SHA-2-Patch für Windows 7 kommt wohl im März 2019

win7[English]Kleine Information zum Wochenstart für Windows 7-Nutzer. Microsoft wird wohl im März 2019 ein kritisches Standalone-Sicherheitsupdate für Windows 7 und Windows Server 2008 / R2 veröffentlichen, welches diese Betriebssysteme für SHA-2 ertüchtigt. Hier ein paar Informationen, um was es geht und wann was genau passiert.


Anzeige

Worum geht es beim SHA-2-Thema genau?

Benutzer von Windows 7 SP1 (sowie der Server Pendants) und WSUS benötigen ab April 2019 ein spezielles Update, welches die Maschine für SHA2-Codesignaturen ertüchtigt. Ohne dieses Update können diese Maschinen keine Updates mehr verarbeiten.

Hintergrund des Ganzen ist der Umstand, dass das Signieren mit SHA-1-Hash-Werten seit einiger Zeit als nicht mehr sicher gilt. Microsoft wird daher ab Juli 2019 das Signieren von Update-Paketen mit SHA-1 und SHA-2 einstellen und nur noch mit SHA-2 signierte Updates bereitstellen. Während eine SHA-2-Unterstützung ab Windows 8.1 gegeben ist, fehlt diese in Windows 7 und Windows Server 2008 /R2.

Kunden, die Windows 7 SP1, Windows Server 2008 R2 SP1 und Windows Server 2008 SP2 (und WSUS 30. SP2) verwenden, müssen bis April 2019 die SHA-2-Code-Signierungsunterstützung auf diesen Systemen installiert haben. Windows-Systemen ohne SHA-2-Unterstützung werden ab April 2019 keine Windows-Aktualisierungen mehr angeboten.

Auf diesen Sachverhalt hatte ich im November 2018 im Blog-Beitrag Windows 7: Ab April 2019 wird ein ‘SHA-2-Update’ benötigt hingewiesen. Allerdings ist Microsoft bisher einen genaueren Fahrplan bezüglich des Updates von Windows 7 schuldig geblieben.

Im März 2019 kommt ein Sicherheitsupdate

Da die Februar 2019 Updates nichts dergleichen enthielten, bleibt also nicht mehr viel Zeit. Benutzer @abbodi86 ist nun aufgefallen, dass Microsoft seinen KB-Artikel 2019 SHA-2 Code Signing Support requirement for Windows and WSUS von November 2018 am 16. Februar 2019 um konkrete Datumsangaben erweitert hat. Hier die Details:

Target Date Event Applies To
March 12, 2019 Stand Alone updates that introduce SHA-2 code sign support will be released as security updates. Windows 7 SP1,
Windows Server 2008 R2 SP1.
March 12, 2019 Stand Alone update will be delivered to WSUS 3.0 SP2 that will support delivering SHA-2 signed updates. For those customers using WSUS 3.0 SP2, this update should be installed no later than June 18, 2019. WSUS 3.0 SP2
April 9, 2019 Stand Alone updates that introduce SHA-2 code sign support will be released as security updates. Windows Server 2008 SP2.
June 18, 2019 Windows 10 updates signatures changed from dual signed (SHA1/SHA2) to SHA2 only. No customer action is expected for this milestone. Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019
June 18, 2019 Required: For those customers using WSUS 3.0 SP2, the updates should installed by this date. WSUS 3.0 SP2
July 16, 2019 Required: Updates for legacy Windows versions will require that SHA-2 code signing support be installed. The support released in March and April will be required in order to continue to receive updates on these versions of Windows. Windows 7 SP1,
Windows Server 2008 R2 SP1,
Windows Server 2008 SP2.
July 16, 2019 Windows 10 updates signatures changed from dual signed (SHA1/SHA2) to SHA2 only. No customer action is expected for this milestone. Windows 10 1507,
Windows 10 1607,
Windows 10 1703
August 13, 2019 Contents of updates for legacy Windows versions will be SHA2 signed (embed signed binaries and catalogs). No customer action is expected for this milestone. Windows 7 SP1,
Windows Server 2008 R2 SP1,
Windows Server 2008 SP2.
September 16, 2019 Legacy Windows updates signatures  changed from dual signed (SHA1/SHA2) to SHA2 only. No customer action is expected for this milestone. Windows 7 SP1,
Windows Server 2008 R2 SP1,
Windows Server 2008 SP2,
Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2

Kunden, die WSUS 3.0 SP2 verwenden, empfiehlt Microsoft, ihre Server bis zum 18. Juni 2019 mit den SHA2-Updates für WSUS 3.0 SP2 zu aktualisieren. Nur so lässt sich sicherstellen, dass SHA2-signierte Updates verteilt werden können.

Was passiert mit neu installierten Windows 7-Systemen

Ergänzung: Es wird hier im Blog sowie in meinem heise.de-Beitrag immer wieder die Befürchtung ‘setze ich nach Juni 2019 ein neues System mit Windows 7 SP1 oder Server 2008/R2 auf, wird das keine Updates mehr bekommen’ geäußert. Der Hintergrund ist, dass ab Juli 2019 keine SHA-1-signierten Pakete mehr für Windows 7 und die Server Pendants bereitgestellt werden.


