随着8月补丁星期二的发布,微软推出了90个Windows和Office平台的更新。最新的修复程序包括Microsoft Exchange的另一个更新(以及关于Exchange Server 2016和2019更新失败的警告),以及我们对Office的“立即修补”建议。
Application Readiness团队精心制作了这个有用的信息图,列出了本月与每个更新相关的风险。
已知的问题
每个月,微软都会列出影响最新更新周期的已知问题。8月份,它们包括:
- 在某些版本的VMware ESXi上运行Windows Server 2022的来宾虚拟机(vm)上安装此更新后,Windows Server 2022可能无法启动。微软和VMware都在调查这个问题。
- 条款Windows 11 22H2版本(也称为Windows 11 2022更新)上的ning包可能不会像预期的那样工作。Windows可能不会。仅部分配置,开箱即用体验可能无法完成或可能意外重启。条款在升级到Windows 11 22H2版本之前,对Windows设备进行ning应该可以防止这个问题。
不幸的是,对于那些仍在使用Windows Server 2008 ESU的用户来说,本月的更新可能会完全失败,并显示“配置Windows更新失败”。恢复的变化。不要关掉电脑。”Microsoft提供了一些关于ESU更新的建议,但您可能会发现,在能够成功更新遗留Exchange服务器之前,您必须等待一段时间。很抱歉。
重大修改
微软发布了这些主要的修订版,包括:
- ADV190023: Microsoft指南:启用LDAP通道绑定和LDAP签名。此最新更新增加了启用CBT事件3074和3075的功能,事件源**Microsoft-Windows-ActiveDirectory_DomainService**在目录服务事件日志中。
- ADV230001:微软签名驱动程序被恶意使用的指导。微软宣布8月8日的Windows安全更新(见安全更新表)增加了附加功能将不受信任的驱动程序和驱动程序签名证书发送到Windows驱动程序。STL撤销列表。
- CVE-2023-29360:微软流媒体服务特权提升漏洞。微软已经更正了CVE标题,并更新了受影响产品的一个或多个CVSS分数。
- CVE-2023-35389: Microsoft Dynamics 365本地远程代码执行漏洞。在最新的更新中,微软删除了Microsoft Dynamics 365 (on-premises) 9.1版本,因为它不受该漏洞的影响。这是一条信息只能换零钱。无需进一步操作。
缓解措施和变通办法
微软针对此发布周期发布了以下与漏洞相关的缓解措施:
- CVE-2023-35385: Microsoft消息队列远程代码执行漏洞。Windows消息队列服务是一个Windows组件,需要启用该服务,系统才能被此漏洞利用。检查是否有一个名为Message Queuing的服务正在运行,并且TCP端口1801正在机器上监听。
- CVE-2023-36882: Microsoft WDAC OLE DB提供程序的SQL Server远程代码执行漏洞。Microsoft针对此严重漏洞提供了以下缓解建议:“如果您的环境nment o原来公司连接到已知的、受信任的服务器,并且没有能力进行侦察配置现有co连接指向另一个位置(例如,您使用带有证书验证的TLS加密),则无法利用此漏洞。”
测试指导
每个月,准备团队都会分析最新的补丁星期二更新,并提供详细的、可操作的测试指导。本指南基于对大型应用程序组合的评估,以及对补丁及其对Windows平台和应用程序安装的潜在影响的详细分析。
考虑到本月包含的大量变化,我将测试场景分为高风险组和标准风险组:
高的风险
由于所有高风险的更改都会影响Microsoft Windows核心内核和内部消息传递子系统(尽管我们还没有看到任何已发布的功能更改),我们强烈建议进行以下重点测试:
- Microsoft消息队列(MSMQ)有许多重要的更新。这将影响依赖触发器、路由服务和多播支持的服务器。我们的预期是,内部开发的业务线客户/服务器应用程序最有可能受到影响,因此需要在本月增加关注和测试。
