CVE-2024-38077 RDL漏洞修复指北

2024年8月14日 06:58:15枫少@KillBoy

枫少@KillBoy

管理员

关注

219
文章

0
粉丝

安全运维466,1271字数 696阅读2分19秒阅读模式

AI智能摘要

还在为Windows补丁安装卡在99%而彻夜抓狂？低版本服务器修复CVE-2024-38077漏洞竟暗藏致命陷阱：没有ESU授权或漏装SHA-2依赖（KB4474419/KB4490628），再努力也是白忙活！本文直击Windows Server 2008 R2等老旧系统的修复痛点，揭秘ESU激活、SSU更新与补丁安装的精准顺序链。手把手教你避开99%卡死雷区，三步验证依赖项，让KB5040497补丁顺利落地。运维老手亲测有效的避坑指南，专治低版本系统“更新死循环”——省下通宵排障时间，安全加固一步到位。

— AI 生成的文章内容摘要

题目之所以是指北，是因为起不到指南的作用，无法解决低版本系统的补丁修复的问题……

低版本是2012、2018r2 sp1、2018r2 sp2这些系统，安装cve-2024-38077的补丁时，先安装了kb5039339和kb4474419这些前置依赖补丁，然后重启配置windows update，进度到99%时，就给你来这么一遭：

肝了一晚上都没有搞清楚怎么回事，最后一问GPT：

KB5040497 和 KB5040498 是 Windows Server 2008 R2 SP1 系统的最新安全更新补丁。为了成功安装这些补丁，系统需要满足一些依赖项和前提条件，特别是在没有 ESU 授权的系统上。

### 1. **ESU 授权依赖**

- **扩展安全更新（ESU）**：这两个补丁是 2024 年发布的安全更新，对于 Windows Server 2008 R2 SP1，微软已经结束了标准支持。这意味着要安装这些补丁，系统必须有有效的 ESU 授权。

- **ESU 激活**：如果没有购买并激活 ESU 授权，系统将无法接收到并安装这些更新。

### 2. **SHA-2 支持更新**

- **KB4474419**：这是为 Windows Server 2008 R2 SP1 提供 SHA-2 代码签名支持的关键更新。它是确保系统能够安装和验证使用 SHA-2 签名的补丁（如 KB5040497 和 KB5040498）的基础。

- **KB4490628**（Servicing Stack Update - SSU）：这是为 Windows Server 2008 R2 提供的更新服务堆栈更新（SSU），必须在安装 KB4474419 之前安装。它确保系统可以正确处理 SHA-2 签名的更新包。

### 3. **最新的 Servicing Stack Update (SSU)**

- **最新的 SSU**：系统需要安装最新的 SSU，确保系统的更新组件能够正确运行。SSU 是在安装任何更新之前所需的重要组件更新。对于 2024 年的更新，确保安装微软发布的最新 SSU 是关键步骤。

