Neues Problem für Betreiber von Windows Server-Installationen auf Lenovo Hardware. Das November-Security Update for Boot Manager (3193479) führt bei einigen Lenovo Servern dazu, dass diese anschließend im Lenovo Splash-Screen hängen bleiben und nicht mehr booten.
In Firmenumgebungen ist es eine gute Praxis, Updates per WSUS erst einmal ein paar Tage zu verzögern, um zu schauen, ob es Kollateralschäden gibt. Für den November 2016-Patchday war es gut, die “paar Tage” auf “bis Ende November” auszudehnen.
Worum geht es?
Zum November-Patchday hat Microsoft eine Reihe Updates herausgegeben (siehe Microsoft Patchday 8. November 2016). Update MS16-140, Security Update for Boot Manager (3193479), wird von Microsoft als hoch eingestuft und wurde für:
- Windows 8.1
- Windows RT 8.1
- Windows 10
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
ausgerollt. Das Update steckt beispielsweise in:
- KB3197876 (Sicherheits- und Qualitätsupdate für November 2016 für Windows Server 2012)
- KB3197877 (Sicherheitsqualitätsrollup vom November 2016 für Windows Server 2012)
- KB3197873 (Sicherheits- und Qualitätsupdate vom November 2016 für Windows 8.1 und Windows Server 2012 R2)
- KB3197874 (Monatliches Sicherheits- und Qualitätsrollup vom November 2016 für Windows 8.1 und Windows Server 2012 R2)
- KB3200970 (Kumulatives Update für Windows 10 Version 1607 und Windows Server 2016: Dienstag, 8. November 2016)
Das Update korrigiert wohl eine Sicherheitsanfälligkeit CVE-2016-7247 in der Startkomponente (UEFI-Boot). Dadurch können Sicherheitsrichtlinien beim Secure Boot umgangen werden.
Lenovo-Systeme der Modellreihen Lenovo System X M5 und X6 sind von dieser Sicherheitsanfälligkeit betroffen. Unter Windows Server 2012 oder Windows Server 2012 R2 ist der Fehler nur bei aktiviertem “Secure Boot” relevant. Bei Windows Server 2016 gibt Lenovo an, dass die Anfälligkeit unabhängig von der Secure Boot-Konfiguration besteht. Administratoren waren also angehalten, die oben aufgelisteten Updates zügig einzuspielen.
Wo liegt das Problem?
Lenovo hat gestern (24.11.2016) den Artikel System hangs at Lenovo splash screen after Windows Server 2016, 2012R2, or 2012 November update – Lenovo System X M5 and X6 veröffentlicht, der auf ein fettes Problem hinweist. Bei bestimmten Lenovo-Systemen (konkret Lenovo System X M5 und X6), die mit Windows Server 2016, Windows Server 2012R2 oder Windows Server 2012 betrieben werden, kann der Server nach der Update-Installation nicht mehr booten. Vielmehr bleibt die Maschine beim Lenovo Splash-Screen hängen. Lenovo gibt folgende Maschinen als betroffen an:
- Lenovo Flex System x240 M5 Compute Node, Type 2591, any model
- Lenovo Flex System x240 M5 Compute Node, Type 9532, any model
- Lenovo Flex System x280 X6 Compute Node, Type 4258, any model
- Lenovo Flex System x280 X6 Compute Node, Type 7196, any model
- Lenovo Flex System x480 X6 Compute Node, Type 4258, any model
- Lenovo Flex System x480 X6 Compute Node, Type 7196, any model
- Lenovo Flex System x880 X6 Compute Node, Type 4258, any model
- Lenovo Flex System x880 X6 Compute Node, Type 7196, any model
- Lenovo NeXtScale nx360 M5 AC, Type 5465, any model
- Lenovo NeXtScale nx360 M5 WC, Type 5467, any model
- Lenovo System x3250 M6, Type 3633, any model
- Lenovo System x3250 M6, Type 3943, any model
- Lenovo System x3500 M5, Type 5464, any model
- Lenovo System x3550 M5, Type 5463, any model
- Lenovo System x3550 M5, Type 8869, any model
- Lenovo System x3650 M5, Type 5462, any model
- Lenovo System x3650 M5, Type 8871, any model
- Lenovo System x3850 X6, Type 6241, any model
- Lenovo System x3950 X6, Type 6241, any model
Für die betreffenden Modelle stellt Lenovo ein UEFI-Update bereit, welches über das IMM Web-Interface oder per OneCLI Tool installiert werden kann. Vor der Aktualisierung des UEFI sollte das November 2016-Update auf den betreffenden Maschinen nicht installiert werden. Lenovo empfiehlt die automatische Update-Installation abzustellen – ein Austausch des Mainboards verhindert den Fehler nicht, wenn das Update wieder eingespielt wird. Bleibt nur zu hoffen, dass ihr noch nicht in diesen Mist rein gerauscht seid. (via)
Ähnliche Artikel:
Microsoft Patchday 8. November 2016
Office-Updates für 1. November 2016
Oktober-Patchday: Einstieg in Windows 7/8.1 Rollup-Updates
Patchday-Infos: Was ab Oktober für Windows 7/8.1 kommt
Update-Strategien für Windows 7/8.1 ab November 2016
Windows 7: Die Update-Suche fixen/beschleunigen (Nov. 2016)
Windows 8.1: Die Update-Suche dauert ewig/findet nichts
Windows 10: Updates KB3200970, KB3198586, KB3198585
Rollup Updates KB3197867, KB3197868 (Windows 7) und KB3197873, KB3197874 (Windows 8.1).
