windows_update_kb4025252_seems_to_borked_for_win7\/\" target=\"_blank\" rel=\"noopener\">diesen Thread<\/a>, wo jemand die gleichen Beobachtungen teilt.<\/li>\n<li>Im <a href=\"https:\/\/web.archive.org\/web\/20230316045238\/https:\/\/social.technet.microsoft.com\/Forums\/windows\/en-US\/3c713cd6-87ba-4908-bc06-fef248dcbd26\/kb4025252-security-update-for-internet-explorer-11-install-multiple-times?forum=w7itprosecurity\" target=\"_blank\" rel=\"noopener\">Technet-Forum<\/a> wird diese Beobachtung von vielen Nutzern best\u00e4tigt. Auch im SCCM scheitert die saubere Installation.<\/li>\n<\/ul>\n<p>Blog-Leser Marco R. informierte mich per Mail, das beim ihm das Update unter SCCM als gescheitert angezeigt werde.<\/p>\n<p><a href=\"http:\/\/i.imgur.com\/se1OOOD.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Update-Fehler KB4025252\" src=\"http:\/\/i.imgur.com\/se1OOOD.jpg\" alt=\"Update-Fehler KB4025252\" width=\"649\" height=\"260\" \/><\/a><br \/>\n(Zum Vergr\u00f6\u00dfern klicken)<\/p>\n<p>Marco schreibt, dass die Ereignisanzeige meldet, dass das Update erfolgreich installiert sei und hat mir folgenden Screenshot mitgeschickt.<\/p>\n<p><a href=\"http:\/\/i.imgur.com\/r3NrqHw.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Update-Fehler KB4025252\" src=\"http:\/\/i.imgur.com\/r3NrqHw.jpg\" alt=\"Update-Fehler KB4025252\" width=\"624\" height=\"475\" \/><\/a><br \/>\n(Zum Vergr\u00f6\u00dfern klicken)<\/p>\n<p>Aktuell hilft wohl nur, das Update im WSUS oder SCCM zur Verteilung zu sperren und darauf zu warten, dass Microsoft nachbessert.<\/p>\n<h2>Nachtrag: Revidiertes Update KB4025252 funktioniert (WSUS)<\/h2>\n<p>Es wurde bereits in den nachfolgenden Kommentaren <a href=\"https:\/\/borncity.com\/blog\/2017\/07\/12\/installationsprobleme-mit-updates-kb4025252-und-kb4025336\/#comment-46272\" target=\"_blank\" rel=\"noopener\">erw\u00e4hnt<\/a>\u00a0(danke an den Benutzer, auch wenn der Alias auf egal steht). Microsoft hat am 12. Juli 2017 eine revidierte Fassung (Revision 210) des\u00a0Update KB4025252 f\u00fcr WSUS\/SCCM freigegeben. Wenn ich die Kommentare richtig interpretierte, wird nun die Installation erfolgreich durchgef\u00fchrt und es kommt nicht mehr zu einer Installationsschleife.<\/p>\n<blockquote><p>Ich hatte den Kommentar bereits sehr fr\u00fch gelesen, stellte aber fest, dass der KB-Artikel von Microsoft nicht aktualisiert wurde. Daher habe ich den Nachtrag etwas zur\u00fcckgehalten, bis es weitere R\u00fcckmeldungen in den Kommentaren gab. Auch daf\u00fcr mein Dank &#8211; ich werde mir f\u00fcr solche Tests hier keinen Windows Server 2012 R2 mit WSUS aufsetzen.<\/p><\/blockquote>\n<p>Ich habe kurz mit Blog-Leser Marco R. Kontakt aufgenommen. Er hatte mir ja f\u00fcr SCCM die obigen Screenshots bereitgestellt. Aktuell schreibt er:<\/p>\n<blockquote><p>Ich werde dies nochmals verifizieren. Die neue Update-Version ist auf dem SCCM eingegangen, allerdings werden die Updates nach wie vor nicht korrekt installiert.<\/p><\/blockquote>\n<p><a href=\"http:\/\/i.imgur.com\/v7ieLWm.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"\" src=\"http:\/\/i.imgur.com\/v7ieLWm.jpg\" width=\"629\" height=\"58\" \/><\/a>(Zum Vergr\u00f6\u00dfern klicken)<\/p>\n<p>Macro will das Ganze nochmals verifizieren. Sobald mir neue Erkenntnisse vorliegen, tragen ich es hier nach.