treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

Windows7向けの緊急パッチがリリース

去る3月29日、Microsoftから臨時のセキュリティ更新プログラムがリリースしました。
対象のOSはWindows7とWindows Server 2008となります。
どんなパッチか調べてみましたのでご報告します。

対象の環境

対象の環境は、冒頭にもあります通り、Windows7とWindows Server 2008(たぶんR2も含む)の二つのOSです。
さしあたり、Windows8.1やWindows10とは無縁のようですね。
ただ、Windows7が残っている環境がたくさんあれば、気にしておかないといけないようです。

Microsoftが1月から配信しているMeltdown関係の脆弱性対策のアップデートに起因する脆弱性が発見されたようで、アップデートが臨時配信されたようです。

どんな脆弱性か、これについてはJPCERTの情報が分かりやすいです。

JVNVU#97712677: Meltdown 向けパッチが適用された Windows 7 x64 および Windows Server 2008 R2 x64 でカーネルメモリが適切に保護されない脆弱性

これを読むと、
直接Meltdownの脆弱性を突いたものではなく、Meltdownを対策するために配信されたMicrosoftのアップデートの欠陥を突いた脆弱性のように読み取れます。

対象となるKB

以下のアップデートが適用されている、Windows7とWindows Server2008が今回のアップデートを適用する対象となるようです。
※要するに以下のKBがWindows Updateの更新履歴に名を連ねているWindows7や2008のOSであれば、今回の臨時アップデートは適用対象となる、ということです。

  • KB4056897
  • KB4056894
  • KB4057400
  • KB4074598
  • KB4074587
  • KB4075211
  • KB4091290
  • KB4088875
  • KB4088878
  • KB4088881
  • Unbootable state for AMD devices in Windows 7 SP1 and Windows Server 2008 R2 SP1

詳しくはこの辺で

https://support.microsoft.com/en-us/help/4100480/windows-kernel-update-for-cve-2018-1038

しかし、適用して大丈夫なものでしょうか?
最近イロイロ問題が出てますからね…。

とかく調べてみた

モヤモヤしたままじゃあ問題ですから、はっきりさせようと思い、環境をいくつか調べてみました。

真っ先に気になるのは問題が起きると影響度が高いWindows Server 2008です。Hyper-V環境のWindows Server 2008ですが…

f:id:treedown:20180402114114p:plain
Windows Serverは該当のKBが適用されていませんでした。自動更新だと適用されない?という状況。
ひとまずこれならサーバ側は心配しなくてよさそう。

続いてWindows7。

f:id:treedown:20180402114127p:plain
ありますねぇ…。
KB4074598、当然ですがその前のロールアップである、KB4056894も更新履歴に名を連ねています。

ひとまず管理下の環境においては、Windows7にはなんらかの対処が必要、ということは分かりました。
ただ、最近アップデート適用後の不具合が多いのですなあ、まずは壊れても大丈夫なテスト環境で適用を確認して、問題が起きないかどうかの検証から実施しないといけませんね。気が重いっす。

Windows Updateを担当しているシステム管理者のみなさん、お察しします。