par Martin Brinkmann le 21 février 2019 dans Windows – 3 commentaires
Les choses peuvent être encore pire que cela? Microsoft a publié un avis de sécurité hier — ADV190005 | Conseils pour régler HTTP/2 PARAMÈTRES d’images-qui affecte Windows Serveur qui exécute Internet Information Services (IIS).
Le problème de sécurité pourrait être utilisé pour causer l’utilisation de l’UC augmente de 100% jusqu’à la malveillant HTTP/2 “connexions sont tués par IIS”.
Le comité consultatif recommande aux administrateurs que l’installation de la février de la non-mises à jour de sécurité pour la version de Windows 10 qui est installé sur un périphérique concerné. Microsoft a publié les mises à jour pour toutes les versions prises en charge de Windows 10 février Patch Tuesday qui comprenait des mises à jour de sécurité.
Les mises à jour que Microsoft fait référence à l’avis ont été publiés cette semaine pour Windows 10 version 1607 à 1803 (la mise à jour pour Windows 10 version 1809 est en train d’être testé dans la version Release Preview de l’anneau actuellement) et de la Windows Server versions.
Pas d’instructions disponibles
Ce n’est pas la première fois que des non-mises à jour de sécurité de mise à jour liées à la sécurité du contenu. Le problème principal de cette approche est qu’il affaiblit le déjà-très-faible distinction entre le mensuel de la sécurité et de la non-versions de sécurité.
L’approche est loin d’être idéal en particulier pour les administrateurs et les utilisateurs qui installent de sécurité-seuls les patchs exclusivement sur les appareils.
Ce qui fait de cet avis de sécurité encore plus problématique, c’est que Microsoft demande aux clients de l’examen d’un article de Base de Connaissances qui n’existe pas.
L’avis de sécurité a été publié hier, mais le soutien essentiel de l’article n’est pas encore publié (un jour après la sortie). Il est possible que Microsoft a fait une erreur lorsqu’il a ajouté le lien de la page, mais quelqu’un aurait certainement vérifié le lien avant de cliquer sur le bouton publier.
Il est difficile de savoir si l’installation des mises à jour résout les problèmes ou si d’autres mesures sont nécessaires pour résoudre complètement.
Le Mot De La Fin
Ce n’est pas la première fois que Microsoft a publié des mises à jour ou d’avis que, sans la publication de leurs pages de support. J’ai publié de Microsoft, s’il vous plaît publier les pages d’aide avant les mises à jour en 2016 en vue de sensibiliser le public à la question.
Les utilisateurs et les administrateurs peuvent rencontrer les mises à jour de Windows et des patchs sans option pour savoir ce qu’ils font réellement, peut introduire des questions, ou des étapes supplémentaires ou des exigences.
Les administrateurs peuvent installer les patchs et espérer pour le mieux dans ce cas particulier, ou attendre jusqu’à ce que Microsoft publie la page de support. Les deux options ne sont pas très agréables; la première pourrait signifier que des mesures importantes pour protéger le serveur ne sont pas mis en œuvre en raison du manque d’instructions, la seconde que les attaques pourraient frapper le serveur alors que l’administrateur attend de Microsoft pour la libération de la page de support.
Maintenant, Vous: Que feriez-vous et quelle est votre opinion à ce sujet? (par l’intermédiaire de Demander Woody)