af Martin Brinkmann februar 21, 2019 i Windows – 3 kommentarer
Kan tingene blive værre end dette? Microsoft har udgivet en sikkerheds rådgivning i går — ADV190005 | Vejledning til at justere HTTP/2 INDSTILLINGER frames-hvilket påvirker Windows-Server, der kører IIS (Internet Information Services).
Det sikkerhedsproblem, der kan misbruges til at forårsage CPU-forbruget til at stige til 100%, indtil den skadelige HTTP/2 “tilslutninger er dræbt af IIS”.
Det rådgivende anbefaler, at administratorer, at de har installeret februar ikke-sikkerhedsrelaterede opdateringer til den Windows-version 10, der er installeret på et berørt enhed. Microsoft har udgivet kumulative opdateringer til alle understøttede versioner af Windows 10 februar Patch tirsdag, der omfattede sikkerhedsopdateringer.
De opdateringer, som Microsoft henviser til i det rådgivende var frigivet i denne uge til Windows, version 10 1607 til 1803 (opdatering til Windows 10 version 1809 bliver testet i Release Preview ring i øjeblikket) og den tilhørende Windows Server versioner.
Ingen instruktioner til rådighed
Det er ikke første gang, at ikke-sikkerhedsrelaterede opdateringer opdatering sikkerhed relateret indhold. Det største problem med den metode er, at det svækker den allerede meget svag skelnen mellem den månedlige sikring og ikke-sikring udgivelser.
Den tilgang er langt fra ideelt, især for administratorer og brugere, der installerer sikkerhed-kun patches udelukkende på enheder.
Hvad gør netop denne security advisory endnu mere problematisk, er, at Microsoft opfordrer kunder til at gennemgå en Knowledge Base-artikel, der ikke eksisterer.
Security advisory blev offentliggjort i går, men den afgørende støtte artikel er ikke offentliggjort endnu (en dag efter udgivelsen). Det er muligt, at Microsoft har lavet en fejl, når det tilføjet link til den side, men nogen ville sikkert have kontrolleret link, før der trykkes på knappen offentliggør.
Det er uklart, om installation af opdateringer løser de problemer, eller hvis andre trin, der kræves for at løse det helt.
Afsluttende Ord
Det er ikke første gang, at Microsoft har udgivet opdateringer eller bulletiner uden at offentliggøre deres support-sider. Jeg offentliggjorde Microsoft, bedes du offentliggør support sider, før opdateringer i 2016 til at øge kendskabet til problemet.
Brugere og administratorer, der kan støde på Windows-opdateringer og-sikkerhedsrettelser, uden mulighed for at finde ud af, hvad de rent faktisk gør, kan indføre spørgsmål, eller har yderligere tiltag eller krav.
Administratorer kan installere patches og håbe på det bedste i dette særlige tilfælde, eller vent, indtil Microsoft offentliggør support-side. Begge muligheder er ikke meget behageligt; den første kan betyde, at vigtige skridt til at beskytte serveren er ikke gennemført på grund af manglende instruktioner, den anden, at angreb kan ramme den server, mens administratoren skal vente for Microsoft at frigive support side.
Nu kan Du: Hvad ville du gøre, og hvad er dit bud på dette? (via Bede Woody)