{"id":214890,"date":"2019-02-18T00:05:00","date_gmt":"2019-02-17T23:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=214890"},"modified":"2021-01-27T19:39:13","modified_gmt":"2021-01-27T18:39:13","slug":"sha-2-patch-fr-windows-7-kommt-wohl-im-mrz-2019","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/02\/18\/sha-2-patch-fr-windows-7-kommt-wohl-im-mrz-2019\/","title":{"rendered":"SHA-2-Patch für Windows 7 kommt wohl im März 2019"},"content":{"rendered":"

\"win7\"[English<\/a>]Kleine Information zum Wochenstart f\u00fcr Windows 7-Nutzer. Microsoft wird wohl im M\u00e4rz 2019 ein kritisches Standalone-Sicherheitsupdate f\u00fcr Windows 7 und Windows Server 2008 \/ R2 ver\u00f6ffentlichen, welches diese Betriebssysteme f\u00fcr SHA-2 ert\u00fcchtigt. Hier ein paar Informationen, um was es geht und wann was genau passiert.<\/p>\n

<\/p>\n

Worum geht es beim SHA-2-Thema genau?<\/h2>\n

\"\"Benutzer von Windows 7 SP1 (sowie der Server Pendants) und WSUS ben\u00f6tigen ab April 2019 ein spezielles Update, welches die Maschine f\u00fcr SHA2-Codesignaturen ert\u00fcchtigt. Ohne dieses Update k\u00f6nnen diese Maschinen keine Updates mehr verarbeiten.<\/p>\n

Hintergrund des Ganzen ist der Umstand, dass das Signieren mit SHA-1-Hash-Werten seit einiger Zeit als nicht mehr sicher gilt. Microsoft wird daher ab Juli 2019 das Signieren von Update-Paketen mit SHA-1 und SHA-2 einstellen und nur noch mit SHA-2 signierte Updates bereitstellen. W\u00e4hrend eine SHA-2-Unterst\u00fctzung ab Windows 8.1 gegeben ist, fehlt diese in Windows 7 und Windows Server 2008 \/R2.<\/p>\n

Kunden, die Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 (und WSUS 30. SP2) verwenden, m\u00fcssen bis April 2019 die SHA-2-Code-Signierungsunterst\u00fctzung auf diesen Systemen installiert haben. Windows-Systemen ohne SHA-2-Unterst\u00fctzung werden ab April 2019 keine Windows-Aktualisierungen mehr angeboten.<\/p>\n

Auf diesen Sachverhalt hatte ich im November 2018 im Blog-Beitrag Windows 7: Ab April 2019 wird ein 'SHA-2-Update' ben\u00f6tigt<\/a> hingewiesen. Allerdings ist Microsoft bisher einen genaueren Fahrplan bez\u00fcglich des Updates von Windows 7 schuldig geblieben.<\/p>\n

Im M\u00e4rz 2019 kommt ein Sicherheitsupdate<\/h2>\n

Da die Februar 2019 Updates nichts dergleichen enthielten, bleibt also nicht mehr viel Zeit. Benutzer @abbodi86 ist nun aufgefallen, dass Microsoft seinen KB-Artikel 2019 SHA-2 Code Signing Support requirement for Windows and WSUS<\/a> von November 2018 am 16. Februar 2019 um konkrete Datumsangaben erweitert hat. Hier die Details:<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n
Target Date<\/strong><\/td>\nEvent<\/strong><\/td>\nApplies To<\/strong><\/td>\n<\/tr>\n
March 12, 2019<\/td>\nStand Alone<\/strong> updates that introduce SHA-2 code sign support will be released as security updates.<\/td>\nWindows 7 SP1,
\nWindows Server 2008 R2 SP1.<\/td>\n<\/tr>\n
March 12, 2019<\/td>\nStand Alone <\/strong>update will be delivered to WSUS 3.0 SP2 that will support delivering SHA-2 signed updates. For those customers using WSUS 3.0 SP2, this update should be installed no later than June 18, 2019.<\/td>\nWSUS 3.0 SP2<\/td>\n<\/tr>\n
April 9, 2019<\/td>\nStand Alone<\/strong> updates that introduce SHA-2 code sign support will be released as security updates.<\/td>\nWindows Server 2008 SP2.<\/td>\n<\/tr>\n
June 18, 2019<\/td>\nWindows 10 updates signatures changed from dual signed (SHA1\/SHA2) to SHA2 only. No customer action is expected for this milestone.<\/td>\nWindows 10 1709,
\nWindows 10 1803,
\nWindows 10 1809,
\nWindows Server 2019<\/td>\n<\/tr>\n
June 18, 2019<\/td>\nRequired: <\/strong>For those customers using WSUS 3.0 SP2, the updates should installed by this date.<\/td>\nWSUS 3.0 SP2<\/td>\n<\/tr>\n
July 16, 2019<\/td>\nRequired:<\/strong> Updates for legacy Windows versions will require that SHA-2 code signing support be installed. The support released in March and April will be required in order to continue to receive updates on these versions of Windows.<\/td>\nWindows 7 SP1,
\nWindows Server 2008 R2 SP1,
\nWindows Server 2008 SP2.<\/td>\n<\/tr>\n
July 16, 2019<\/td>\nWindows 10 updates signatures changed from dual signed (SHA1\/SHA2) to SHA2 only. No customer action is expected for this milestone.<\/td>\nWindows 10 1507,
\nWindows 10 1607,
\nWindows 10 1703<\/td>\n<\/tr>\n
August 13, 2019<\/td>\nContents of updates for legacy Windows versions will be SHA2 signed (embed signed binaries and catalogs). No customer action is expected for this milestone.<\/td>\nWindows 7 SP1,
\nWindows Server 2008 R2 SP1,
\nWindows Server 2008 SP2.<\/td>\n<\/tr>\n
September 16, 2019<\/td>\nLegacy Windows updates signatures\u00a0 changed from dual signed (SHA1\/SHA2) to SHA2 only. No customer action is expected for this milestone.<\/td>\nWindows 7 SP1,
\nWindows Server 2008 R2 SP1,
\nWindows Server 2008 SP2,
\nWindows Server 2012,
\nWindows 8.1,
\nWindows Server 2012 R2<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Kunden, die WSUS 3.0 SP2 verwenden, empfiehlt Microsoft, ihre Server bis zum 18. Juni 2019 mit den SHA2-Updates f\u00fcr WSUS 3.0 SP2 zu aktualisieren. Nur so l\u00e4sst sich sicherstellen, dass SHA2-signierte Updates verteilt werden k\u00f6nnen.<\/p>\n

