该链似乎是KB978338到KB978886到KB2563894到KB2588516(最新)。 所有这四个更新都在我们的WSUS服务器上获得批准。 KB978338被列为在所有机器上不适用,因为它已被取代。 这是我期望的行为。 但是,我们的安全办公室报告说KB978338仍应该安装在所有机器上,因为它的实际效果不会被其后的任何更新所复制。 以下是我发来的分析:
KB978886仅适用于Vista SP1。 SP2的推出没有解决ISATAP漏洞并重新引入它。
KB2563894只更新两个文件(Tcpip.sys和Tcpipreg.sys)。 它不会更新其他12个受影响的ISATAP,UDP和NUD .sys和.dll文件。 (MS11-064)
KB2588516解决了格式错误的连续UDP数据包溢出问题。 但是没有解决与ISATAP相关的NUD和TCP .sys和.dll文件。 (MS11-083)
所以是的,很多IP漏洞。 但每个知识库解决了不会跨越到其他知识库的特定问题。
我们可以通过手动运行.MSU文件来安装KB978338,但是我们不确定是否会覆盖由后来的补丁更新的两个文件,因为我们将不按顺序安装补丁。
上述分析是否正确? supersession的链是不正确的定义的? 如果是,那么正确的报告方式是什么才能被正确的Microsoft团队改变? 目前我们正在使用Vista SP2的32位和64位安装。
注意:我应该提到,我也发布了这个在Technet上 。 我将随时更新我在那里获得的任何信息。
在其中一个安全性显示为需要KB978338的系统上检查这些文件的版本。
Bfe.dll
Fwpkclnt.sys
Fwpuclnt.dll
Ikeext.dll
Iphlpsvc.dll Netio.sys
Netiomig.dll
Netiougc.exe
TCPIP.SYS
Tcpipcfg.dll
Tcpipreg.sys
Tunmp.sys
Tunnel.sys
有时,检测可能会被一个或多个文件夹在与典型安全更新不同的“分支”上。 由于核心性质和大量受影响的文件,特别是此包中的文件也是许多其他QFE分支修补程序的主题。
安全更新通常在所谓的通用分发版本(GDR)分支中。 解决特定问题的修补程序位于所谓的快速修复工程(QFE)分支中,也称为有限分发版本(LDR)。 QFE文件通常包括GDR修复,但GDR修复可能不包括QFE修复。 这些文件通常在服务打包时重新收敛。 (通过全面testing的大多数公共QFE修补程序通常包含在下一个服务包中)。
如果这些文件中有任何文件在QFE分支上,则可能已经有了必需的修复程序。 大多数情况下,检测工作正常,并且安全更新通常都有两个分支的文件,以防QFE分支上有一个或多个文件。 通常会更新每个文件的多个版本,具体取决于产品可用的服务包数量。 对于KB978338,这就是为什么包含六个不同版本的tcpip.sys。 6.0.6000.17021,6.0.6000.21226,6.0.6001.18427,6.0.6001.22636,6.0.6002.18209和6.0.6002.22341。
更多信息:
http://blogs.technet.com/b/mrsnrub/archive/2009/05/14/gdr-qfe-ldr-wth.aspx
看起来像链确实搞砸了(它继续下去,978338取代974112) – 而在知识库中指出的唯一真正的替代关系是2588516取代2563894。
但是,系统仍然应该检测是否需要更新已被取代。 如果他们没有检测到,他们可能已经安装了更新 – 也许与同一个补丁的SP1版本,以便系统文件已经是正确的版本,但Vista SP2更新不显示为安装?
或者被取代的更新是否被拒绝? 这也会阻止检测。
显示已安装的更新时,是否显示被取代的更新? 而当您对Windows Update服务器而不是WSUS执行手动检查时,会发生什么情况?是否按需要显示?
这也给我们造成了一些困惑。 如果你只是检查Supersedence列,你会看到非XP的显示“替代别人,取代别人”的指标。 但是,自己检查更新详细信息后,您会看到“更新取代此更新”的条目为“无”。 这使我相信,上面的信息,这个补丁的一些文件是由更新的补丁更新,但不是所有的这个问题。 也许微软需要重新对这个补丁进行分类,或者发布包括所有4个文件的总结。