Verirrt in Microsofts Patch-Dschungel

Die chaotische Patch-Politik nimmt bei Microsoft kein Ende. Schon der letzte Sammelpatch für den Internet Explorer machte Schwierigkeiten beim Installieren. Einen anderen Patch hat Microsoft ganz aus dem Verkehr gezogen, weil er zu Rechnerabstürzen führt. Der fragliche Patch wurde am 11. Dezember vergangenen Jahres veröffentlicht und sollte eine Lücke in Windows NT, 2000 und XP stopfen, die es Angreifern lokal ermöglichte, das System zu kompromittieren.

Windows-NT-Anwender, die den Patch eingespielt haben, stellten jedoch fest, dass der Rechner danach abstürzte oder einfach neu startete. Ein Entfernen des Patches behob die Fehlfunktionen umgehend. Mittlerweile hat Microsoft das entsprechende Security-Bulletin MS02-71 überarbeitet und die Links zu den Patches für Windows NT entfernt -- es soll bald ein neuer Patch für NT bereitgestellt werden.

Das ist jedoch kein Einzelfall. Das Security-Bulletin MS02-061 wurde im Zeitraum vom 21. bis 28. Januar ganze fünf Mal geändert. Der Patch behebt Sicherheitslücken in Microsofts SQL-Server, die auch der kürzlich ausgebrochene Wurm SQLSLammer ausnutzte.

Und hier wird es wirklich unübersichtlich: Ursprünglich galt der Patch im Security Bulletin MS02-39 für die Behebung der Sicherheitlücke in Microsofts SQL-Server, doch inzwischen hat MS02-061 dieses Bulletin "ersetzt", weil die dort erhältlichen Patches "zusätzliche Sicherheitslöcher" in der Software stopfen sollen. Darunter fällt nicht nur der Microsoft SQL-Server, sondern ebenso die Microsoft SQL Server 2000 Desktop Engine (MSDE). Das Update des Bulletins am 27. Januar enthält jetzt auch mehrere dutzend Links zu Service Packs für den SQL-Server 2000 und MSDE 2000. Je nach Version des SQL-Servers muss entweder das Service Pack 3 oder das Service Pack 2 und 3 eingespielt werden, damit sich der Patch überhaupt installieren lässt. Da die Installation trotzdem scheitern könnte, hat Microsoft auch noch eine ziemlich umfangreiche Anleitung zur Installation einzelner Patches bereitgestellt.

Doch damit nicht genug: Denn auch Microsofts SQL Server 7, die Vorgängerversion vom SQL-Server 2000, weist die gleiche Lücke auf. Zwar befällt die ursprüngliche Variante des Slammer-Wurms diese Version nicht, da er mit spezifischen Offsets arbeitet, jedoch könnte eine neue Variante durchaus auch Rechner mit dem SQL-Server 7 befallen.

Anwender, die den alten SQL Server 7 im Einsatz haben, müssen Service Pack 4 installieren, um dann das Security Update für dieses Service Pack einspielen zu können, was letztlich die Lücke schließen soll. Und auch das MSDE 2000 hatte eine Vorgänger-Version, nämlich die Microsoft SQL Data Engine 1.0, die ebenfalls anfällig für die Lücke ist. Hier lässt Microsoft die Anwender jedoch im Regen stehen, ein Patch für MSDE 1.0 ist nicht erhältlich, da das Produkt offenbar nicht mehr unterstützt wird.

Über Windowsupdate.com sind die Patches übrigens gar nicht erhältlich, weil sowohl der SQL Server als auch MSDE keine Kernkomponente von Windows sind. Somit waren ständige Besucher dieser Webseite trotzdem von der Lücke betroffen, die SQL-Slammer ausnutzte. Die Liste der Produkte, die MSDE verwenden, ist lang und durchaus nicht nur auf Microsoft begrenzt. Software von Network Associates, Trend Micro, Hewlett Packard, Dell, Compaq, Cisco und noch vielen anderen Herstellern liefert ebenfalls das MSDE mit aus.

Auch Experten haben mittlerweile den Überblick in Microsofts Patch-Dschungel verloren. In der aktuellen c't 4/2003 (ab Montag, den 10. Februar, im Handel) kritisiert Bruce Schneier die Patch-Politik ebenfalls; seiner Ansicht nach verfolgt Microsoft einen völlig falschen Ansatz. (pab)