皆さん、こんにちは。
脆弱性の修正、セキュリティ強化等を目的にセキュリティ更新プログラムがリリースされます。しかし、セキュリティ強化を目的とした更新の結果、そのセキュリティ強化に対応できていない サード パーティ製品で問題が発生することがあります。 MS15-121 (3081320) もそのような問題が確認できている更新プログラムですが、更新の包含関係がわかりにくいので、本ブログで説明します。
[MS15-121] なりすましを解決する Schannel のセキュリティ更新プログラム (2015 年 11 月 10 日)
https://support.microsoft.com/ja-jp/kb/3081320
MS15-121 では、 SSL/TLS 通信で利用される Schannel というモジュールへのセキュリティ強化が 図られています。セキュリティ強化に対応できていないソフトウェアがインストールされている場合、本更新プログラムの適用により問題が生じます。 また、同様の問題は、更新プログラムの修正を含む別のプログラムが適用された場合にも発生します。具体的には、この MS15-121 の更新内容は、同時にリリースされました次の更新プログラムにも含まれます。
[MS15-122] Windows Kerberos 用のセキュリティ更新プログラムについて (2015 年 11 月 10 日)
https://support.microsoft.com/ja-jp/kb/3101246
[MS15-115] Windows 用のセキュリティ更新プログラムについて 2015 年 11 月 10 日
https://support.microsoft.com/ja-jp/kb/3101746
そのため、手動で更新プログラムの適用をおこなっている環境では MS15-115 または MS15-122 の適用でも MS15-121 に記載されている既知の問題に注意が必要です。 同様に MS15-121 は、それ以降の更新プログラム (例. MS16-075) にも含まれていますので同様に注意が必要です。いずれの場合でも問題が生じた場合、根本的な対処にはソフトウェアの更新が必要ですが、 MS15-121 に記載されているレジストリ設定による回避策が有効です。
[MS16-075] および [MS16-076] Windows Netlogon および SMB Server のセキュリティ更新プログラムについて (2016 年 6 月 14 日)
https://support.microsoft.com/ja-jp/kb/3161561
更新プログラムの包含関係については、セキュリティ情報には直近の 1 つしか含まれません。
しかし、 Microsoft Update カタログ (https://catalog.update.microsoft.com/) を利用すれば、過去のどの更新プログラムを置き換えるかということがわかりますので、参考までに Microsoft カタログを利用して更新プログラムの包含関係を確認する方法をご案内します。
1. https://catalog.update.microsoft.com/ にアクセスします。
2. 右側にボックスが表示されているので、今回は 3161561 と入力して [検索] をクリックします。
3. 対象製品毎に情報が表示されますので、今回は “Windows Server 2008 R2 x64 Edition 用セキュリティ更新プログラム (KB3161561)” をクリックします。
4. [パッケージの詳細] をクリックします。
5. “この更新プログラムは、次の更新プログラムを置き換えます:” の項目を確認します。ここで 3081320 の情報が得られます。
なお、 Microsoft Update カタログで 3081320 についての情報を見ていくことで、この更新プログラムを置き換えている修正の一覧を見ることも可能です。