<\/p>\n<h2>Nachtrag 2: Details zur SCCM-Umgebung<\/h2>\n<p>Marco R. war so freundlich und hat das Ganze nochmals getestet: Update KB4025252 im Zusammenhang zu Windows 7 SP1 (x64) und dem SCCM 2012 R2 SP1 CU4. Seine R\u00fcckmeldung:\u00a0<em>Grunds\u00e4tzlich scheint das Problem nun behoben zu sein.\u00a0<\/em>Im Detail f\u00fchrt er dann noch folgendes aus:<\/p>\n<blockquote><p>Allerdings wollte der SCCM den Status der Deploymentanzeige f\u00fcr die betroffenen Clients nicht von \u201eError\" auf \u201eCompliant\" umstellen. Dabei hat es auch nichts gebracht, auf dem Client die Aktionen \u201eSoftware Updates Scan Cycle\", \u201eSoftware Updates Deployment Evaluation Cycle\", etc. auszuf\u00fchren.<\/p>\n<p>Ein m\u00f6glicher Grund f\u00fcr dieses Verhalten k\u00f6nnte sein, dass Microsoft einfach die \u201eOriginalversion\" des Updates angepasst und dann erneut verteilt hat. Es wird z.B. f\u00fcr das KB40252525 im WSUS, welcher dem SCCM f\u00fcr die Metadaten dient, auch keine \u00e4ltere Revision angezeigt (Revisionshistory).<\/p>\n<p>Ich habe dann das KB4025252 vom Deployment komplett entfernt um sicherzustellen, dass anschlie\u00dfend wirklich die Version vom 12.07.2017 im SCCM Deployment enthalten ist. M\u00f6glicherweise w\u00e4re dies nicht notwendig gewesen und mehr \u201eZeit\" h\u00e4tte dies gerichtet.<\/p>\n<p>Auf Clients, welche das fehlerhafte Update noch nicht installiert hatten, gab es beim Deployment keine Probleme mehr mit dem neuen Release. Ich habe hierf\u00fcr einen der Test-Clients mit dem Fehler via der Windows 7 System Protection Funktion auf ein fr\u00fcheres Datum zur\u00fcckgesetzt, so dass alle Updates nochmals installiert wurden (dieses Mal fehlerfrei).<\/p><\/blockquote>\n<p><strong>Fazit:\u00a0<\/strong>Auf Windows 7 x64 Clients, welche von Anfang an das neuere KB4025252 erhalten, sollte das Problem gem\u00e4\u00df meinen Tests nicht mehr auftreten. Bei Clients, welchen die \u00e4ltere fehlerhafte Version bereits f\u00fcr die Installation vom SCCM zugewiesen worden war, muss der Admin wohl teilweise selbst etwas nachhelfen, damit der Status der Updates wieder korrekt angezeigt wird.<\/p>\n<blockquote><p>Wichtig ist noch zu erw\u00e4hnen, dass das Problem auch mit dem fehlerhaften Update nicht auf allen Clients aufgetreten war. Im \u201ed\u00fcmmsten\" Fall k\u00f6nnte es also sein, dass es bei einer gr\u00f6sseren Anzahl Clients doch noch teilweise auftreten k\u00f6nnten. Mit dem Rollout der Updates bei den Kunden m\u00f6chte ich jedoch noch zuwarten, so dass meine Ergebnisse nur auf den 4 fehlerhaften von total 8 Clients mit Windows 7 x64 basieren. \u00a0Trotzdem bin ich der Meinung, dass das Problem nun behoben sein d\u00fcrfte.<\/p><\/blockquote>\n<p>An dieser Stelle mein Dank an Marco f\u00fcr den Test und die detaillierte R\u00fcckmeldung. Vielleicht hilft es dem einen oder anderen Betroffenen weiter.<\/p>\n<h2>Update KB4025336 killt Verbindung mit WSUS<\/h2>\n<p>JohnRipper weist in <a href=\"https:\/\/borncity.com\/blog\/2017\/07\/11\/sicherheitsupdates-juli-2017-kurzbersicht\/#comment-46248\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> (danke daf\u00fcr) zudem darauf hin, dass das Update <a href=\"https:\/\/support.microsoft.com\/kb\/4025336\" target=\"_blank\" rel=\"noopener\">KB4025336<\/a> (Monthly Rollup f\u00fcr Windows 8.1\/Windows Server 2012 R2) die Verbindung des Client zum WSUS blockiert. Auch im heise.de-Forum wird in <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Patchday-bei-Microsoft-Erneut-SMB-Schwachstelle-geschlossen\/Probleme-mit-KB4025252-KB4025336\/posting-30691559\/show\/\" target=\"_blank\" rel=\"noopener\">diesen Post<\/a> auf das Problem hingewiesen. Die Clients melden den Fehler 0x80244008 bei der Suche nach Updates. Der Fehlercode steht f\u00fcr (<a href=\"https:\/\/borncity.com\/blog\/2016\/11\/26\/windows-10-update-fehlercodes-0x8024-entschlsselt\/\">siehe<\/a>):<\/p>\n<blockquote><p>WU_E_PT_SOAPCLIENT_PARSEFAULT &#8211; 0x80244008 &#8211; (16392) &#8211; <i>Same as SOAPCLIENT_PARSEFAULT_ERROR &#8211; SOAP client failed to parse a SOAP fault.