WSUS KB978338 Cadeia de Supersessão Incorreta?

Navegue suas respostas
2

A cadeia parece ser de KB978338 a KB978886 de KB2563894 a KB2588516 (mais recente). Todas essas quatro atualizações são aprovadas em nosso servidor WSUS. KB978338 é listado como Não Aplicável em todas as máquinas, porque foi substituído. Esse é o comportamento que eu esperaria. No entanto, nosso departamento de segurança está relatando que o KB978338 ainda deve estar instalado em todas as máquinas, porque o seu efeito real não é replicado por nenhuma das atualizações que o seguem. Aqui está a análise que me foi enviada:

KB978886 applies to Vista SP1 only. The rollout of SP2 did not address the ISATAP vulnerability and reintroduces it.

KB2563894 only updates two files (Tcpip.sys and Tcpipreg.sys). It does not update the 12 other affected ISATAP, UDP, and NUD .sys and .dll files. (MS11-064)

KB2588516 addresses malformed continuous UDP packet overflow. But does not address the ISATAP related NUD and TCP .sys and .dll files. (MS11-083)

So yes, many IP vulnerabilities. But each KB addresses specific issues that do not cross over to other KBs.

Podemos instalar o KB978338 executando manualmente o arquivo .MSU, mas não temos certeza se isso substituirá os arquivos atualizados que serão atualizados por patches posteriores, já que estaríamos instalando o patch fora de ordem.

A análise acima está correta? A cadeia de superação é definida incorretamente? Se for, qual é a maneira correta de denunciá-lo para que possa ser alterado pela equipe correta da Microsoft? Atualmente, estamos usando instalações de 32 bits e 64 bits do Vista SP2.

Observação: devo mencionar que eu postou este no Technet também. Vou manter isso em dia com qualquer informação que eu chegar lá.

    
por Kasius 21.11.2011 / 16:06

3 respostas

1

Verifique as versões desses arquivos em um dos sistemas que a segurança está mostrando como precisando de KB978338.

Bfe.dll
Fwpkclnt.sys
Fwpuclnt.dll
Ikeext.dll
Iphlpsvc.dll Netio.sys
Netiomig.dll
Netiougc.exe
Tcpip.sys
Tcpipcfg.dll
Tcpipreg.sys
Tunmp.sys
Tunnel.sys

Às vezes, a detecção pode ser aumentada por um ou mais dos arquivos que estão em uma "ramificação" diferente das atualizações de segurança comuns. Os arquivos neste pacote em particular, devido à natureza principal e ao grande número de arquivos afetados, também são assunto de muitos outros hotfixes de ramificação do QFE.

As atualizações de segurança geralmente estão no que é conhecido como ramificação General Distribution Release (GDR). Os hotfixes que tratam de problemas específicos estão no que é conhecido como ramificação Quick-Fix Engineering (QFE), também conhecida como Limited Distribution Release (LDR). Geralmente, os arquivos QFE incluem correções de GDR, mas as correções de GDR podem não incluir correções de QFE. Os arquivos geralmente convergem novamente no tempo do service pack. (A maioria dos hotfixes QFE públicos que passaram no teste completo geralmente são incluídos no próximo service pack).

Se algum desses arquivos entrar na ramificação QFE, talvez já tenha a correção necessária. Na maioria das vezes, a detecção funciona bem e as atualizações de segurança geralmente têm arquivos para ambas as ramificações, caso você tenha um ou mais arquivos na ramificação QFE. Normalmente, há várias versões de cada arquivo atualizadas, dependendo do número de service packs disponíveis para o produto. Para KB978338, é por isso que existem seis versões diferentes do tcpip.sys incluídas. 6.0.6000.17021, 6.0.6000.21226, 6.0.6001.18427, 6.0.6001.22636, 6.0.6002.18209 e 6.0.6002.22341.

Mais informações:

link

    
por 21.11.2011 / 20:13
0

Parece que a cadeia está realmente estragada (continua, 978338 substitui 974112) - enquanto a única relação real de substituição que é observada nos KBs é 2588516, substituindo 2563894.

No entanto, os sistemas ainda devem detectar se precisam de uma atualização que tenha sido substituída. Se eles não estiverem detectando, eles podem já ter a atualização instalada - talvez com a versão SP1 do mesmo patch, para que os arquivos do sistema já sejam as versões corretas, mas a atualização do Vista SP2 não aparece como instalada?

Ou as atualizações substituídas são recusadas? Isso impediria a detecção também.

As atualizações substituídas aparecem em Adicionar / Remover quando você exibe as atualizações instaladas? E o que acontece quando você executa uma verificação manual contra os servidores do Windows Update em vez do seu WSUS, eles aparecem conforme necessário?

    
por 21.11.2011 / 18:03
0

Este causou alguma confusão para nós também. Se você apenas marcar a coluna Supersedence, verá que os não XP exibem o indicador "substituído por outro, substitui o outro". No entanto, ao verificar os detalhes da atualização, você verá que as "Atualizações substituindo esta atualização" têm uma entrada "Nenhum". Isso me leva a acreditar que as informações acima, que alguns arquivos para este patch são atualizados por patches mais recentes, mas nem todos eles, por trás desta questão. Talvez a Microsoft precise recategorizar esse patch ou lançar um Roll-Up incluindo arquivos de todos os quatro.

    
por 20.03.2012 / 15:49

Tags

Contando tráfego para o endereço MAC de destino usando ebtables / iptables Monitoramento por processo do Cacti