Wenn da jetzt große Firmen von betroffen sind und nicht mehr nur der kleine Otto-Normaluser, dann wirds für MS und/oder Lenovo langsam wirklich peinlich und evtl. teuer (Stichwort „Sammelklagen“)
Mir gefällt der Spruch aus der Unix-Welt, der da ungefähr so geht:
Halte es klein und einfach. Jedes Programm macht eine Funktion, und die aber richtig gut.
Heute wird nur alles komplexer.
Kann man machen, nur dann darf man nicht mit der heißen Nadel stricken und gutes QM haben.
Zum Thema UEFI und Secureboot ein gestriges Erlebnis:
Der Sohn einer Arbeitskollegin hatte sich einen Gamer-PC zusammengebaut und wollte win10 home 64bit Vollversion vom Original MS-Stick installieren.
Installation blieb kurz nach dem start der Installtion mit BSOD stecken.
Ist dann zum Computerladen. Der Fachmann meinte, er hätte was falsch auf dem MB gesteckt.
Dann kam er zur mir. Habe erstmal Boot von Auto (optionen = Auto, Uefi, Legacy) auf UEFI gestellt, Securebooot auf on. O.g. win10 braucht das ja so.
Meldung: VGA card ist not supported by UEFI Drive.
Dann Securboot ausgeschaltet und vom Mint 17.3 Stick einwandfrei gebootet.
Ich weiß jetzt nicht wie das Problem mit Win10 zu lösen ist, habe dem Sohn empfohlen, die Geforce GTX580 zunächst wieder auszubauen und die mit der Onboard-gpu zu Booten und w10 zu installieren.
Wie man der efi dann die Graka „beibringt“ weiß ich auch noch nicht.
Möglicherweise kann er die für Win10 gar nicht gebrauchen.
Habe mich allerdings irgendwie gefreut, daß Linux lief (und win10 nicht.
Hat er danach doch noch hinbekommen.
Jetzt bin ich echt etwas verwirrt.
Koennte mir jemand sagen ob jetzt mein lenovo lappy das Nov. rollup Problem haben wuerde oder nicht??
(Ich hatte schon mal so eins, ganz genau bei meinem allerersten Windows update mit diesem laptop, im 2014, das ziemlich viele andere user auch betroffen hatte, Windows startete schlicht nicht mehr und ich musste das Windows backup installieren – welches unterdessen schon lange nicht mehr genuegend Platz auf dem extra SSD drive dafuer im lappy hat und deshalb wohl beim naechsten Mal nicht mehr funktionieren wuerde)
Ich schau mir gerade die Details meiner Version an, aber besonder schaluer macht ich das auch nicht.
Lenovo Flex 2-15
Model 20405
BIOS version / date: March 2014
Aber irgendwas von M5 oder X6 kann ich nirgends sehen, wo waere die Ifo zu finden??
Ich bin mit den Windows updates so sehr verunsichert dass ich nur noch die updates fuer Win Defender installiere, alles andere muss erstmal via internet search abgewartet werden, vielleicht zum Glueck wenn ich jetzt sowas wieder lese??
HI,
auch im Jahr 2019 passiert dieser Fehler noch… :(
Gerade eben ein System X3650 M5 damit gehabt. Lief eine weile ohne Probleme mit 2016 und dann wollte das System nicht mehr…
Hier half das Update des UEFI BIOS am Server. Das dauerte allerdings auch eine weile bis das komplett fit war (hin lange im UEFI Modus)