av Martin Brinkmann på februar 21, 2019 i Windows – 3 kommentarer
Kan ting bli verre enn dette? Microsoft utgitt en sikkerhetsveiledning i går — ADV190005 | Veiledning for å justere HTTP/2 INNSTILLINGER rammer — som påvirker Windows-Server som kjører Internet Information Services (IIS).
Sikkerhetsproblemet kan bli misbrukt til å føre CPU-bruk for å øke til 100% til skadelig HTTP/2 “- tilkoblinger er drept av IIS”.
Den rådgivende anbefaler å administratorer at de installerer februar ikke-sikkerhetsrelaterte oppdateringer for Windows-versjon 10 som er installert på en berørt enhet. Microsoft lanserte kumulative oppdateringer for alle støttede versjoner av Windows-10 på februar Patch Tuesday som er inkludert sikkerhetsoppdateringer.
Oppdateringer som Microsoft viser til i veiledningen ble utgitt denne uken for Windows-10 versjon 1607 å 1803 (oppdatering for Windows 10 versjon 1809 er blitt testet ut i Release Preview ringen i dag) og den tilknyttede Windows Server versjoner.
Ingen instruksjoner tilgjengelig
Det er ikke første gang at ikke-sikkerhetsrelaterte oppdateringer oppdatering sikkerhet relatert innhold. Det viktigste problemet med tilnærmingen er at den svekker den allerede svært svak skillet mellom månedlige sikkerhet og ikke-sikkerhetsrelaterte versjoner.
Den tilnærming er langt fra ideelt, spesielt for administratorer og brukere som har installert security-bare flekker utelukkende på enheter.
Hva gjør dette spesielt security advisory enda mer problematisk er at Microsoft ber kunder om å gå gjennom en Knowledge Base-artikkel som ikke finnes.
Sikkerhetsveiledningen ble publisert i går, men den grunnleggende støtte artikkelen er ikke publisert ennå (en dag etter utgivelsen). Det er mulig at Microsoft har gjort en feil når den har lagt til link til side, men noen ville sikkert ha bekreftet linken før du trykker på publiser-knappen.
Det er uklart om installasjon av oppdateringer som løser problemene, eller om andre tiltak er nødvendig for å løse det helt.
Avsluttende Ord
Dette er ikke første gang Microsoft har gitt ut oppdateringer kostholdsråd eller uten publisering deres support sider. Jeg publiserte Microsoft, kan du publisere support sider før du oppdateringer i 2016, for å øke bevisstheten om problemet.
Brukere og administratorer kan støte på Windows-oppdateringer og patcher uten mulighet til å finne ut hva de faktisk gjør, kan skape problemer, eller har flere trinn eller krav.
Administratorer kan installere patcher og håpe på det beste i dette tilfellet, eller vente til Microsoft utgir support-side. Begge alternativene er ikke veldig hyggelig, og det første kan det bety at viktige skritt for å beskytte serveren er ikke gjennomført på grunn av manglende instrukser, for det andre at angrep kan treffe server mens administrator venter for Microsoft å løslate support-side.
Nå er Du: Hva ville du gjøre og hva er din ta på seg dette? (via Spør Woody)