6 Replies Latest reply on Oct 18, 2013 5:57 AM by Klaus Salger

    Fehlendes Patch im APM

    Specialist
      Hallo Zusammen,

      nachdem bei uns alle Patche auf Grün stehen, habe ich mal eine Online Update Suche gemacht
      Dabei stieß ich auf u.a. ein Patch (kb2861855) welches ich im APM gar nicht finden kann
      Der Katalog im APM ist vom 12.09

      Hat jemand eine Erklärung dafür??

      Des weiteren habe ich einen Patch welches mir in der Online Suche angezeigt wird, welches aber auch im APM zu sehen ist, bei mir aber nicht installiert wird

      Wie kommen diese Unterschiede zusammen?
        • 1. Re: Fehlendes Patch im APM
          Klaus Salger Expert
          Hallo,

          der Thread ist zwar nicht mehr ganz neu aber ich glaube immer noch aktuell.
          Ich kann bestätigen, dass es einige Abweichungen zwischen APM und Windows Update gibt, erklären kann ich sie aber auch nicht.

          Folgende Patches wurden auf einem Client von Windows Update als fehlend erkannt obwohl alle verfügbaren MS Patches per APM installiert waren:
          - 2813430 - Updates to Improve Cryptography and Digital Certificate Handling
          - 2861855 - Security Update: Updates to Improve Remote Desktop Protocol Network-level Authentication
          - 2862966 - Updates to Improve Cryptography and Digital Certificate Handling
          - 2685811 - Recommended Update: Kernel-Mode Driver Framework version 1.11 update
          - 2685813 - Recommended Update: User-Mode Driver Framework version 1.11 update
          - 2718704 - Unauthorized digital certificates could allow spoofing
          - 2468871 - Recommended Update: General Distribution Release (GDR) update for the Microsoft .NET Framework 4
          - 2533523 - Recommended Update: Reliability Update 1 for the .NET Framework 4

          Außerdem habe ich noch einen Fall gefunden, bei dem ein Patch falsch klassifiziert ist:
          - 2506014 - wird von MS als "kritisches Sicherheitsupdate" bezeichnet, von APM als "Nicht-Microsoft Security Update" klassifiziert

          Dass ein in DSM vorhandener und zugewiesener Patch nicht auf Anhieb installiert wurde habe ich auch schon mal gesehen.
          Das lag daran, dass die entsprechende Sicherheitslücke nicht gemeldet wurde und hat sich kurze Zeit später von selbst erledigt. Woran das lag habe ich nicht genau nachvollzogen, evtl. wurde ein veralteter Catalog verwendet?

          Weiß jemand, ob es eine Regel gibt, welche MS Patches in APM enthalten sind und welche nicht?
          Dazu habe ich bisher noch keine Aussage gefunden.
          Gibt es womöglich eine entsprechende Liste, die mit jedem Catalog aktualisiert wird?

          Ciao
            Klaus
          • 2. Re: Fehlendes Patch im APM
            FrankScholer Master
            Hallo Klaus,

            Weiß jemand, ob es eine Regel gibt, welche MS Patches in APM enthalten sind und welche nicht?


            Wissen tu ich das nicht - erzählt wurde aber "alle Patches die im WSUSSCN2.CAB drin sind plus die empfohlenen und optionalen"...

            Dazu habe ich bisher noch keine Aussage gefunden.


            Eine offizielle Aussage dazu hab ich auch nicht... bist du morgen auch beim Partnertag? Falls ja, wäre das vielleicht eine gute Gelegenheit zu fragen ;-)

            Gibt es womöglich eine entsprechende Liste, die mit jedem Catalog aktualisiert wird?


            Auch hier wüsste ich nichts. Bin ja schon froh, dass ich die Liste der unterstützen Produkte abrufen kann unter http://xml.shavlik.com/data/supportedproduct78.htm

            Grüße Frank
            • 3. Re: Fehlendes Patch im APM
              Klaus Salger Expert
              Hi Frank,

              nein, bin nicht beim Partnertag - dann musst Du wohl fragen

              Schönen Gruß, ich hätte gerne ganz allgemein ne detaillierte Doku.
              Und damit's nicht zu viel auf einmal wird - erstmal nur für APM

              Ciao
                Klaus
              • 4. Re: Fehlendes Patch im APM
                mle Apprentice
                Hi,

                ich kann euch mal posten was ich von VMware habe.

