CVE-2024-38077 RDL漏洞修复指北

枫少@KillBoy
枫少@KillBoy
管理员
219
文章
0
粉丝
安全运维466,1271字数 696阅读2分19秒阅读模式
AI智能摘要
还在为Windows补丁安装卡在99%而彻夜抓狂?低版本服务器修复CVE-2024-38077漏洞竟暗藏致命陷阱:没有ESU授权或漏装SHA-2依赖(KB4474419/KB4490628),再努力也是白忙活!本文直击Windows Server 2008 R2等老旧系统的修复痛点,揭秘ESU激活、SSU更新与补丁安装的精准顺序链。手把手教你避开99%卡死雷区,三步验证依赖项,让KB5040497补丁顺利落地。运维老手亲测有效的避坑指南,专治低版本系统“更新死循环”——省下通宵排障时间,安全加固一步到位。
— AI 生成的文章内容摘要
题目之所以是指北,是因为起不到指南的作用,无法解决低版本系统的补丁修复的问题……
低版本是2012、2018r2 sp1、2018r2 sp2这些系统,安装cve-2024-38077的补丁时,先安装了kb5039339和kb4474419这些前置依赖补丁,然后重启配置windows update,进度到99%时,就给你来这么一
一晚上都没有搞清楚怎么回事,最后一问GPT:

KB5040497 和 KB5040498 是 Windows Server 2008 R2 SP1 系统的最新安全更新补丁。为了成功安装这些补丁,系统需要满足一些依赖项和前提条件,特别是在没有 ESU 授权的系统上。

### 1. **ESU 授权依赖**
   - **扩展安全更新(ESU)**:这两个补丁是 2024 年发布的安全更新,对于 Windows Server 2008 R2 SP1,微软已经结束了标准支持。这意味着要安装这些补丁,系统必须有有效的 ESU 授权。
   - **ESU 激活**:如果没有购买并激活 ESU 授权,系统将无法接收到并安装这些更新。
### 2. **SHA-2 支持更新**
   - **KB4474419**:这是为 Windows Server 2008 R2 SP1 提供 SHA-2 代码签名支持的关键更新。它是确保系统能够安装和验证使用 SHA-2 签名的补丁(如 KB5040497 和 KB5040498)的基础。
   - **KB4490628**(Servicing Stack Update - SSU):这是为 Windows Server 2008 R2 提供的更新服务堆栈更新(SSU),必须在安装 KB4474419 之前安装。它确保系统可以正确处理 SHA-2 签名的更新包。
### 3. **最新的 Servicing Stack Update (SSU)**
   - **最新的 SSU**:系统需要安装最新的 SSU,确保系统的更新组件能够正确运行。SSU 是在安装任何更新之前所需的重要组件更新。对于 2024 年的更新,确保安装微软发布的最新 SSU 是关键步骤。
### 4. **先决条件和依赖关系的安装顺序**
   1. **安装最新的 Servicing Stack Update (SSU)**:
      - 安装最新的 SSU,以确保更新组件的可靠性。
   2. **安装 KB4490628(如果未安装)**:
      - 此 SSU 更新确保系统能够处理 SHA-2 签名的补丁。
   3. **安装 KB4474419**:
      - 提供 SHA-2 支持,必要时更新 Windows Update 服务组件。
   4. **确认和激活 ESU**:
      - 如果没有 ESU 授权,需要确保购买并激活该授权。
   5. **安装 KB5040497 或 KB5040498**:
      - 依赖项满足后,安装这些补丁。
### 检查更新和依赖项的方法:
- **Windows Update**:通过 Windows Update 检查系统中是否有缺失的更新,尤其是 SSU 和 SHA-2 支持更新。
- **手动安装**:从微软更新目录下载并手动安装相关的补丁,以确保系统的所有依赖项都已满足。
确保所有必要的依赖项都已安装是成功应用 KB5040497 或 KB5040498 补丁的关键步骤。

 
枫少@KillBoy
评论  46  访客  46
    • 拽到没朋友
      拽到没朋友 1

      这补丁顺序太坑了,搞了一天才发现缺SSU

        • Queen女王
          Queen女王 0

          @ 拽到没朋友 顺序确实坑,我还以为是我网络问题,结果是前置没装全

          • 孔雀翩翩
            孔雀翩翩 0

            @ 拽到没朋友 老系统补丁真是一环套一环,比解谜游戏还难

          • 幽谷低鸣
            幽谷低鸣 1

            KB4490628这个SSU版本号是多少?现在最新的是哪个?

            • 烟火记事本
              烟火记事本 1

              KB4474419装完重启蓝屏+1,最后回滚系统才解决。

              • Snollygoster
                Snollygoster 0

                求问KB4474419装完重启就卡住咋办?

