Rückblick auf die Juli 2018 Patches für Administratoren

[English]Wir haben nun glücklicherweise den (heißen) Juli 2018 hinter uns gelassen. Zeit für einen kurzen Rückblick auf die Juli 2018 Patches und was von denen zurückgeblieben ist. Zumindest Administratoren sollten nachfolgenden Überblick kennen.


Anzeige

Kleine Nachträge

Ein paar Infos zu Updates sind bei mir liegen geblieben. Falls ihr es nicht selbst schon mitbekommen habt, hier eine Kurzübersicht.

  • Update KB4052623 (Windows Defender Antimalware-Plattform, für Windows 10) wurde aktualisiert. Hatte ich zuletzt im Januar 2018 im Blog (Windows Defender: Update KB4052623. Den Kollegen von deskmodder.de ist aufgefallen, dass es gestern erneut ein Update gab – hier finden sich die Informationen.
  • Updates für Adobe-Produkte: Diesen Aspekt hatte ich bis auf den Flash-Player hier im Blog unberücksichtigt gelassen. Wer Adobe-Produkte wie PDF-Reader & Co. verwendet und keine Juli 2018-Updates installiert hat, kann sich bei heise.de über das Versäumte informieren.

Auch Oracle hat ein Oracle Critical Patch Update Advisory – July 2018 herausgegeben sowie die Blog-Beiträge hier, hier und hier veröffentlicht.

Probleme, die Microsofts Juli 2018-Patches verursachen

Blog-Leser Karl hat mir vor einigen Stunden eine Mail zukommen lassen, in der er die Probleme summiert, die im Microsoft-Umfeld durch die Juli 2018-Updates aufgetreten sind (danke dafür). Ich stelle die Informationen als Übersicht für Administratoren hier ein.

Updates vom 10. Juli 2018 alle fehlerhaft

Die Juli Updates vom 10.07.2018 sind allesamt fehlerhaft (wie im Blog hier berichtet). Bei Windows 2008 – 2012 R2 muss man also unüblicherweise die Preview installieren um fehlerfreie Updates für 07-2018 zu erhalten.

Die fehlerhaften Updates vom 10.07 wurden nicht neu released mit gleicher KB. Warum? Frag MS.

AD Connect Sync -Probleme mit .NET Framework 4.6.2

.Net 4.6.2 macht Probleme mit AD Connect Sync (die CPU Auslastung steigt auf 100%). Das ist ein bekanntes Problem, ein Fix soll kommen. Der Bug sorgte, laut Karl, für 7 GHz Auslastung auf dem ESX, obwohl die Maschine nur 2 Cores hat.

Windows Server 2016 patchen zäh

Windows 2016 Server brauchen Stunden-.lang zum Installieren der Patches (siehe auch). Das gilt selbst für neu aufgesetzte Systeme, trotz Service Stack Update (SSU) vom Mai 2018.


Werbung

Auf das Problem hatte ich allgemein bereits im Blog-Beitrag Windows Server 2016 und die langsame Update-Installation hingewiesen.

Vorsicht vor den .NET Rollup Updates 7. Juli 2018

Die .NET-Framework Rollups (July 07-2018) sollten generell, wegen bekannter und hier im Blog berichteter, Probleme nicht installiert werden. Also muss das Rollup aus 05-2018 zugelassen werden, obwohl schon in WSUS als abgelaufen markiert.

Saumäßige Spectre-Dokumentation

Microsoft pflegt seine Spectre Dokumentation nicht. Daher hier meine Substitutionstabelle um Spectre 2,3 , 3a und 4 zu erhalten (für 2 und 4 sind noch BIOS Updates notwendig, wenn nicht Windows 10 / 2016 Server), sowie bei Client und Servern die Registry Keys

Spectre 1*, 2, 3, 3a*, 4*

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

https://support.microsoft.com/de-de/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

Many links in the table have been superseded and should be replaced (die Links in der Tabelle sind veraltet und müssten aktualisiert werden).

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

https://support.microsoft.com/de-de/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

Folgende Tabelle listet den ehemaligen Patch (falls existent) > neuer Patch + SSU + Spectre Patch (letzterer nicht im WSUS / via WU, muss manuell importiert oder installiert werden (anfangs fehlten auch die SSUs)

