Microsoft zabezpieczył serwery z Windowsem odcinając je od sieci
Wydanie marcowego zestawu łatek bezpieczeństwa Microsoftu nieobyło się bez ofiar. Tym razem jednak ucierpieli nie zwykli domowiużytkownicy starszych pecetów, lecz klasa najważniejszych klientów– zawodowych administratorów. Microsoft zabezpieczył im serwery, odcinając je po prostu od sieci.
15.03.2018 15:12
Organizacje korzystające z Windows Servera 2008 R2 mają corazmniej czasu na to, by znaleźć sobie nowy system na swoje serwery.Póki co jednak działa, do 2020 roku ciesząc się rozszerzonymwsparciem ze strony Microsoftu. Lepiej zresztą nie ruszać tego, codobrze działa, wiele z tych serwerów służy poważnymzastosowaniom, np. jako hosty wirtualizacji dla hiperwizorów VMware.
I właśnie użytkownicy takich maszyn doświadczyli awarii pozainstalowaniu paczki KB4088875z najnowszymi łatkami. Skonfigurowane na korzystanie ze statycznychadresów IP serwery nagle przełączyły się na DHCP, w sieciach wktórych DHCP po prostu nie było dostępne, albo nie było w staniedostarczyć właściwych adresów. Produkcyjne środowiska nagleprzestały działać. Użytkownik @Sikorsky78 alarmował jako chybapierwszy na Twitterze:
It seems that the latest MS patches ate my vmxnet3 adapters on Windows 2008R2 :(. Any one else?#WindowsUpdates #Windows2008R2 #VMware pic.twitter.com/fsOwTo2VVx
— Wouter Hindriks (@Sikorsky78) March 14, 2018Wygląda na to, że podczas instalacji paczki, interfejsy sieciowezostały zastąpione przez nowe, skonfigurowane domyślnie pod DHCP –instalator Microsoftu nie raczył sprawdzić i uchronić ustalonejkonfiguracji tego, co zmienił. W konsekwencji w trakcie aktualizacjiwszystkieserwery traciły dostęp do sieci.
Z tego co można wyczytaćna subreddicie /r/sysadmin, problem okazał się większy, niżpoczątkowo sądzono. Nie wystarczy bowiem przełączenie ustawieńkarty sieciowej, by ręcznie wrócić do dopieszczonej konfiguracjistatycznych adresów IP. Aktualizacja pozostawia gdzieś tam staryinterfejs sieciowy, jest on po prostu ukryty przed stosem sieciowym.
Poszkodowani administratorzy wspominają też o bardzo podobnymproblemie sprzed dwóch lat, tj. wydaniu tak zwanej Conveniencerollup update for Windows 7 SP1 and Windows Server 2008 R2 SP1. Jestto ogromny zestawłatek wydanych między Service Packiem 1 (w marcu 2010 roku) akwietniem 2016 roku. Tu też dochodziło do sytuacji w którychpojawiał się nowy wirtualny interfejs sieciowy z domyślnymiustawieniami, zastępując ręcznie skonfigurowane interfejsy irobiąc różne problemy z siecią.
Microsoft przedstawił wówczas dość niepokojące rozwiązanie –kazał administratorom uruchamiać na swoich serwerach podanykopiuj/wklej do Notatnika skrypt w Visual Basicu, robiący porządkiz nowymi interfejsami sieciowymi poprzez zmiany w Rejestrze. Świetnypomysł, uruchamiać na produkcyjnych serwerach Windows jakieśskrypty mieszające w Rejestrze.
Jak do tej pory firma z Redmond nie przedstawiła powodów tejawarii, ogłoszono tylko, że o problemach wiadomo i trwają pracenad ich rozwiązaniem. Tymczasem pojawiły się pierwsze doniesienia,że marcowe łatki psują też konfigurację sieci w Windowsie 7. Wsumie czemu by nie, Windows Server 2008 to po prostu serwerowa wersja„siódemki”.
Póki co możemy jedynie radzić, aby od KB4088875 trzymać się zdala. Tym bardziej, że jak informuje sam Microsoft, pozainstalowaniu aktualizacji serwery SMB cierpią na wycieki pamięci.