von Martin Brinkmann am Februar 21, 2019 in Windows – 1 Kommentar
Können die Dinge noch schlimmer werden als diese? Microsoft veröffentlicht ein security advisory gestern-ADV190005 | Anleitung zum anpassen der HTTP/2-EINSTELLUNGEN die frames — das wirkt sich auf Windows-Server mit Internet Information Services (IIS).
Die Frage der Sicherheit missbraucht werden könnte, um die Ursache CPU-Auslastung auf 100% ansteigen, bis die schädliche HTTP/2 “- Anschlüsse sind getötet IIS”.
Empfiehlt sich die Beratung an Administratoren, die Sie installieren den Februar nicht-Sicherheits-updates für die version von Windows 10 installiert ist, die auf einem betroffenen Gerät. Microsoft veröffentlicht kumulativen updates für alle unterstützten Versionen von Windows 10 auf den Februar-Patchday, inklusive Sicherheits-updates.
Die updates, die Microsoft bezieht sich auf in den Beirat wurden diese Woche veröffentlicht für Windows 10 version 1607 bis 1803 (update für Windows 10 version 1809 getestet wird in der Release Preview-ring derzeit) und die zugehörigen Windows-Server-Versionen.
Keine Anleitung verfügbar
Es ist nicht das erste mal, dass die nicht-Sicherheits-updates-update sicherheitsbezogene Inhalte. Das Haupt-Problem bei dem Ansatz ist, dass es schwächt die ohnehin sehr schwachen Unterschied zwischen dem monatlichen security und non-security-releases.
Der Ansatz ist weit vom ideal vor allem für Administratoren und Benutzer, die Installation von Sicherheits-only patches ausschließlich auf Geräte.
Was ist das Besondere an diesem security advisory sogar noch problematischer ist, dass Microsoft bittet Kunden zu überprüfen Knowledge Base-Artikel, die nicht vorhanden ist.
Die Sicherheitsempfehlung wurde gestern veröffentlicht, aber die wesentlichen support-Artikel noch nicht erschienen (einen Tag nach dem release). Es ist möglich, dass Microsoft einen Fehler gemacht, wenn es Hinzugefügt, den link zu der Seite, aber jemand würde sicherlich überprüft haben, den link aus, bevor Sie auf die Schaltfläche “veröffentlichen”.
Es ist unklar, ob die installation der updates behebt die Probleme, oder sind andere Schritte erforderlich sind, lösen Sie Sie vollständig.
Schlusswort
Dies ist nicht das erste mal, dass Microsoft veröffentlicht updates oder Ankündigungen, ohne die Veröffentlichung Ihrer support-Seiten. Ich veröffentlichte Microsoft bitte veröffentlichen Sie support-Seiten, bevor Sie die updates bis 2016, um das Bewusstsein für das Thema.
Benutzer und Administratoren können auftreten, Windows-updates und patches, ohne option, um herauszufinden, was Sie tatsächlich tun, kann sich vorstellen, Fragen haben oder zusätzliche Schritte oder Anforderungen.
Administratoren könnten die patches installieren und das beste hoffen, in diesem speziellen Fall, oder warten, bis Microsoft veröffentlicht auf der support-Seite. Beide Optionen sind nicht sehr angenehm; der erste könnte bedeuten, dass wichtige Schritte zum Schutz der server nicht umgesetzt wegen fehlender Anleitung, die zweite, dass Angriffe treffen könnte der server während der administrator wartet, die Microsoft zum release der support-Seite.
Jetzt Sie: Was würdest du tun und was ist Ihr nehmen auf das? (über Fragen Woody)