شرکت مایکروسافت (Microsoft Corp) بهروزرسانیهای اضطراری را برای رفع خطاهایی که مربوط به اعطای مجوز Kerberos میباشند و بر روی سرورهای Domain Controller تاثیر میگذارد، منتشر کرده است.
در سیستمهای تحت تأثیر، کاربران نهایی نمیتوانند با استفاده از Single Sign-On (SSO) وارد سرویسها یا برنامههای کاربردی که از محیطهای درون سازمانی همچون Active Directory یا Hybrid Azure Active Directory استفاده میکنند، شوند.
باگهای مذکور بر سیستمهایی که Windows Server 2019 و نسخههای پایینتر از جمله Windows Server 2016،وWindows Server 2012 R2،وWindows Server 2012،وWindows Server 2008 R2 SP1 و Windows Server 2008 SP2 را دارند، تأثیر میگذارند.
به گزارش شرکت مهندسی شبکه گستر و به نقل از مایکروسافت، این بهروزرسانیهای اضطراری یک باگ شناختهشده را که ممکن است باعث خطاهای احراز هویت مربوط به Kerberos Tickets شود و از طریق Service for User to Self (S4U2self) حاصل شده است را برطرف میکند.
مشکل مذکور پس از نصب بهروزرسانیهای امنیتی ماه میلادی نوامبر 2021 بر روی سرورهای Domain Controller که در Windows Server اجرا میشوند، رخ داده است.
فهرست کامل بهروزرسانیهای مذکور با توجه نسخه Windows Server از طریق نشانیهای زیر قابل دسترس میباشد.
- Windows Server 2019: KB5008602 — DOWNLOAD
- Windows Server 2016: KB5008601 — DOWNLOAD
- Windows Server 2012 R2: KB5008603 — DOWNLOAD
- Windows Server 2012: KB5008604 — DOWNLOAD
- Windows Server 2008 R2 SP1: KB5008605 — DOWNLOAD
- Windows Server 2008 SP2: KB5008606 — DOWNLOAD
قابل به ذکر است که این بهروزرسانیهای اضطراری از طریق Windows Update قابل نصب نمیباشند؛ همچنین بهطور خودکار روی سرورهای DC متاثر، نصب نمیشوند. برای دانلود بهروزرسانیهای مذکور به صورت مستقل، میتوان آنها را در Microsoft Update Catalog جستجو کرد (همچنین برحسب نسخه Windows Server، از لینکهای DOWNLOAD ذکر شده در بالا نیز قابل دستیابی هستند).
علاوه بر این، بهروزرسانی مذکور را میتوان بهصورت دستی با بکارگیری دستورالعملهای موجود در Microsoft Update Catalog به نشانی زیر، در Windows Server Update Services – به اختصار WSUS – اعمال نمود.
پیشتر مایکروسافت اعلام کرده بود ثبت خطاهای زیر میتوانند نشانهای از وجود باگ باشد که اکنون توسط این بهروزرسانیها قابل رفع هستند.
- Event Viewer might show Microsoft-Windows-Kerberos-Key-Distribution-Center event 18 logged in the System event log
- Error 0x8009030c with text Web Application Proxy encountered an unexpected is logged in the Azure AD Application Proxy event log in Microsoft-AAD Application Proxy Connector event 12027
- Network traces contain the following signature similar to the following:
- 7281 24:44 (644) 10.11.2.12 .contoso.com KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: http/xxxxx-xxx.contoso.com
- 7282 7290 (0) . CONTOSO.COM
منبع: