A cadeia parece ser KB978338 a KB978886 a KB2563894 a KB2588516 (mais recente). Todas essas quatro atualizações são aprovadas em nosso servidor WSUS. KB978338 está listado como Não aplicável em todas as máquinas porque foi substituído. Este é o comportamento que eu esperaria. No entanto, nosso escritório de segurança informa que o KB978338 ainda deve ser instalado em todas as máquinas porque seu efeito real não é replicado por nenhuma das atualizações que o seguem. Aqui está a análise que me foi enviada:
KB978886 aplica-se apenas ao Vista SP1. A implementação do SP2 não resolveu a vulnerabilidade ISATAP e a reintroduziu.
KB2563894 atualiza apenas dois arquivos (Tcpip.sys e Tcpipreg.sys). Ele não atualiza os outros 12 arquivos ISATAP, UDP e NUD .sys e .dll afetados. (MS11-064)
KB2588516 aborda estouro de pacote UDP contínuo malformado. Mas não aborda os arquivos NUD e TCP .sys e .dll relacionados ao ISATAP. (MS11-083)
Então, sim, muitas vulnerabilidades de IP. Mas cada KB aborda problemas específicos que não são transmitidos a outras KBs.
Podemos instalar o KB978338 executando manualmente o arquivo .MSU, mas não temos certeza se isso substituirá os dois arquivos que são atualizados por patches posteriores, já que estaríamos instalando o patch fora de ordem.
A análise acima está correta? A cadeia de substituição está definida incorretamente? Em caso afirmativo, qual é a maneira correta de relatá-lo para que possa ser alterado pela equipe correta da Microsoft? Atualmente estamos usando instalações de 32 e 64 bits do Vista SP2.
Nota: devo mencionar quepostou isso no Technettambém. Manterei isso atualizado com qualquer informação que conseguir por lá.
Responder1
Verifique as versões desses arquivos em um dos sistemas que a segurança mostra como necessitando do KB978338.
Bfe.dll
Fwpkclnt.sys
Fwpuclnt.dll
Ikeext.dll
Iphlpsvc.dll Netio.sys
Netiomig.dll
Netiougc.exe
Tcpip.sys
Tcpipcfg.dll
Tcpipreg.sys
Tunmp.sys
Tunnel.sys
Às vezes, a detecção pode ser prejudicada por um ou mais arquivos estarem em uma "ramificação" diferente das atualizações de segurança típicas. Os arquivos neste pacote em particular, devido à natureza central e ao grande número de arquivos afetados, também são objeto de muitos outros hotfixes de ramificação do QFE.
As atualizações de segurança geralmente estão no ramo conhecido como General Distribution Release (GDR). Os hotfixes que abordam problemas específicos estão no ramo conhecido como Quick-Fix Engineering (QFE), também conhecido como Limited Distribution Release (LDR). Os arquivos QFE geralmente incluem correções GDR, mas as correções GDR podem não incluir correções QFE. Os arquivos normalmente convergem novamente no momento do service pack. (A maioria dos hotfixes QFE públicos que passaram nos testes completos geralmente são incluídos no próximo service pack).
Se algum desses arquivos estiver na ramificação QFE, ele já pode ter a correção necessária. Na maioria das vezes a detecção funciona bem, e as atualizações de segurança geralmente possuem arquivos para ambas as ramificações, caso você tenha um ou mais arquivos na ramificação QFE. Normalmente há diversas versões de cada arquivo atualizadas, dependendo do número de service packs disponíveis para o produto. Para KB978338, é por isso que existem seis versões diferentes de tcpip.sys incluídas. 6.0.6000.17021, 6.0.6000.21226, 6.0.6001.18427, 6.0.6001.22636, 6.0.6002.18209 e 6.0.6002.22341.
Mais Informações:
http://blogs.technet.com/b/mrsnrub/archive/2009/05/14/gdr-qfe-ldr-wth.aspx
Responder2
Parece que a cadeia está realmente complicada (ela continua, 978338 substitui 974112) - enquanto o único relacionamento de substituição real observado nas KBs é 2588516 substituindo 2563894.
No entanto, os sistemas ainda devem detectar se precisam de uma atualização que foi substituída. Se não estiverem detectando, talvez já tenham a atualização instalada - talvez com a versão SP1 do mesmo patch, de modo que os arquivos do sistema já sejam as versões corretas, mas a atualização do Vista SP2 não apareça como instalada?
Ou as atualizações substituídas foram recusadas? Isso também impediria a detecção.
As atualizações substituídas aparecem em adicionar/remover quando você mostra as atualizações instaladas? E o que acontece quando você executa uma verificação manual nos servidores do Windows Update em vez do WSUS. Eles aparecem conforme necessário?
Responder3
Este também causou alguma confusão para nós. Se você apenas verificar a coluna Supersedence, verá que os não-XP mostram o indicador “substituído por outro, substitui outros”. No entanto, verificando os próprios detalhes da atualização, você verá que "Atualizações que substituem esta atualização" tem uma entrada "Nenhum". Isso me leva a acreditar que as informações acima, que alguns arquivos deste patch são atualizados por patches mais recentes, mas não TODOS eles, estão por trás desse problema. Talvez a Microsoft precise recategorizar este patch ou lançar um Roll-Up incluindo arquivos de todos os 4.