Anzeige

Aber an dieser Stelle möchte ich Entwarnung geben. Die Sachlage ist doch so, dass  alle Updates vor Juli 2019 noch eine digitale SHA1-Signatur aufweisen. Erst ab April 2019 werden erste (separate) Update-Pakete mit ausschließlich SHA-2-Signatur angeboten. Und die alten Updates, sofern nicht zurückgezogen oder ersetzt, werden ja weiter durch Microsoft auf den Update-Servern bereitgestellt. Das neu aufgesetzte System kann sich also alle Updates bis Juni 2019 ziehen (was hoffentlich klappt) und bekommt so auch den (aktuell noch nicht mit einer KB-Nummer versehenen) SHA-2-Patch. Dann können auch die Updates ab Juli 2019 bezogen werden. (via)

Falls bei einem neu aufgesetzten System keine Updates (oder erst nach langer Zeit) bei der Suche gefunden werden, hat dies andere Gründe. Ich hatte dies in zwei Blog-Beiträgen 2016 und 2018 thematisiert, siehe nachfolgende Linkliste.

Ähnliche Artikel:
Windows 7: Ab April 2019 wird ein ‘SHA-2-Update’ benötigt
Knipst der Wechsel zu SHA-2 “das Web” aus?
Windows 7: Updates werden nicht gefunden (März 2018)
Windows 7 SP1: Update-Suche zum Mai-Patchday dauert ewig

 


Anzeige
Dieser Beitrag wurde unter Update, Windows 7 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu SHA-2-Patch für Windows 7 kommt wohl im März 2019


  1. Anzeige
  2. Sebastian sagt:

    Guten Morgen zusammen,

    im alten Blog-Beitrag wurde auch WPP angesprochen.
    Hier die Mitteilung vom Entwickler:

    Hi Sebastian, if you are using your own code signing certificate, you have to ensure it is from SHA-2 family. If you are using a self-signed certificate issued by WPP it is using the SHA-512 algorithm, so it is compatible with SHA-2.

    WPP work well on Windows Server 2016, let me know if you encounter any issue.

    But, it should be fine.

    Cordialement, Kind regards,

    David COURTEL

    ##

    Somit sollte das zumindest auch laufen

    Schöne WOche

    Sebastian

  3. 1ST1 sagt:

    Das ist sicher vor allem wichtig zu wissen, wenn man nach April nochmal ein Win 7 installieren will/muss. Den Rechner bekommt man dann ja garnicht mehr gepatcht, wenn man nicht wenigstens den SHA-2-Patch manuell installiert. Das finde ich etwas unglücklich.

  4. Anzeige

  5. woodpeaker sagt:

    Warum ergreift mich bei der Nachricht schon wieder die Panik?
    Das bekommen die doch beim ersten Anlauf nicht hin, auch nicht beim zweiten oder dritten. Beispiele dafür hat MS in letzter Zeit schon genügend abgeliefert.

    • Günter Born sagt:

      Nun ja, ich bin nun nicht der Herr Microsoft – kann also nur aus der Lameng antworten. SHA-2-Unterstützung gibt es an vielen Stellen in Windows. Das von dir zitierte Update KB3033929 bezieht sich auf den SHA-2-Support an sich, der in Browsern und Web-Anwendungen für https-Verbindungen genutzt werden kann – schätze ich mal.

      Wir reden im obigen Artikel aber über die Fähigkeit des Windows Update Clients, SHA-2-Signaturen in Update-Paketen zu erkennen und zu verifizieren. Das wird nicht dadurch passieren, dass Microsoft irgendwo in der API die grundsätzliche Unterstützung für SHA-2 bereitstellt. Ich schätze, dass da in irgendwelchen DLLs hard-coded ist, wie die digitale Signatur von Updates-Paketen auszuwerten ist. Und dort muss das durch das kommende Update geändert werden. Aber das ist nur meine Interpretation.

  6. Micha sagt:

    Bei Windows XP hatte man Windows Update Agent Probleme damals relativ einfach gelöst. Es gab die “windowsupdateagent30-x86.exe” Dieses Update hat dazu geführt das der Updateagent Aktualisiert wurde. Danach hat Update suche eigentlich immer Funktioniert.

    Wenn Microsoft Update Probleme unterbinden möchte sollten sie ein Stand alone Paket herausbringen das als einzige Voraussetzung ein Installiertes Windows 7 benötigt. Dieses sollte dann den Updateagent wie zu Windows XP Zeiten auf den aktuellen Zustand bringen.

  7. Ralf Grunewald sagt:

    Hallo,
    soweit ich das verstehe, ist der SHA-2-Patch da: KB 4490628
    [ https://support.microsoft.com/de-de/help/4490628/servicing-stack-update-for-windows-7-sp1-and-windows-server-2008-r2 ]
    Und vielen vielen Dank für Ihre tolle Arbeit; ich schaue hier öfter ‘rein und werde das auch in Zukunft tun :-)
    Viele Grüße aus Berlin
    R. Grunewald

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.