Hivatalos: elmarad a Microsoft februári frissítése
Az összes biztonsági frissítés kiadását csúsztatja a Microsoft, köztük egy kritikus SMB-javítás is lehet. Változott a rendszer, zavar az erőben.
Meghatározatlan ideig eltolja a 2017 februári rendszeres biztonsági frissítések kiadását a Microsoft. A magyarázat nélküli, utolsó pillanatban közzétett közlemény szerint valamilyen, nem specifikált hiba miatt az összes javítás kiadása csúszik és jelenleg nem is lehet tudni, hogy azok mikor lesznek elérhetőek.
A tömör blogbejegyzés szerint: "Elsőrendű prioritásunk a legjobb elérhető élményt biztosítani a felhasználóinknak a rendszereik működtetésében és védelmében. Ebben a hónapban az utolsó percben találtunk meg egy problémát, amely számos felhasználót érinthetett és nem sikerült elhárítani a javítások tervezett kiadásáig. Mindent mérlegelve arra jutottunk, hogy az ehavi frissítéseket késleltetjük. Elnézést kérünk az eredeti tervtől való eltérés miatti kellemetlenségért." - mondja a teljes szöveg. A cég a további kommunikációtól elzárkózott, több információ nem érhető el.
Az új, egységes frissítési paradigma sémája.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Emiatt egyelőre csak spekulálni lehet, hogy pontosan mi okozhatta a frissítések csúsztatását. A ZDnet értesülése szerint a Microsoft belső build rendszerében van probléma, emiatt a patchek előállításába csúszott zavar. Egy másik hipotézis szerint az ezen a héten rajtoló új, élesben most először futó frissítési alrendszer hibája okozza a csúszást - a cég azonban egyelőre hallgat a probléma gyökeréről.
A csúszás mindenképp roppant szokatlan, tudomásunk szerint a rendszeres frissítések 2003-as bevezetése óta nem volt példa arra, hogy a Microsoft eltolja a kiadást. A patch kedd egyébként hagyományosan minden hónap második keddjére esik, ez Magyarországon általában szerdai rajtot jelentett. A cég általában a páros sorszámú hónapokban nagyobb, a páratlanokban kisebb pakkot szokott kiadni.
Olyan előfordult, hogy egy-egy frissítés nem készült el a keddi rajtra, de a cég ilyenkor is kiadta a javítások sorozatát a menetrendnek megfelelően. A megcsúszó patchet pedig vagy a következő hónapra halasztotta a cég, vagy ha nagyon fontos és sürgős volt a kiadás, akkor rendkívüli frissítésként két rendszeres patch kedd között is elérhetővé tette.
Ilyen sürgős frissítés most is lett volna, a Windows SMB v3 protokollban található sebezhetőség javítása pont ilyennek számít. A rosszindulatú (vagy fertőzött) SMB megosztáshoz csatlakozó kliensek ugyanis szolgáltatásmegtagadásos támadásnak vannak kitéve egy, a Windows rendszerben található memóriakorrupciós hibának köszönhetően. A várakozások szerint ezt a hibát most javítja a Microsoft, pontosabban javította volna.
Változott a rendszer
A probléma összefüggésben lehet azzal, hogy a Microsoft az elmúlt hónapokban alaposan átdolgozta a biztonsági és funkcionális frissítések természetét. Erről itt írtunk részletesen, a lényeg, hogy az operációs rendszerek egységesen kötelező kumulatív frissítésre állnak át, tehát az összes, már korábban kiadott frissítést telepíti, válogatási lehetőség nélkül. Kivételt csak az igazán nagy szervezetek élveznek, akik WSUS (Windows Server Update Services) segítségével terítik a javításokat, ők az egyes havi pakkok telepítéséről dönthetnek, de a csomagot ők is egyben kapják meg, válogatási lehetőség nélkül.
Frissítés: az eredeti blogposztot később a Microsoft azzal egészítette ki, hogy a februárra tervezett biztonsági javításokat majd a márciusban esedékes frissítésekkel együtt, március 14-én adja ki. Ez rendkívüli döntésnek számít, különösen a fent említett kritikus biztonsági hibát figyelembe véve. A komoly, egy hónapos csúszás ráadásul arra utal, hogy a cégen belül igen komoly problémák merültek fel, amelyeket egy-két napon belül nem is tud megoldani a vállalat. Az immár öt mondatosra bővült bejelentésen túl azonban a cég mereven elzárkózik a további kommunikációtól, így jelenleg semmi biztosat nem tudunk a probléma okairól.