                  • 幽谷听风
                    幽谷听风 0

                    @ Snollygoster KB4474419装完重启蓝屏的可以试试回滚,我之前也碰到过

                  • 松鼠画匠
                    松鼠画匠 1

                    前几天刚踩过这坑,ESU没激活根本装不上

                      • 玉簪斜插
                        玉簪斜插 0

                        @ 松鼠画匠 同遇到了,没授权提示直接失败,连试都不让试,挺离谱的

                      • 星空故事
                        星空故事 0

                        说白了就是没钱买授权别想打补丁,无语

                        • 果冻小
                          果冻小 0

                          肝到凌晨三点也是服了,微软这依赖链真要命

                            • 摸鱼小能手
                              摸鱼小能手 0

                              @ 果冻小 又是半夜卡99%,一模一样经历啊

                            • 数据魔术师
                              数据魔术师 0

                              SHA-2支持到底要不要手动开啊?有点迷

                              • 暗夜蝶舞
                                暗夜蝶舞 0

                                我之前也遇到99%卡住,最后是更新源错了

                                • 幻境浮游
                                  幻境浮游 0

                                  又是没ESU授权背锅的一天hhh

                                    • 蜂蜜罐
                                      蜂蜜罐 0

                                      @ 幻境浮游 没ESU就别折腾了,纯浪费时间

                                    • 倒流时光的理发师
                                      倒流时光的理发师 0

                                      低版本系统维护真的难,换又不能换

                                      • EchoNest
                                        EchoNest 0

                                        这个流程能不能出个自动化脚本啊?

                                        • 河马胖子
                                          河马胖子 0

                                          依赖链绕得我头大,微软能不能整合一下?

                                          • 碧波钓
                                            碧波钓 0

                                            KB4474419装完蓝屏了有人遇到吗?

                                            • 软软奶包
                                              软软奶包 0

                                              前几天刚搞完这个,确实折腾了好久

                                              • 醉荷
                                                醉荷 0

                                                这流程手动跑一遍命都没了,求脚本救我

                                                • Infinitrix
                                                  Infinitrix 0

                                                  感觉还行,至少把顺序理清楚了

                                                  • 平行镜像
                                                    平行镜像 1

                                                    那如果是离线环境咋整?总不能联网激活ESU吧?

                                                      • 黑夜沉思者
                                                        黑夜沉思者 0

                                                        @ 平行镜像 离线激活ESU真没辙,只能先联网搞定了再脱机,要不就别打这补丁了

                                                      • 旧时光客
                                                        旧时光客 0

                                                        SHA-2支持开了还是装不上,是不是SSU版本不对?

                                                        • 沉静湖水
                                                          沉静湖水 0

                                                          这补丁链比我家路由器还难搞,服了

                                                            • QuantumGlow
                                                              QuantumGlow 0

                                                              @ 沉静湖水 这顺序太绕了,微软自己估计都记不住

                                                            • 梦魇低吟
                                                              梦魇低吟 0

                                                              SHA-2支持开了也没用,SSU得是最新的,我卡了两天才发现版本不对

                                                              • 隔壁老王
                                                                隔壁老王 1

                                                                求问这个KB4474419有替代补丁吗?公司环境不能随便联网

                                                                • 微风小屋
                                                                  微风小屋 0

                                                                  又是被老系统折磨的一天,换系统预算批不下来,命苦

                                                                  • 星梦漂流
                                                                    星梦漂流 0

                                                                    依赖这么多,微软是不是该出个诊断工具啊?

                                                                    • 风轻语
                                                                      风轻语 0

                                                                      手动装补丁太麻烦了,有没有一键脚本啊?

                                                                      • 古堡探险
                                                                        古堡探险 0

                                                                        卡99%是ESU授权没激活吧?检查下证书

                                                                        • 漆黑魅影
                                                                          漆黑魅影 0

                                                                          离线环境可以手动下载补丁包导入,就是得按顺序来

                                                                          • 雾中回响
                                                                            雾中回响 0

                                                                            这文章把依赖链说清楚了,比看微软文档强

                                                                            • 尘梦
                                                                              尘梦 1

                                                                              有没有人试过跳过前置补丁直接装?

                                                                              • 淡墨无痕
                                                                                淡墨无痕 1

                                                                                折腾了一天,最后还是花钱买了ESU省事

                                                                                • 尘埃落定
                                                                                  尘埃落定 0

                                                                                  补丁顺序错了就得重来,我重装了两次系统才搞定

                                                                                  • Josephtug
                                                                                    Josephtug 3

                                                                                    我关注你们的更新 旅游博客。令人惊艳了解路线。 [url=https://iqvel.com/zh-Hans/a/%E7%91%9E%E5%85%B8/%E8%92%82%E6%A3%AE%E6%9E%97%E5%9B%BD%E5%AE%B6%E5%85%AC%E5%9B%AD]湖沼馬賽克[/url] 素材精彩极了。感谢 心情。

                                                                                    • 团团小企鹅
                                                                                      团团小企鹅 1

                                                                                      SHA-2支持要手动开启吗?还是装了补丁自动就开了?

                                                                                      • 旧时雪
                                                                                        旧时雪 1

                                                                                        2008r2就别折腾了,太老了

                                                                                        • 童话小屋
                                                                                          童话小屋 0

                                                                                          离线环境ESU授权怎么激活啊,总不能为了个补丁去联网吧?

                                                                                          • 冷静的猫
                                                                                            冷静的猫 0

                                                                                            之前2008R2装补丁也卡99%,后来发现是补丁包下错了,得从Update Catalog下。

                                                                                            • 瑜伽小仙
                                                                                              瑜伽小仙 0

                                                                                              感觉就是把官方文档的依赖链复述了一遍,没啥新东西。

                                                                                            匿名

                                                                                            发表评论

                                                                                            匿名网友

                                                                                            拖动滑块以完成验证