Августовские обновления Windows требуют тщательного предварительно тестирования перед развёртыванием

August Windows Updates may cause problemsПоявившиеся в службе Windows Update и WSUS в начале этой недели Августовские кумулятивные обновления Windows нацелены на повышение уровня безопасности ОС и, в частности, исправляют проблему безопасности при работе с протоколом RDP, которую уже успели окрестить "BlueKeep-2". Однако, следует внимательно подходить к вопросу предварительного тестирования данных обновлений, чтобы не создать себе дополнительных проблем.

Получить информацию о выпущенных обновлениях и затрагиваемых проблемой с RDS системах можно из бюллетеней безопасности:

Как и в случае с ранее описанным Майским бюллетенем безопасности CVE-2019-0708, в качестве дополнительных мер безопасности рекомендуется:

  • Включить поддержку аутентификации на уровне сети Network Level Authentication (NLA) на тех системах, где это поддерживается (включение NLA не отменяет необходимости установки обновлений);
  • Заблокировать доступ из внешних сетей по порту TCP 3389 до полного устранения уязвимости;
  • Отключить службы удалённых рабочих столов Terminal Services/Remote Desktop Services на системах, где нет необходимости в использовании протокола RDP, либо на системах, где по каким-либо причинам невозможна установка выше обозначенных обновлений.

Администраторы, распространяющие обновления через внутренний WSUS-сервер, перед развёртыванием обновлений на продуктивную группу компьютеров, как правило, выполняют цикл предварительного тестирования на выделенной группе компьютеров. И в случае предварительного тестирования Августовских обновлений стоит проявить особое внимание тем администраторам, которые имеют в своей инфраструктуре какие-либо задачи и приложения с применением Visual Basic.

Например, если говорить применительно к модным Windows 10 1903 и Windows Server 1903, то согласно документа Version 1903 - Known issues and notifications, а также примечаний к обновлению KB4512508, после установки обновления:

  • Приложения, использующие Visual Basic 6 (VB6);
  • Макросы, использующие Visual Basic for Applications (VBA);
  • Скрипты или приложения, использующие VBScript

могут перестать работать с ошибкой "invalid procedure call error". Полный список затрагиваемых этой проблемой систем можно найти, например, здесь.

В данной ситуации администраторам ещё на этапе тестирования обновлений, как минимум, следует проверить корректность работы старых logon-скриптов, использующих VBScript.

Помимо этого, стало известно о проблеме сосуществования продуктов Symantec c Августовскими обновлениями на системах с Windows 7 и Windows Server 2008 R2. Подробности можно найти в статье TECH255857 - Windows 7/Windows 2008 R2 updates that are only SHA-2 signed are not available with Symantec Endpoint Protection installed. Компания Symantec готовит к выпуску патчи к своим продуктам, которые должны исправить проблему невозможности установки Августовских обновлений на Windows 7 и Windows Server 2008 R2.

Не менее интересную информацию о проблемах, с которыми столкнулись граждане после развёртывания Августовских обновлений Windows, можно найти в ветке обсуждения Patch Tuesday Megathread (2019-08-13).

Всего комментариев: 2 Комментировать

  1. Алексей Максимов / Автор записи

    Symantec выкатил решение проблемы с клиентами Windows 7/ Windows Server 2008 R2 https://support.symantec.com/us/en/article.tech255857.html

  2. Евгений /

    а по приложениям с VB никаких решений нет, только не устанавливать критические KB?

Добавить комментарий