### 4. **先决条件和依赖关系的安装顺序**

1. **安装最新的 Servicing Stack Update (SSU)**：

- 安装最新的 SSU，以确保更新组件的可靠性。

2. **安装 KB4490628（如果未安装）**：

- 此 SSU 更新确保系统能够处理 SHA-2 签名的补丁。

3. **安装 KB4474419**：

- 提供 SHA-2 支持，必要时更新 Windows Update 服务组件。

4. **确认和激活 ESU**：

- 如果没有 ESU 授权，需要确保购买并激活该授权。

5. **安装 KB5040497 或 KB5040498**：

- 依赖项满足后，安装这些补丁。

### 检查更新和依赖项的方法：

- **Windows Update**：通过 Windows Update 检查系统中是否有缺失的更新，尤其是 SSU 和 SHA-2 支持更新。

- **手动安装**：从微软更新目录下载并手动安装相关的补丁，以确保系统的所有依赖项都已满足。

确保所有必要的依赖项都已安装是成功应用 KB5040497 或 KB5040498 补丁的关键步骤。

拽到没朋友 1
2026年1月7日 12:39:20 广东省 1F
回复

这补丁顺序太坑了，搞了一天才发现缺SSU
- Queen女王 0
  2026年1月17日 08:29:19 陕西省 B1
  回复
  
  @ 拽到没朋友顺序确实坑，我还以为是我网络问题，结果是前置没装全
- 孔雀翩翩 0
  2026年1月25日 23:14:48 韩国 B1
  回复
  
  @ 拽到没朋友老系统补丁真是一环套一环，比解谜游戏还难
幽谷低鸣 1
2026年1月7日 12:40:44 日本 2F
回复

KB4490628这个SSU版本号是多少？现在最新的是哪个？
烟火记事本 1
2026年1月7日 12:40:44 新疆乌鲁木齐市 3F
回复

KB4474419装完重启蓝屏+1，最后回滚系统才解决。
Snollygoster 0
2026年1月7日 18:40:45 北京市 4F
回复

求问KB4474419装完重启就卡住咋办？
- 幽谷听风 0
  2026年1月22日 16:35:38 广东省中山市 B1
  回复
  
  @ Snollygoster KB4474419装完重启蓝屏的可以试试回滚，我之前也碰到过
松鼠画匠 1
2026年1月7日 19:58:19 广东省清远市 5F
回复

