Цепочка выглядит как KB978338 - KB978886 - KB2563894 - KB2588516 (самая новая). Все четыре обновления одобрены на нашем сервере WSUS. KB978338 указан как неприменимый на всех машинах, так как он был заменен. Такого поведения я и ожидал. Однако наш отдел безопасности сообщает, что KB978338 по-прежнему следует устанавливать на всех машинах, поскольку его фактический эффект не воспроизводится ни одним из последующих обновлений. Вот анализ, который мне прислали:
KB978886 относится только к Vista SP1. При развертывании пакета обновления 2 (SP2) уязвимость ISATAP не была устранена, и она была повторно представлена.
KB2563894 обновляет только два файла (Tcpip.sys и Tcpipreg.sys). Он не обновляет 12 других затронутых ISATAP, UDP и NUD файлов .sys и .dll. (MS11-064)
KB2588516 адресует искаженное непрерывное переполнение UDP-пакета. Но не относится к файлам NUD и TCP, связанным с ISATAP .sys и .dll. (MS11-083)
Так что да, много уязвимостей IP. Но каждый КБ решает определенные проблемы, которые не передаются другим КБ.
Мы можем установить KB978338, вручную запустив файл .MSU, но мы не уверены, что это приведет к перезаписи пары файлов, которые будут обновлены более поздними исправлениями, поскольку мы будем устанавливать исправление не по порядку.
Верен ли приведенный выше анализ? Неправильно ли определена цепочка замещения? Если это так, как правильно сообщить об этом, чтобы соответствующая команда Microsoft могла его изменить? В настоящее время мы используем 32- и 64-разрядные версии Vista SP2.
Примечание: я должен упомянуть, что я опубликовал это на Technet также. Я буду обновлять его вместе с любой полученной информацией.
Проверьте версии этих файлов в одной из систем, которые система безопасности показывает как требующие KB978338.
Bfe.dll
Fwpkclnt.sys
Fwpuclnt.dll
Ikeext.dll
Iphlpsvc.dll Netio.sys
Netiomig.dll
Netiougc.exe
Tcpip.sys
Tcpipcfg.dll
Tcpipreg.sys
Tunmp.sys
Tunnel.sys
Иногда обнаружение может быть затруднено из-за того, что один или несколько файлов находятся в другой «ветви», чем обычные обновления безопасности. Файлы в этом пакете, в частности, из-за основного характера и большого количества затронутых файлов, также являются предметом многих других исправлений ветки QFE.
Обновления безопасности обычно находятся в так называемой ветви General Distribution Release (GDR). Исправления, предназначенные для решения конкретных проблем, находятся в так называемой ветви Quick-Fix Engineering (QFE), также известной как Limited Distribution Release (LDR). Файлы QFE обычно включают исправления GDR, но исправления GDR могут не включать исправления QFE. Файлы обычно повторно сходятся во время пакета обновления. (Большинство общедоступных исправлений QFE, прошедших полное тестирование, обычно включаются в следующий пакет обновления).
Если какой-либо из этих файлов попал в ветку QFE, возможно, в нем уже есть необходимое исправление. В большинстве случаев обнаружение работает хорошо, и обновления безопасности обычно содержат файлы для обеих веток, если у вас есть один или несколько файлов в ветке QFE. Обычно обновляется несколько версий каждого файла, в зависимости от количества пакетов обновления, доступных для продукта. Вот почему для KB978338 имеется шесть различных версий tcpip.sys. 6.0.6000.17021, 6.0.6000.21226, 6.0.6001.18427, 6.0.6001.22636, 6.0.6002.18209 и 6.0.6002.22341.
Больше информации:
http://blogs.technet.com/b/mrsnrub/archive/2009/05/14/gdr-qfe-ldr-wth.aspx
Похоже, что цепочка действительно облажалась (она продолжается, 978338 заменяет 974112) - в то время как единственное реальное отношение замены, которое отмечено в КБ, - это 2588516 вместо 2563894.
Однако системы все равно должны определять, требуется ли им обновление, которое было заменено. Если они не обнаруживают, возможно, они уже установили обновление - возможно, с версией того же патча SP1, так что системные файлы уже имеют правильные версии, но обновление Vista SP2 не отображается как установленное?
Или замененные обновления отклоняются? Это тоже предотвратит обнаружение.
Отображаются ли замененные обновления в разделе «Добавить / удалить» при отображении установленных обновлений? И что происходит, когда вы запускаете ручную проверку серверов Windows Update вместо WSUS, появляются ли они по мере необходимости?
Это тоже вызвало у нас некоторое замешательство. Если вы просто отметите столбец «Заменить», вы увидите, что для не-XP отображается индикатор «заменено другим, заменяет другие». Однако, проверив сами сведения об обновлении, вы увидите, что в поле «Обновления, заменяющие это обновление» есть запись «Нет». Это заставляет меня полагать, что приведенная выше информация, что некоторые файлы для этого патча обновляются более новыми патчами, но не ВСЕ они, это стоит за этой проблемой. Возможно, Microsoft необходимо изменить категорию этого патча или выпустить Roll-Up, включающий файлы из всех 4.