door Martin Brinkmann op 21 februari 2019 in Windows – 1 reactie
Kan de dingen nog erger dan dit? Microsoft publiceerde een security advisory gisteren — ADV190005 | Begeleiding aan te passen HTTP/2 INSTELLINGEN frames — die van invloed is op Windows Server met Internet Information Services (IIS).
Het beveiligingsprobleem zou kunnen worden misbruikt om te veroorzaken dat het CPU-gebruik 100% verhogen, totdat de schadelijke HTTP/2 “aansluitingen zijn gedood door IIS”.
De adviescommissie beveelt aan beheerders die ze installeren, de februari-niet-beveiligingsupdates voor Windows-versie 10 is geïnstalleerd op een betrokken apparaat. Microsoft heeft een cumulatieve updates voor alle ondersteunde versies van Windows op 10 februari Patch dinsdag dat security updates.
De updates die Microsoft verwijst in het advies werden deze week vrijgegeven voor Windows-10 versie 1607 1803 (de update voor Windows-10 versie 1809 wordt getest in de Release Preview ring op dit moment) en de bijbehorende Windows Server versies.
Geen instructies beschikbaar
Het is niet de eerste keer dat de niet-beveiligingsupdates update security-gerelateerde content. Het belangrijkste probleem met de benadering is dat het verzwakt de toch al zeer zwakke onderscheid tussen de maandelijkse beveiligingsupdates en niet-beveiligingsupdates.
De benadering is verre van ideaal, met name voor beheerders en gebruikers die het installeren van security-alleen patches uitsluitend op apparaten.
Wat maakt deze bijzondere security advisory nog problematischer is dat Microsoft vraagt klanten om een Knowledge Base-artikel dat niet bestaat.
Dit beveiligingsbulletin werd gisteren gepubliceerd, maar de essentiële ondersteuning artikel nog niet gepubliceerd is (een dag na de release). Het is mogelijk dat Microsoft een fout gemaakt bij het toevoegen van de link naar de pagina, maar iemand zou zeker hebben nagegaan op de link voor het raken van de knop publiceren.
Het is onduidelijk of de installatie van de updates van de problemen opgelost of als er andere stappen nodig zijn om het op te lossen volledig.
Slotwoord
Dit is niet de eerste keer dat Microsoft uitgebrachte updates of adviezen zonder de publicatie van hun support pagina ‘ s. Ik publiceerde Microsoft, gelieve te publiceren pagina ‘ s voor ondersteuning voordat u updates in 2016 te sensibiliseren voor het probleem.
Gebruikers en beheerders kunnen optreden Windows updates en patches, zonder optie om te achterhalen wat ze eigenlijk doen, kan introduceren problemen, of hebben extra maatregelen of eisen.
Beheerders kon installeren van de patches en hopen voor het beste, in dit specifieke geval, of wachten totdat Microsoft publiceert de pagina support (ondersteuning). Beide opties zijn niet zeer aangenaam; het eerste zou betekenen dat belangrijke stappen voor het beveiligen van de server worden niet geïmplementeerd vanwege ontbrekende instructies, de tweede die aanvallen kunnen raken van de server, terwijl de beheerder van wacht is voor Microsoft om vrij de pagina support (ondersteuning).
Nu U: Wat zou u doen en wat is uw mening over dit? (via Vragen Woody)