Windows Server 2022 Standard me provoca fallas en el módulo HTTP que reinicia mi servidor. Necesito ayuda para localizar el problema exacto. ¿Cómo?

tag-icon tag-icon windows http server-crashes windows-server-2022 crash
Windows Server 2022 Standard me provoca fallas en el módulo HTTP que reinicia mi servidor. Necesito ayuda para localizar el problema exacto. ¿Cómo?

No sé si esto es un problema con la memoria del servidor, uno de mis SSD o algo relacionado con el software. El accidente ha ocurrido más de 4 veces en los últimos meses.

Necesito ayuda para descubrir cómo evitar que esto suceda lo antes posible. ¿Algunas ideas?

Aquí está el seguimiento de la pila:

SYSTEM_THREAD_EXCEPTION_NOT_HANDLED (7e)
This is a very common BugCheck.  Usually the exception address pinpoints
the driver/function that caused the problem.  Always note this address
as well as the link date of the driver/image that contains this address.
Arguments:
Arg1: ffffffffc0000005, The exception code that was not handled
Arg2: fffff8029ea8ba7b, The address that the exception occurred at
Arg3: ffff928ac148b858, Exception Record Address
Arg4: ffff928ac148b070, Context Record Address


KEY_VALUES_STRING: 1

    Key  : AV.Fault
    Value: Read

    Key  : Analysis.CPU.mSec
    Value: 3936

    Key  : Analysis.DebugAnalysisManager
    Value: Create

    Key  : Analysis.Elapsed.mSec
    Value: 3841

    Key  : Analysis.Init.CPU.mSec
    Value: 17968

    Key  : Analysis.Init.Elapsed.mSec
    Value: 585841

    Key  : Analysis.Memory.CommitPeak.Mb
    Value: 130

    Key  : WER.OS.Branch
    Value: fe_release_svc_prod2

    Key  : WER.OS.Timestamp
    Value: 2022-07-07T18:32:00Z

    Key  : WER.OS.Version
    Value: 10.0.20348.859


FILE_IN_CAB:  MEMORY.DMP

DUMP_FILE_ATTRIBUTES: 0x1000

BUGCHECK_CODE:  7e

BUGCHECK_P1: ffffffffc0000005

BUGCHECK_P2: fffff8029ea8ba7b

BUGCHECK_P3: ffff928ac148b858

BUGCHECK_P4: ffff928ac148b070

EXCEPTION_RECORD:  ffff928ac148b858 -- (.exr 0xffff928ac148b858)
ExceptionAddress: fffff8029ea8ba7b (HTTP!UlpGetSendCacheDataSize+0x0000000000000017)
   ExceptionCode: c0000005 (Access violation)
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 0000000000000000
   Parameter[1]: ffffffffffffffff
Attempt to read from address ffffffffffffffff

CONTEXT:  ffff928ac148b070 -- (.cxr 0xffff928ac148b070)
rax=0000000000000000 rbx=ffff80009068ed98 rcx=3a22707061222020
rdx=0000000000000000 rsi=ffffc38e63d74840 rdi=ffffc38e6414b030
rip=fffff8029ea8ba7b rsp=ffff928ac148ba98 rbp=ffff928ac148bb20
 r8=0000000000000001  r9=00000000ffffffff r10=fffff80276af8d60
r11=ffff928ac148ba70 r12=0000000000000000 r13=ffffc38e6414b010
r14=ffffc38e63d748b0 r15=ffffc38e623aba80
iopl=0         nv up ei pl nz na pe nc
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00010202
HTTP!UlpGetSendCacheDataSize+0x17:
fffff802`9ea8ba7b 8b4128          mov     eax,dword ptr [rcx+28h] ds:002b:3a227070`61222048=????????
Resetting default scope

BLACKBOXBSD: 1 (!blackboxbsd)


BLACKBOXNTFS: 1 (!blackboxntfs)


BLACKBOXPNP: 1 (!blackboxpnp)


BLACKBOXWINLOGON: 1

PROCESS_NAME:  System

READ_ADDRESS:  ffffffffffffffff 

ERROR_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s.

EXCEPTION_CODE_STR:  c0000005

EXCEPTION_PARAMETER1:  0000000000000000

EXCEPTION_PARAMETER2:  ffffffffffffffff

EXCEPTION_STR:  0xc0000005

STACK_TEXT:  
ffff928a`c148ba98 fffff802`9eb57402     : 00000000`00000001 ffffc38e`66bc0710 ffffc38e`646e6780 fffff802`76a3162f : HTTP!UlpGetSendCacheDataSize+0x17
ffff928a`c148baa0 fffff802`9eb2e012     : fffff802`9eb57301 fffff802`9eb33901 00000000`00000001 fffff802`9eb57380 : HTTP!UlSendCacheEntryWorker+0x82
ffff928a`c148bb60 fffff802`76b69f15     : ffffc38e`63d748b0 fffff802`9eafe580 00000000`00000480 00000000`00000000 : HTTP!UlpThreadPoolWorker+0x112
ffff928a`c148bbf0 fffff802`76c24488     : ffffad81`4ca40180 ffffc38e`646e6080 fffff802`76b69ec0 00000000`00000000 : nt!PspSystemThreadStartup+0x55
ffff928a`c148bc40 00000000`00000000     : ffff928a`c148c000 ffff928a`c1486000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x28


SYMBOL_NAME:  HTTP!UlpGetSendCacheDataSize+17

MODULE_NAME: HTTP

IMAGE_NAME:  HTTP.sys

STACK_COMMAND:  .cxr 0xffff928ac148b070 ; kb

BUCKET_ID_FUNC_OFFSET:  17

FAILURE_BUCKET_ID:  AV_HTTP!UlpGetSendCacheDataSize

OS_VERSION:  10.0.20348.859

BUILDLAB_STR:  fe_release_svc_prod2

OSPLATFORM_TYPE:  x64

OSNAME:  Windows 10

FAILURE_ID_HASH:  {640925e0-41aa-2deb-fe92-17674389e426}

Followup:     MachineOwner
---------

Respuesta1

Es casi seguro que esto esté relacionado con una actualización; no eres ni mucho menos el único que la tiene.https://learn.microsoft.com/en-us/answers/questions/1185893/windows-server-2022-standard-(21h2-20348-1547)-cra

SI tuviera que adivinar (no ejecuto un ENV comparable para probar)https://learn.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-034es probable por donde empezar

O

Su sistema NO contiene este parche y la naturaleza del CVEhttps://nvd.nist.gov/vuln/detail/CVE-2015-1635Esto podría indicar que alguien está INTENTANDO activamente explotar el sistema. El hecho de que otros empezaron a recibir el error.antesel parche de abril tiende a favorecer esta teoría. ¡Al igual que una violación de acceso en una operación de memoria!

SI la actualización está presente, retrocedería y vería si eso ayuda (consideraría otra mitigación si es posible, y recuerde que esto es un RCE).

Si ESTÁ presente, realice una captura de paquetes del sistema afectado, si es posible, y correlacione el tráfico real al servidor web con el caso de falla. No sería el primer parche que no elimina por completo un error que conduce a otra variante o que genera inestabilidad debido a un parche incompleto. Lleve los resultados a MS y déjeles que los revisen para asegurarse de que el parche sea correcto.

información relacionada