Was passiert mit neu installierten Windows 7-Systemen<\/h2>\n

Erg\u00e4nzung:<\/strong>\u00a0Es wird hier im Blog sowie in meinem heise.de-Beitrag<\/a>\u00a0immer wieder\u00a0die Bef\u00fcrchtung 'setze ich nach Juni 2019 ein neues System mit Windows 7 SP1 oder Server 2008\/R2 auf, wird das keine Updates mehr bekommen' ge\u00e4u\u00dfert. Der Hintergrund ist, dass\u00a0ab Juli 2019 keine SHA-1-signierten Pakete mehr f\u00fcr Windows 7 und die Server Pendants bereitgestellt\u00a0werden.<\/p>\n

Aber an dieser Stelle\u00a0m\u00f6chte ich Entwarnung geben. Die Sachlage ist doch so, dass\u00a0\u00a0alle Updates vor Juli 2019 noch eine digitale SHA1-Signatur aufweisen. Erst ab April 2019 werden erste (separate) Update-Pakete mit ausschlie\u00dflich SHA-2-Signatur angeboten. Und die alten Updates, sofern nicht zur\u00fcckgezogen oder ersetzt, werden ja weiter durch Microsoft auf den Update-Servern bereitgestellt. Das neu aufgesetzte System kann sich also alle Updates bis Juni 2019 ziehen (was hoffentlich klappt) und bekommt so auch den (aktuell noch nicht mit einer KB-Nummer versehenen) SHA-2-Patch. Dann k\u00f6nnen auch die Updates ab Juli 2019 bezogen werden.\u00a0(via<\/a>)<\/p>\n

Falls bei einem neu aufgesetzten System keine Updates (oder erst nach langer Zeit) bei der Suche gefunden werden, hat dies andere Gr\u00fcnde. Ich hatte dies in zwei Blog-Beitr\u00e4gen 2016 und 2018 thematisiert, siehe nachfolgende Linkliste.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows 7: Ab April 2019 wird ein 'SHA-2-Update' ben\u00f6tigt<\/a>
\nKnipst der Wechsel zu SHA-2 \"das Web\" aus?<\/a>
\nWindows 7: Updates werden nicht gefunden (M\u00e4rz 2018)<\/a>
\nWindows 7 SP1: Update-Suche zum Mai-Patchday dauert ewig<\/a><\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kleine Information zum Wochenstart f\u00fcr Windows 7-Nutzer. Microsoft wird wohl im M\u00e4rz 2019 ein kritisches Standalone-Sicherheitsupdate f\u00fcr Windows 7 und Windows Server 2008 \/ R2 ver\u00f6ffentlichen, welches diese Betriebssysteme f\u00fcr SHA-2 ert\u00fcchtigt. Hier ein paar Informationen, um was es geht … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185],"tags":[7437,4315,4294],"class_list":["post-214890","post","type-post","status-publish","format-standard","hentry","category-update","tag-sha-2","tag-update","tag-windows-7"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=214890"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214890\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=214890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=214890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=214890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}