Nachtrag: Kollateralschaden (TLS/SHA-1) von Update KB3172605

Windows UpdateMicrosoft hat im Juli das Update KB3172605 (Juli 2016 update Rollup für Windows 7 SP1 und Windows Server 2008 R2 SP1) herausgebracht. Das Update verursacht noch einen Kollateralschaden, den ich nicht auf dem Radar hatte.


Anzeige

Über das optionale Update KB3172605 (Juli 2016 update Rollup für Windows 7 SP1 und Windows Server 2008 R2 SP1) hatte ich ja im Artikel Windows 7 SP1/Server 2008 R2 SP1 Update KB3172605 berichtet.

Das soll das Update fixen

Gemäß Update-History soll das Update KB3172605 (Juli 2016 update Rollup für Windows 7 SP1 und Windows Server 2008 R2 SP1) folgendes bringen:

  • Verbesserter Support der Microsoft Cryptographic Application Programming Interface (CryptoAPI) zur Erkennung von Websites, die den Secure Hash Algorithm 1 (SHA-1) nutzen.
  • Behobenes Problem in Microsoft Secure Channel (SChannel), das in einigen Fällen zu fehlgeschlagenen Verbindungen mit Transport Layer Security (TLS) 1.2 geführt hat, je nachdem, ob das Stammzertifikat als Teil der Zertifikatskette für Server-Authentifizierung konfiguriert wurde.

Im Blog-Beitrag Windows 7 SP1/Server 2008 R2 SP1 Update KB3172605 wurden auch die Bluetooth-Probleme thematisiert, die das Update verursachte. Intel Bluetooth-Chips streikten nach Installation des Updates. Und hier gibt es noch einen Beitrag von Microsoft zum SHA-1-Thema.

Update KB3172605 ersetzt Update KB3161608

Generell ist das Update aber nicht ganz unkritisch. Dieses Update ersetzte das Juni Update KB3161608 (siehe Update Rollup (KB3161608) für Windows 7 SP1/Server 2008 R2). Zum Update KB3161608 hatte ich aber den Artikel Ärger mit kumulativen IE 11-Updates Juni/Juli 2016 (Darstellung/Login etc.) hier im Blog. Der obige Hinweis, dass im Update KB3172605 sowohl bei SHA-1 als auch bei TLS 1.2 Probleme und Verbesserungen adressiert wurden, lässt hoffen und fürchten.

Ärger nach Installation bei Anmeldung und in Intranet-Lösungen

Ich habe es nicht weiter thematisiert, da es nur eine Stimme war. In diesem Kommentar berichtet ein Blog-Leser, dass er sich nach der Update-Installation nicht mehr am Benutzerkonto anmelden konnte. Nach Deinstallation per Administratorkonto war wieder alles gut.

Kritischer hat es jedoch Leute im Unternehmensumfeld getroffen. In meinem englischsprachigen Blog habe ich Ende August zwei Kommentare erhalten, die auf weitere Probleme hinweisen:

After distributing our monthly patches with SCCM some of out servicedesk employees complained that they couldn’t reach the telephonecenter portal from their workstations: “This page can’t be displayed”. This portal is build in an Apache Struts setup with Java content (.do extension). After removing KB3172605 (x64) and a reboot the portal could be reached again.


Werbung

Bei Cisco gibt es einen KB-Artikel, der sich aber auf KB3161608/KB3161606 bezieht, aber die gleiche Fehlersymptomatik beschreibt und Lösungsansätze beschreibt. Bin aber nicht sicher, ob die weiter helfen.

Und der zweite Nutzer-Kommentar klingt ähnlich, dort konnte nicht mehr auf eine SAP-Lösung zugegriffen werden.

We had the same issue as Marco – we could not get to our application (SAP BusinessObjects) “Page Not Found”. After uninstalling KB3172605 – we could access the application.

Bei einer Suche im Web bin ich dann auf weitere Treffer gestoßen, wo Probleme mit dem Patch thematisiert werden. Ich tippe auf die TLS 1.2-Geschichte als Ursache. Bei VMware gibt es den KB-Artikel vSphere Web Client is unavailable after applying windows updates (2146002), der einen Fehler beim Zugriff auf den vSphere Web Client beschreibt:

Login to the query service failed.
An SSL error occurred. (The Request was aborted: Could not create SSL/TLS secure channel.)

VMware gibt an, dass die Deinstallation von KB3172605 hilft. Alternativ kann man den Registrierungs-Editor als Administrator starten und zu folgendem Schlüssel navigieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\
SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman

Dort trägt man den DWORD (32)-Wert ClientMinKeyBitLength=00000200 ein, um die Schlüssellänge zu reduzieren.

Ich habe mal die Infos hier zusammen getragen. Vielleicht kann sich jemand einen Reim darauf machen oder zeigen euch die richtige Richtung auf.

Ähnliche Artikel:
Windows 7 SP1/Server 2008 R2 SP1 Update KB3172605
Update Rollup (KB3161608) für Windows 7 SP1/Server 2008 R2
Ärger mit kumulativen IE 11-Updates Juni/Juli 2016 (Darstellung/Login etc.)


Anzeige
Dieser Beitrag wurde unter Update, Windows 7 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Responses to Nachtrag: Kollateralschaden (TLS/SHA-1) von Update KB3172605

  1. riedenthied sagt:

    Und schon sind wir zwangsläufig wieder beim Problem der kumulativen Updates. Deinstalliere es heute als Fix für die Probleme und du bekommst es im nächsten Monat wieder übergebraten.

    Erstaunlicherweise haben sich bei uns keinerlei Probleme in diesem Zusammenhang gezeigt. Weder bei VMware, noch sonstwo. Das heißt, ein kleines Problem gab es doch: Der Exchange DAG-Cluster hat die Verbindung zwischen einzelnen Servern verloren. Das konnte man aber recht unproblematisch beheben, indem man den ganzen Spaß nochmal neu initialisiert hat. Seitdem läuft es auch mit Patch.

  2. DL - DerLoesungssuchende sagt:

    Guten Tag
    Ich musste leider auch feststellen, dass die Software “Dell NetExternder-SSL-VPN” unsere Mitarbeiter nach der Installation von KB3172605 keine Verbindung zur SSL-VPN-Box erstellen konnten. Nun, dieser Patch wird jedoch benötigt damit die Updates wieder installiert werden. Ich wollte die VMware Lösung nutzten, jedoch existiert auf meinem System der Ordner \Diffie-Hellman nicht
    “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman”
    Gibt es eine Lösung?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.