SIGRed-Patch KB4565524: Installation scheitert unter Windows Server 2008 R2

Windows Update[English]Microsoft hat zum 14. Juli 2020 das Update KB4565524 für Windows Server 2008 R2 freigegeben. Das Update soll unter anderem die kritische SIGRed-Schwachstelle im Windows DNS-Server schließen. Benutzer berichten aber, dass die Update-Installation mit dem Fehlercode 0x80070661 scheitert.


Anzeige

Die SIGRed-Schwachstelle

Im Code des Windows DNS Server existiert seit 17 Jahren ein Bug, der zu einer  kritischen Schwachstelle führt. Die per Wurm ausnutzbare Schwachstelle könnte ausgenutzt werden, um Domain-Administrator-Privilegien zu erlangen und die gesamte dahinter liegende Unternehmensinfrastruktur zu gefährden.

Betroffen sind Windows Server 2003 bis hin zum aktuellen Windows Server 2019. Ich hatte im Beitrag Kritisches Update für SigRed Bug im Windows DNS Server ausgiebig über die SIGRed-Schwachstelle berichtet. Das CISA warnt US-Admins, die Schwachstelle schnell zu patchen (CISA warnt Admins: SIGRed Windows DNS Server patchen). Microsoft hat Updates zum Schließen der Schwachstelle freigegeben.

Update KB4565524 für Windows Server 2008 R2

Das Update KB4565524 steht auch für Windows Server 2008 R2 zur Verfügung. Es wird dort zwar nicht explizit erwähnt, aber neben diversen Fixes schließt dieses Update die SIGRed-Schwachstelle.

Update KB4565524 nicht installierbar

In diesem Kommentar weist Brian Hampson  darauf hin, dass das Update KB4565524 sich unter Windows Server 2008 nicht installieren lasse.

he July patch for 2008R2 won't apply. It reverts after install. 0x80070661 – wrong architecture.

Hampson weist auf diesen Thread bei reddit.com hin, wo das Problem auch erläutert wird. Ein Betroffener schreibt:

Anyone having issue installing the patch for the new CVE? windows 2008R2

So i installed the SSU for 2008R2 KB4562030

Rebooted even though it wasn't required

Then installed the KB4565524

Rebooted as asked and now it goes to Failure Windows update reverting update.

This happened on 3 different Windows 2008R2 machines

and strangely nothing in the WU logs or event viewer

Anyone got that issue?

Er bekommt das Update also nicht unter Windows Server 2008 R2 installiert. Das Update dürfte den Fehlercode 0x80070661 – wrong architecture angezeigt bekommen.

Die Ursache: Fehlende ESU-Lizenz

Ich habe in diesem Kommentar die Ursache für die krude Fehlermeldung benannt. System mit Windows Server 2008 R2 , die keine ESU-Lizenz  besitzen, sind von der Update-Installation ausgeschlossen. Ohne eine ESU-Lizenz schlagen alle Update-Installationen fehl und ein Rollback wird eingeleitet. Das Problem, soweit ich es herausgefunden habe: Es war für Kunden ohne Volumenlizenz-Abonnements oder E3-Pläne nahezu unmöglich, eine ESU-Lizenz zu erhalten – ich kenne bisher keine Lösung.


Anzeige

Die (inoffizielle) BypassESU-Lösung, die von einigen Windows 7-Anwendern verwendet wird, ist keine Option für Windows Server 2008 R2-Systeme (imho, wegen vieler Kollateralschäden). Mein Tipp wäre, einen Blick auf folgenden Blog-Beitrag zu werfen (Windows Server 2008 R2: 0patch fixt SIGRed-Schwachstelle. Dort wird eine Lösung   von Acros Security beschrieben, die für kleines Geld die Systeme auch ohne ESU-Lizenz vor Schwachstellen schützt.

Ähnliche Artikel:
Kritisches Update für SigRed Bug im Windows DNS Server
CISA warnt Admins: SIGRed Windows DNS Server patchen
Windows Server 2008 R2: 0patch fixt SIGRed-Schwachstelle


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Problemlösung, Sicherheit, Update, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu SIGRed-Patch KB4565524: Installation scheitert unter Windows Server 2008 R2

  1. Robert Richter sagt:

    Hallo Herr Born,

    es reicht doch der viel beschriebene Registry-Fix, damit man einen 2008R2 Server ohne ESU Lizenz bzgl. des DNS-Bugs sicher bekommt, oder? Ich verstehe daher das Problem des Users nicht, warum man versucht -ohne ESU-Lizenz- den monthly rollup einzuspielen.