<\/i><\/p><\/blockquote>\n<p>Hier scheint ziemlich was im Paket kaputt zu sein. Es hilft nur, das Update wieder zu deinstallieren. JohnRipper weist in <a href=\"https:\/\/borncity.com\/blog\/2017\/07\/11\/sicherheitsupdates-juli-2017-kurzbersicht\/#comment-46248\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> darauf hin, dass das Ganze im Technet-Forum in <a href=\"https:\/\/social.technet.microsoft.com\/Forums\/windowsserver\/en-US\/fbf4912e-5d1f-4168-832d-31102c2b0d16\/clients-failing-to-connect-to-wsus-80244008?forum=winserverwsus\" target=\"_blank\" rel=\"noopener\">diesem Thread<\/a> diskutiert wird. Wer sich an KB4022720 st\u00f6rt, das ist das Preview des Monthly Rollups. Mit anderen Worten: Microsoft wusste seit Ende Juni 2017, dass da im Update-Paket ein Bock drin war. Aber das hat nicht interessiert, der Patch wurde wohl unver\u00e4ndert am 11. Juli 2017 ausgerollt.<\/p>\n<blockquote><p>Ich verkneife mir jetzt den Hinweis, dass Windows 8.1-Nutzer eine schwindende Gruppe sind und mit Windows 10 oder Linux das nicht passiert w\u00e4re.<\/p><\/blockquote>\n<blockquote><p>PS: An dieser Stelle mein ausgesprochener Dank an die vielen Blog-Leser, die sich mit Kommentaren zu jedem Patchday hier beteiligen und \u00fcber neue Details informieren. PPS: Und an Andreas P., dessen Mail zum Thema ich glatt \u00fcbersehen habe.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2017\/07\/11\/sicherheitsupdates-juli-2017-kurzbersicht\/\">Sicherheitsupdates Juli 2017\u2013Kurz\u00fcbersicht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/07\/12\/patchday-juli-2017-updates-fr-windows-78-1\/\">Patchday Juli 2017: Updates f\u00fcr Windows 7\/8.1<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/07\/11\/patchday-juli-2017-updates-fr-windows-10\/\">Patchday Juli 2017: Updates f\u00fcr Windows 10<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am 11. Juli 2017 hat Microsoft ja ein kumulatives Update f\u00fcr den Internet Explorer freigegeben, welches einige Probleme, u.a. die berichteten Abst\u00fcrze des IE 11 beheben soll. Aber das Update KB4025252 bringt ein neues Problem: Es wird immer wieder zur &hellip; <a href=\"https:\/\/borncity.com\/blog\/2017\/07\/12\/installationsprobleme-mit-updates-kb4025252-und-kb4025336\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185],"tags":[4295,6350,6344,24,4177,4315,881],"class_list":["post-192237","post","type-post","status-publish","format-standard","hentry","category-update","tag-internet-explorer","tag-kb4025252","tag-kb4025336","tag-problem","tag-sccm","tag-update","tag-wsus"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192237","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=192237"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192237\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=192237"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=192237"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=192237"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}