Windows 10 1803 KB4338853 + KB4340917 +  KB4100347-v2 + *Registry AMD / Intel
Windows 10 1709 KB4056892 > KB4131372 + KB4338817 + KB4090007_v4 + *Registry AMD / Intel
Windows 10 1703 KB4132649 + KB4338827 + KB4091663-v4 + *Registry AMD / Intel
Windows 10 1607 LTSC KB4056890 > KB4132216 + KB4338822 + KB4091664_v4 + *Registry AMD / Intel
Windows 10 1511 KB4035632 + KB4093109 no protection Spectre
Windows 10 1507 LTSC KB4345455 + KB4091666-v3 + *Registry AMD / Intel
Server 2016 1709 Core KB4056892 > KB4131372 + KB4338817 + KB4090007_v4 + *Registry AMD / Intel
Server 2016 1607 KB4056890 > KB4132216 + KB4338822 + KB4091664_v4 + *Registry AMD / Intel
Server 2012 R2 KB4056898 > KB4338831  + *Registry AMD / Intel
Server 2012 KB4088880 > KB4338816 + *Registry AMD / Intel
Server 2008 R2 KB4056897 > KB4338821 + *Registry AMD / Intel
Server 2008 KB4090450 > KB4093478 + *Registry AMD / Intel

Beachtet die nachfolgenden Anpassungen an der Registrierung, die erforderlich sind, damit die Spectre-Patches wirksam werden. Die Änderungen an der Registry können, laut Karl, gut per GPO GPP verteilt werden (ohne Skript):

reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization” /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d “1.0” /f

reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat” /v cadca5fe-87d3-4b96-b7fb-a231484277cc /t REG_DWORD /d 0 /f

Vielleicht hilft euch die obige Übersicht etwas weiter. Einige weitere Hinweise zu bekannten Problemen in den Juli 2018-Updates finden sich ja auch in meinem Blog-Beitrag Rückblick: Microsofts Juli 2018-Patches und Sicherheitslücken.

Ähnliche Artikel
Adobe Flash Player: Update Version 30.0.0.134
Microsoft Office Patchday (3. Juli 2018)
Patchday: Windows 10-Updates 10. Juli 2018
Patchday: Updates für Windows 7/8.1/Server Juli 2018
Patchday Microsoft Office Updates (10. Juli 2018)
Microsoft Patchday: Weitere Updates zum 10. Juli 2018

Windows 7/8.1: Update-Revisionen zum 16. Juli 2018
Windows 7/8.1 Preview Rollup Updates (Juli 2018)
Windows 10: Update-Revisionen zum 16. Juli 2018

Microsoft und das Juli 2018-Patch-Desaster – Updates stoppen?

.Net Framework-Update KB4340558 fehlerhaft (Error 0x80092004)?
.NET Framework Update KB4340558 revidiert (19. Juli 2018)
.Net-Framework Update Juli 2018 zurückgezogen
.NET-Framework-Updates 30. Juli 2018 mit Fixes

Intel Microcode Updates KB4100347, KB4090007 (Juli 2018)
Windows: Stop Fehler 0xD1 im Juli 2018 Update erklärt
Zerschießt ein Juli 2018-Update die Outlook-Sofortsuche?
Windows Server 2016 und die langsame Update-Installation


Anzeige
Dieser Beitrag wurde unter Office, Sicherheit, Update, Windows abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Responses to Rückblick auf die Juli 2018 Patches für Administratoren

  1. Karl Wester-Ebbinghaus (al Qamar) sagt:

    Danke Günter. Laut deinem Blog wurde das Problem mit .Net 07-2018 am 30.07 behoben, Stand gestern gab es die gefixten Updates nicht im WSUS.

  2. techee sagt:

    Schon komisch das wir hier bei fast 2000 Clients diesmal verschont geblieben sind. In den letzten Monaten davor waren wir meist auch von den Fehlern betroffen. Diesmal scheint alles ruhig zu sein.

  3. Werbung

  4. Lala Sabathil sagt:

    Danke für die Zusammenfassung <3

  5. wufuc_MaD sagt:

    abermals fordert microsoft die nutzer also auf, nicht vertrauenswürdigen code auszuführen (powershell) um zu überprüfen ob der client die in umlauf gebrachte schiere masse an zerstörerischen “abschwächungen” auch erhalten hat, aber einfach nicht sterben will. na wenn nicht heute dann morgen. absichtlich zu patchen ist seit den “windows-sicherheitsupdates vom januar 2018” nur noch mit der freiwilligen schweinegrippe-impfung zu vergleichen, ein “kombi-präparat” war das damals, alle probanden die ich kenne die sich das gegeben haben sind heute entweder tot oder haben schwere krankheiten hinter sich (und sind dann erst gestorben), zudem macht das konservierungsmittel quecksilber ziemlich blöd! ein derart geschädigter ist “solchen” “support-artikeln” dann wirklich endgültig ausgeliefert..

    • Karl Wester-Ebbinghaus (al Qamar) sagt:

      Warum genau ist der PS Code nicht vertrauenswürdig obwohl remote signiert?
      Der Quelltext des Scripts und Moduls ist offen einsehbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.