none
CVE-2021-34527の修正プログラム適用について RRS feed

  • 質問

  • どなたかご知見をお持ちでらっしゃる方がおられましたら
    ご教示頂きたく存じます。

    現在 Windows Server 2012 R2のプリントサーバーを運用しています。
    当該サーバーはインターネットとは隔絶されており、Windows Update の運用は行っていません。

    当該サーバーに対して、昨今問題となっております「CVE-2021-34527」の脆弱性の対策
    を行う方針でございますが、具体的にどの修正プログラムを適用すれば良いのかはかりかねております。
    https://msrc-blog.microsoft.com/2021/07/08/20210709_guidancecve202134527/

    調べたところ下記MS社サイトで公開されている「Monthly Rollup」もしくは「Security Only」のいずれかの
    リンクをたどった先にある修正プログラムを適用すれば良いというところまではわかりました。
    ==================================================
    Windows 印刷スプーラーのリモートでコードが実行される脆弱性(CVE-2021-34527)
    https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2021-34527
    ==================================================

    できる限りインストールするKBは少なく抑えたいので前述の「Security Only」で案内されている
    KB5004958を調査していたのですが、このKBを紹介するMS社のページに
    以下のような前提条件の記載がありました。
    ==================================================
    REMINDER If you are using Security-only updates, you will also need to install all previous Security-only updates and the latest cumulative update for Internet Explorer (KB5003636).

    https://support.microsoft.com/ja-jp/topic/july-6-2021-kb5004958-security-only-update-out-of-band-d439df52-8f5a-4cb8-9d0d-c2f1bb036a5e
    ==================================================
    ここで言う「all previous Security-only updates」が何にあたるのかがわからず
    困っています。

    一方「Monthly Rollup」側には特に解釈の難しい前提条件の記載は無かったのですが
    ファイルサイズやインストールされるKBの一覧から、なかなか大きい規模の修正プログラムが
    適用されることが読み取れるため、インストールに躊躇しております。

    以上を踏まえた上で、当該脆弱性を修正するためにはどのような対応を踏んだらよろしいでしょうか。

    2021年7月15日 4:29

回答

  • チャブーンです。

    この件ですが、セキュリティのみの更新プログラムとマンスリーロールアップの一覧は、以下にあります。こちらの「セキュリティのみの更新プログラム」が該当するので、リンクを一つ一つ見ていくことになります。

    Windows 8.1 および Windows Server 2012 R2 の更新履歴 (microsoft.com)


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク a.y.z 2021年7月16日 5:31
    2021年7月15日 11:07
    モデレータ
  • セキュリティのみの更新は累積的でないので、これまで Windows Update などの更新を適用していない環境に単純に KB5004958 の更新をインストールすると、モジュール間でのバージョンの不整合が起きて最悪 Windows が起動できなくなります。

    そのためセキュリティのみの更新をインストールする場合は、

    1. 直前の累積的更新をインストールする
    2. ベースになるバージョン(Windows Server 2012 R2 であれば RTM)以降にリリースされたすべてのセキュリティ更新をインストールする

    のいずれかが必要です。RTM バージョンから一度も更新プログラムを適用していないのであれば、「2」はかなり現実的でない無理のあるシナリオかと思いますが、「1」であればそもそも KB5004958 を含む累積的更新をインストールすれば良いので、無意味でしょう。

    ということで結論的に言えば、これまで更新をしていない環境で KB5004958 の修正を適用したいのであれば、セキュリティのみの更新ではなく最新の累積的更新のインストールが合理的です。


    Hebikuzure aka Murachi Akira



    2021年7月16日 2:58

すべての返信

  • チャブーンです。

    この件ですが、セキュリティのみの更新プログラムとマンスリーロールアップの一覧は、以下にあります。こちらの「セキュリティのみの更新プログラム」が該当するので、リンクを一つ一つ見ていくことになります。

    Windows 8.1 および Windows Server 2012 R2 の更新履歴 (microsoft.com)


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク a.y.z 2021年7月16日 5:31
    2021年7月15日 11:07
    モデレータ
  • セキュリティのみの更新は累積的でないので、これまで Windows Update などの更新を適用していない環境に単純に KB5004958 の更新をインストールすると、モジュール間でのバージョンの不整合が起きて最悪 Windows が起動できなくなります。

    そのためセキュリティのみの更新をインストールする場合は、

    1. 直前の累積的更新をインストールする
    2. ベースになるバージョン(Windows Server 2012 R2 であれば RTM)以降にリリースされたすべてのセキュリティ更新をインストールする

    のいずれかが必要です。RTM バージョンから一度も更新プログラムを適用していないのであれば、「2」はかなり現実的でない無理のあるシナリオかと思いますが、「1」であればそもそも KB5004958 を含む累積的更新をインストールすれば良いので、無意味でしょう。

    ということで結論的に言えば、これまで更新をしていない環境で KB5004958 の修正を適用したいのであれば、セキュリティのみの更新ではなく最新の累積的更新のインストールが合理的です。


    Hebikuzure aka Murachi Akira



    2021年7月16日 2:58
  • チャブーン様

    いつもお世話になっております。
    具体的なリンクのご提示ありがとうございます。

    なかなかのボリュームであり、現実的に全てを充てるは難しそうであると
    判断しました。大変参考になりました。

    • 回答としてマーク a.y.z 2021年7月16日 5:31
    • 回答としてマークされていない a.y.z 2021年7月16日 5:31
    2021年7月16日 5:28
  • Hebikuzure aka Murachi Akira 様

    ご意見を交えたご回答ありがとうございます。大変に助かります。
    チャブーン様よりご連携いただけたWEBページ内の「セキュリティのみ」のHotfixの量を鑑みて
    わたくしも同じ印象を持ちました。
    マンスリーロールアップであるKB5004954の適用を進める方針としたいと思います

    2021年7月16日 5:31
  • ちなみに、Printer Spooler 周りではもう一つそこそこ危険な脆弱性が発見されたので、またセキュリティ更新が定例外リリースされるかもしれません。

    CVE-2021-34481 - セキュリティ更新プログラム ガイド - Microsoft - Windows Print Spooler Elevation of Privilege Vulnerability


    Hebikuzure aka Murachi Akira

    2021年7月16日 9:54
  • Hebikuzure aka Murachi Akira様
    ご返信が遅くなりまして申し訳ありません。
    情報のご連携ありがとうございます。本件も認識しており、現在脆弱性に該当しているか確認中でございます。。
    (おそらく該当しそうです。。。)
    2021年7月20日 8:08