                WSUS vs Shavlik/VMware Protect SDK
                Microsoft Windows Update (including Microsoft Update) which WSUS is based on categorizes updates in two buckets: High Priority and Software-Optional.
                The High Priority bucket includes both Security-Bulletin patches and Non-Security patches. The Software-Optional bucket usually includes new software applications that can be installed (Windows Powershell, Silverlight etc).

                The VMware vCenter Protect product scans for and deploys ALL Microsoft Security Bulletin related patches. Each Microsoft Security Bulletin related patch is assigned a Microsoft severity rating (Critical, Important, Moderate, Low) as detailed in the Security Bulletin. (The severity rating in the VMware vCenter product properly reflects the rating assigned to the individual patches for the specified products, rather than the overall severity rating assigned to the bulletin as a whole.)

                The VMware vCenter Protect product also scans for and deploys many of the Microsoft Non-Security patches. These patches are for issues such as performance and scalability\manageability. In Windows Update, these patches are included in the High Priority bucket- alongside their security counterparts.

                In the VMware Protect SDK, these patches are included as “Non-Security” patches- and are available for scanning and deployment. For more information on various Patch Types please review VMware Protect SDK Assessment documentation or the following element “HFNetChkScan/Parameters/patchtypes” in the XML documentation.

                The VMware Protect SDK also includes several Microsoft Legacy Products that are not included in Windows Update/WSUS. For customers that run Office 2000, SQL 2000, VS.Net 2003, ISA 2000 etc these patches are no longer supported by Microsoft’s updating technology (WU, MU, WSUS) however they are supported by VMware. For more information and please see the following KB article http://technet.microsoft.com/en-us/security/cc184924.aspx

                Non-Security patches, whether scanned from Windows Update or from VMware vCenter Protect SDK are NOT assigned severity ratings. (severity ratings are only assigned by Microsoft for Security Patches referenced in Security Bulletins.)

                F AQ:
                Why does Microsoft show some Non-Security updates that VMware doesn’t show?

                While VMware strives to maintain consistency with Windows Update Non-Security patches, there may be times when Microsoft has released a non-security patch and VMware has yet to support that patch. VMware prioritizes patches to include support for security patches first, the non-security patches. If you see a non-security patch on Windows Update that isn’t listed in the VMware product, please contact shavlik- [email protected] and request that the patch be added. The VMware data team will add this patch as soon as possible.
                

                If a VMware “Security Patch” and “Non-Security” scan shows my system as fully patches and Windows Update/WSUS shows some missing High Priority updates, is my system really “secure”?

                YES*. “Secure” in this sense means fully patched for security issues. Configuration settings may still be required to fully secure your system for non-patch related items.


                Do I need to install all non-security “High Priority” items recommended by Windows Update/WSUS?

                NO. Security bulleting related patches are the most important items to install. You should install ALL security bulletin related patches (pending your internal testing). Non-security patches can be installed to help address specific non-security related issues as the need arises. It is not necessary to install these “High Priority non- security” patches to be ‘secure’.
                VMware recommends scanning for “security” patches and apply those patches it finds as missing. Non-security patches should be used as an as needed basis.


                Why does VMware show security updates that Windows Update/WSUS doesn’t show?
                The VMware product scans for security updates for both Microsoft and non-Microsoft products that Windows Update\Microsoft Update\WSUS doesn’t scan for. Products such as Sun Java, Mozilla Firefox, Google Chrome, Apple ITunes, Adobe Acrobat and Reader, Flash, Citrix, Microsoft Legacy. For a complete list of products supported please see the following: http://xml.shavlik.com/data/supportedproduct78.htm

                Grüße
                Marc
                • 5. Re: Fehlendes Patch im APM
                  FrankScholer Master
                  Hi Marc,

                  danke für' teilen dieser Info. Das hilft doch schonmal ein Stück weiter...

                  @Klaus: leider konnte ich diesbezüglich auf dem Partnertag jetzt auch nix Neues rauskriegen.

                  Grüße Frank
                  • 6. Re: Fehlendes Patch im APM
                    Klaus Salger Expert
                    Hallo,

                    danke für die Infos, denke auch, dass das schon mal hilft.
                    Die 100%ige Abdeckung ist dann wohl nicht zu jedem Zeitpunkt zu erwarten.

                    Vielleicht hilft es ja wirklich, fehlende Patches per Mail zu melden.
                    Werde das bei Gelegenheit mal ausprobieren.

                    Ciao
                      Klaus