Microsoft CU 2020-11 neu veröffentlicht
Im letzten kumulativen Update für Windows Server wurde durch Microsoft die Sicherheitslücke aus CVE-2020-17049 adressiert. Die Sicherheitslücke im Key Distribution Center (KDC) erlaubt eine gezielte Manipulation von Kerberos Service Tickets. Leider kam das Update mit einem Problem, das uns auch selbst in unserer Umgebung ereilt hat.
Nach Installation des Updates auf Domaincontrollern mit Windows Server 2012 und aufwärts kommt es zu Problemen auf Nicht-Windows-Clients, welche der Domäne angehören und den Kerberos-Mechanismus verwenden – beispielsweise ein an die AD angebundenes VMware vCenter oder Linux-Maschinen, die mit Realmd o.ä. auf Kerberos-Basis an die Domäne angebunden sind. So können diese Maschinen die notwendigen Kerberos Service Tickets nicht erneuern – ein Login ist damit nicht mehr möglich.
Microsoft hat das Problem kurzfristig mit einem erneuerten CU behoben – dieses wird jedoch nicht über das reguläre Windows Update zur Verfügung gestellt, sondern nur im Update Catalog. Wir haben die Links hier für Sie zusammengetragen:
- Windows Server 2012: KB4594438
- Windows Server 2012 R2: KB4594439
- Windows Server 2016: KB4594441
- Windows Server 2019: KB4586839
- Windows Server, Version 1903 und 1909: KB4594443
- Windows Server, Version 2004 und 20H2: KB4594440
Für die angebundenen Nicht-Windows-Clients steht danach ein Neustart an.