标准风险
- Windows错误报告已经更新,因此您需要对Windows公共日志文件系统(CLFS)日志进行“CRUD”测试。
- 由于NT用户策略(用户和计算机)文件的更改,应该在此测试周期中包含组策略刷新。由于此特性中的API更改,您可能还需要检查生成的日志文件的文件路径。
- 微软的加密(CNG) api已经更新,因此智能卡安装将需要测试。
- ODBC应用程序本月将需要再次测试第n个原因是SQLOLEDB库的更新。
这里有一个给关注Windows的IT管理员:微软已经更新了WinSAT API。这个工具是由微软描述的:
所有这些场景都需要在常规部署之前进行重要的应用程序级测试。除了这些特定的测试要求外,我们建议对以下打印特性进行一般测试:
- 更新所有打印服务器,并验证打印机管理软件在运行打印作业时的行为是否符合预期。
- 更新后卸载任何打印管理软件,以确保服务器仍按预期运行。
- 使用本地和远程打印机测试测试所有打印机制造商类型。
自动化测试将有助于处理这些场景(特别是提供“增量”或构建之间比较的测试平台)。然而,对于您的业务线应用程序,让应用程序所有者(进行UAT)测试和批准结果是绝对必要的。
每个月,我们将更新周期分解为产品族(由微软定义),并进行以下基本分组:
- 浏览器(Microsoft IE和Edge);
- 微软Windows(桌面和服务器);
- 微软办公软件;
- Microsoft Exchange Server;
- 微软开发平台(ASP。.NET Core, .NET Core和Chakra Core);
- Adobe(仍然在这里,但又加了一个A)。
吃嫩叶的动物
微软对其Chromium浏览器项目(Edge)发布了11个更新,而对其传统浏览器没有补丁,这是一个受欢迎的趋势。你可以在这里阅读更多关于微软Edge的发布说明,注意到Chrome/Edge更新是在周一(8月7日)发布的,而不是通常的“补丁星期二”。
将这些浏览器更新添加到标准补丁发布计划中。
窗户
微软发布了三个关键的更新,32个被评为重要,一个被评为中等。Windows平台的所有(三个)关键更新都与Windows消息队列(MSMQ)有关。尽管这些关键更新的评级为9.8(相当高),但它们并没有被公开披露或报告为被利用。并不是每个组织都会使用MSMQ特性,所以对于大多数团队来说,测试概要文件应该非常简单。将这些Windows更新添加到标准发布计划中。
微软办公软件
微软发布了三个重要的Microsoft Outlook更新(CVE-2023-36895, CVE-2023-29330和CVE-2023-29328),需要立即关注。除了这些补丁,微软还发布了11个被评为重要的更新和一个被评为中等的更新。这12个更新将影响Microsoft Office和Visio。将这些Office更新添加到您的“Patch Now”发布计划中。
Microsoft Exchange Server
在您做任何事情之前,不要更新您的非英语Microsoft Exchange服务器(2019年和2016年)。本月的更新将在中途失败,使您的服务器处于“未确定状态”。既然这已经(没有)完成,那么您可以关注本月的六个Exchange更新(都被评为重要)。没有重要的更新,所以慢慢来。注意:所有这些8月份的补丁都需要重新启动服务器。将这些更新添加到您的标准发布计划中。
微软开发平台
微软发布了微软。net和ASP的8个更新。。NET平台。这些补丁被认为是重要的,应该包含在您的标准开发人员发布计划中。
adobereader(仍然在这里,但又加了一个A)
Adobe回来了。而且我们还要担心另一个A(有点奇怪吧?)Adobe的APSB23-30修补了Adobe Reader中的一个关键漏洞-将其添加到您的“立即修补”计划中。另一个A呢?根据最近微软更新发布周期中支持第三方补丁的趋势(还记得六月份的Autodesk更新吗?),微软发布了CVE-2023-20569;它与AMD内存相关的漏洞有关。你可以在AMD网站上阅读更多相关内容。
打补丁吗?确定。
测试?不确定。