    Noch eine Frage: Sie schreiben bzgl. der Bypass-ESU, dass man diese nicht auf den Server wg. vieler Kollateralschäden einspielen sollte. Wie sicher ist denn die ganze 0patch Geschichte? Wenn am System lauter Micropatches (ohne Absegnung von MS) eingespielt werden, wie stabil ist denn dann das System, noch dazu wenn Active Directory und andere Server-Komponenten zum Einsatz kommen? Dann hat man vielleicht andere Bugs (u.a. im AD) und weiss nicht, wie das passiert ist.

  2. Thomas sagt:

    "es reicht doch der viel beschriebene Registry-Fix, damit man einen 2008R2 Server ohne ESU Lizenz bzgl. des DNS-Bugs sicher bekommt, oder?"
    Das würde mich auch interessieren, da bin ich nicht ganz schlau draus geworden.

  3. Mich sagt:

    Ohne ESU Lizenz scheitert KB4565524.
    Aber KB4565539 nicht !
    Siehe CVE-2020-1350
    KB4565524 Monthly Rollup
    KB4565539 Security Only
    Getestet mit Windows 7 x64 & Server 2008 R2

    • Robert Richter sagt:

      Habe noch keinen Artikel im Netz gefunden, der sagt, dass KB4565539 ohne ESU funktionieren würde. Überall wird bei KB4565539 auf ESU verwiesen.
      …oder hattest Du einfach nur Glück ;-) ?

  4. Robert Richter sagt:

    Hab' ich mir's doch gedacht -> GEHT NICHT OHNE ESU!!
    Habe KB4565539 bei mir in einer meiner Domain-Controller-Test-Umgebungen installiert (musste erst das neueste SSU reinpacken, damit der PC überhaupt wollte) und nach dem Reboot macht das System die Installation RÜCKGÄNGIG, wenn kein ESU vorhanden ist.
    Könnt Euch also die Arbeit sparen, ich hab's getestet!!
    Die Behauptung, dass KB4565539 ohne ESU geht, ist schlichtweg falsch!
    So, ich geh dann mal meine VM rücksichern ;-) …

  5. Robert Richter sagt:

    Was mich auch noch interessieren würde: sind 2008 R2 Server, die seit Januar 2020 keine Updates mehr bekommen haben, also nicht im ESU Programm sind, mit dem Registry Fix "TcpReceivePacketSize" sicher? …oder setzt dieser Registry Eintrag ein Minimum Patch Level (nach Jan 2020) voraus?
    Habe leider keinen Test gefunden, mit dem man die Lücke (sicher) testen kann.

  6. Klaus sagt:

    Was viele hier vergessen/übersehen, wenn sie vom "Registry-Fix" reden: Das ist kein Fix, sondern ein Workaround, der einfach die zulässige Paketgröße für Antworten begrenzt. Hat dann laut Microsoft die folgende Auswirkung:

    "Nach der Implementierung dieser Problemumgehung kann ein Windows-DNS-Server für seine Clients keine DNS-Namen mehr auflösen, wenn die DNS-Antwort vom Upstreamserver größer als 65.280 Byte ist."

    Also ja, auch ohne ESU und das Update sind DNS-Server unter 2008 R2 mit dem Registry Eintrag abgesichert, können allerdings manche Anfragen nicht mehr verarbeiten bzw. liefern einfach kein Ergebnis zurück.

    • Robert Richter sagt:

      MS sagt doch selbst, dass deren Produkte damit klarkommen und für DNS-Anfragen nach draussen ins Netz braucht man diese Server ja nicht, da sicherlich andere Server inzwischen auch in den Firmen-Netzen sein dürften (2012R2/2016/2019) für die es ja Patches gibt; die können dann die Clients bedienen.
      Was ich bei MS unverständlich finde ist, dass viele Unternehmen gerne bereit wären, das ESU Programm zu nutzen und dafür gerne viel bezahlen würden, aber die Latte für das Server ESU sehr hoch gelegt wurde, sodass viele Unternehmen dies nicht beziehen können.
      AUSSERDEM, wenn so ein grasser Bug mit Wurm-Potential besteht, dann könnte ja man mal auch von sich aus so einen Patch gratis rausgeben. SO würde Kunden-Zufriedenheit gehen! Und MS würde sich dabei nix abbrechen, sondern helfen, eine grosse Gefahr für das Netz abzuwenden.
      Noch etwas zum Thema 0patch. Ich habe von diesem Unternehmen leider nicht viel gehört, bzw. sehe ich da keine Kunden-Referenz-Liste im Netz, wo wenigstens 1 grosses bekanntes Unternehmen bei denen Kunde ist.
      Vielleicht weiss ja Hr. Born diesbzgl. besser Bescheid? Denn ich habe von 0patch zum ersten Mal hier in diesem Blog gelesen, vorher kannte ich die gar nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.