前几天刚踩过这坑，ESU没激活根本装不上
- 玉簪斜插 0
  2026年1月16日 18:35:25 马来西亚 B1
  回复
  
  @ 松鼠画匠同遇到了，没授权提示直接失败，连试都不让试，挺离谱的
星空故事 0
2026年1月7日 22:22:56 浙江省温州市 6F
回复

说白了就是没钱买授权别想打补丁，无语
果冻小 0
2026年1月7日 23:21:26 湖北省武汉市 7F
回复

肝到凌晨三点也是服了，微软这依赖链真要命
- 摸鱼小能手 0
  2026年1月11日 16:38:34 河北省廊坊市 B1
  回复
  
  @ 果冻小又是半夜卡99%，一模一样经历啊
数据魔术师 0
2026年1月8日 07:57:25 广东省深圳市 8F
回复

SHA-2支持到底要不要手动开啊？有点迷
暗夜蝶舞 0
2026年1月8日 10:13:22 澳大利亚 9F
回复

我之前也遇到99%卡住，最后是更新源错了
幻境浮游 0
2026年1月8日 10:32:32 湖北省武汉市 10F
回复

又是没ESU授权背锅的一天hhh
- 蜂蜜罐 0
  2026年1月9日 20:22:54 重庆市 B1
  回复
  
  @ 幻境浮游没ESU就别折腾了，纯浪费时间
倒流时光的理发师 0
2026年1月8日 19:17:54 山西省太原市 11F
回复

低版本系统维护真的难，换又不能换
- 黄泉引 0
  2026年1月9日 13:37:01 广东省广州市 B1
  回复
  
  @ 倒流时光的理发师低版本系统真成数字古董了，修都修不动
EchoNest 0
2026年1月8日 21:03:10 澳大利亚 12F
回复

这个流程能不能出个自动化脚本啊？
河马胖子 0
2026年1月10日 12:03:32 贵州省六盘水市 13F
回复

依赖链绕得我头大，微软能不能整合一下？
碧波钓 0
2026年1月10日 12:41:27 菲律宾 14F
回复

KB4474419装完蓝屏了有人遇到吗？
软软奶包 0
2026年1月10日 13:48:38 云南省红河州开远市 15F
回复

前几天刚搞完这个，确实折腾了好久
醉荷 0
2026年1月10日 23:55:05 浙江省温州市 16F
回复

这流程手动跑一遍命都没了，求脚本救我
Infinitrix 0
2026年1月11日 07:02:22 江苏省泰州市 17F
回复

感觉还行，至少把顺序理清楚了
平行镜像 1
2026年1月11日 07:22:15 上海市南汇区 18F
回复

那如果是离线环境咋整？总不能联网激活ESU吧？
- 黑夜沉思者 0
  2026年1月14日 07:54:35 印度 B1
  回复
  
  @ 平行镜像离线激活ESU真没辙，只能先联网搞定了再脱机，要不就别打这补丁了
旧时光客 0
2026年1月12日 11:33:59 福建省漳州市 19F
回复

SHA-2支持开了还是装不上，是不是SSU版本不对？
沉静湖水 0
2026年1月17日 11:58:56 浙江省丽水市 20F
回复

这补丁链比我家路由器还难搞，服了
- QuantumGlow 0
  2026年1月22日 20:17:52 日本 B1
  回复
  
  @ 沉静湖水这顺序太绕了，微软自己估计都记不住
梦魇低吟 0
2026年1月17日 22:09:20 天津市 21F
回复

SHA-2支持开了也没用，SSU得是最新的，我卡了两天才发现版本不对
隔壁老王 1
2026年1月18日 11:41:46 四川省成都市 22F
回复

求问这个KB4474419有替代补丁吗？公司环境不能随便联网
微风小屋 0
2026年1月18日 16:24:58 贵州省黔南州 23F
回复

又是被老系统折磨的一天，换系统预算批不下来，命苦
星梦漂流 0
2026年1月20日 16:41:32 上海市 24F
回复

依赖这么多，微软是不是该出个诊断工具啊？
风轻语 0
2026年1月22日 21:02:35 广东省东莞市 25F
回复

手动装补丁太麻烦了，有没有一键脚本啊？
古堡探险 0
2026年1月26日 12:31:55 韩国 26F
回复

卡99%是ESU授权没激活吧？检查下证书
漆黑魅影 0
2026年1月26日 16:26:39 日本 27F
回复

离线环境可以手动下载补丁包导入，就是得按顺序来
雾中回响 0
2026年1月27日 08:11:28 浙江省 28F
回复

这文章把依赖链说清楚了，比看微软文档强
尘梦 1
2026年1月28日 21:13:17 江西省景德镇市 29F
回复

有没有人试过跳过前置补丁直接装？
淡墨无痕 1
2026年2月1日 19:33:23 上海市 30F
回复

折腾了一天，最后还是花钱买了ESU省事
尘埃落定 0
2026年2月3日 10:06:09 浙江省嘉兴市桐乡市 31F
回复

补丁顺序错了就得重来，我重装了两次系统才搞定
Josephtug 3
2026年2月4日 08:49:49 墨西哥 32F
回复

我关注你们的更新旅游博客。令人惊艳了解路线。 [url=https://iqvel.com/zh-Hans/a/%E7%91%9E%E5%85%B8/%E8%92%82%E6%A3%AE%E6%9E%97%E5%9B%BD%E5%AE%B6%E5%85%AC%E5%9B%AD]湖沼馬賽克[/url] 素材精彩极了。感谢心情。
团团小企鹅 1
2026年2月4日 17:39:19 韩国 33F
回复

SHA-2支持要手动开启吗？还是装了补丁自动就开了？
旧时雪 1
2026年2月5日 13:35:05 吉林省长春市 34F
回复

2008r2就别折腾了，太老了
童话小屋 0
2026年2月5日 17:14:30 湖北省武汉市 35F
回复

离线环境ESU授权怎么激活啊，总不能为了个补丁去联网吧？
冷静的猫 0
2026年2月5日 20:53:59 广东省汕尾市 36F
回复

之前2008R2装补丁也卡99%，后来发现是补丁包下错了，得从Update Catalog下。
瑜伽小仙 0
2026年2月6日 17:17:51 泰国 37F
回复

感觉就是把官方文档的依赖链复述了一遍，没啥新东西。

CVE-2024-38077 RDL漏洞修复指北

热门话题

历史上的今天

为什么说不要用VLAN、VPC解决东西向隔离问题

网络抓包工具 wireshark 入门教程

Postgresql 代码执行

渗透测试专业人员使用的11种工具

发表评论

热门搜索