[English]Am 13. Mai 2025 (zweiter Dienstag im Monat, Patchday bei Microsoft) wurden verschiedene kumulative Updates für die unterstützten Versionen von Windows Server freigegeben. Nachfolgend habe ich die bereitgestellten Updates samt einigen Details für diese Windows Server-Versionen (von Windows Server 2012 bis 2025) herausgezogen.
Die nachfolgend aufgeführten Updates beheben die in Microsoft Security Update Summary (13. Mai 2025) beschriebenen und für Windows Server relevanten Schwachstellen.
Updates für Windows Server 2025
Eine Liste der Updates für Windows Server 2025 lässt sich auf dieser Microsoft-Webseite abrufen. Für Windows Server 2025 wurde das kumulative Update KB5058411 freigegeben, welches Sicherheitspatches und folgende Fixes beinhaltet:
- [Audio] Fixed: This update addresses an issue where the audio from your microphone might mute unexpectedly.
- [Eye controller] Fixed: The eye controller app doesn’t launch.
Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das aktuelle Windows Servicing Stack Update integriert. Vom Update ggf. verursachte Probleme (Citrix) und Installationsvoraussetzungen sind im Support-Beitrag aufgeführt.
Updates für Windows Server 2022/23H2
Für Windows Server 2022 sowie sowie für Windows Server 23H2 stehen folgende Updates zur Verfügung.
Update KB5058384 für Windows Server 23H2
Eine Liste der Updates für Windows Server 23H2 lässt sich auf dieser Microsoft-Webseite abrufen. Für Windows Server 23H2 wurde das kumulative Update KB5058384 freigegeben, welches Sicherheitspatches und folgende Fixes beinhaltet.
- [Graphics] Fixed: This update addresses an issue where users are unable to export or generate PDF or XLSX format reports with charts.
- [Graphics kernel] Fixed: This update addresses an issue that affects users trying to start a new console session after closing the previous one, where the new session doesn’t start successfully.
- [Windows Kernel Vulnerable Driver Blocklist file (DriverSiPolicy.p7b)] This update adds to the list of drivers that are at risk for Bring Your Own Vulnerable Driver (BYOVD) attacks.
Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das aktuelle Windows Servicing Stack Update integriert. Vom Update ggf. verursachte Probleme (Citrix) und Installationsvoraussetzungen sind im Support-Beitrag aufgeführt.
Update KB5058385 für Windows Server 2022
Eine Liste der Updates für Windows Server 2022 lässt sich auf dieser Microsoft-Webseite abrufen. Für Windows Server 2022 wurde das kumulative Update KB5058385 freigegeben, welches die OS-Build auf 20348.3454 anhebt. Das Update beinhaltet Sicherheitspatches und folgende Fixes:
- [Desktop Windows Manager (DVM)] Fixed: This update addresses an issue that affects the DWM, where it stops responding due to an access error in dwmredir.dll during remote session while connection or disconnection, resulting in a black or grey screen.
- [Graphics kernel] Fixed: This update addresses an issue that occurs when starting a new console session after closing the previous one, and the new session doesn’t start successfully.
- [Secure Boot Advanced Targeting (SBAT) and Linux Extensible Firmware Interface (EFI)] This update applies improvements to SBAT for the detection of Linux systems
- [Windows Kernel Vulnerable Driver Blocklist file (DriverSiPolicy.p7b)] This update adds to the list of drivers that are at risk for Bring Your Own Vulnerable Driver (BYOVD) attacks.
Dieses Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog und per WSUS sowie WUfB erhältlich. Im Patch ist das aktuell Windows Servicing Stack Update integriert. Vom Update ggf. verursachte Probleme und Installationsvoraussetzungen sind im Support-Beitrag aufgeführt.
Updates für Windows Server 2016/2019
Eine Liste der Updates für Windows Server 2016 und 2019 lässt sich auf dieser Microsoft-Webseite abrufen. Ich habe nachfolgend die betreffenden Update-Informationen herausgezogen.
Update KB5058392 für Windows Server 2019
Das kumulative Update KB5058392 steht nicht nur für Windows 10 2019 Enterprise LTSC etc. bereit, sondern auch für Windows Server 2019. Das Update beinhaltet Sicherheitsfixes, und Verbesserungen bzw. Fehlerbehebungen:
- [OS Security] Updates to the Windows Kernel Vulnerable Driver Blocklist (DriverSiPolicy.p7b). Additions have been made to blocklist drivers with security vulnerabilities that have been used in Bring Your Own Vulnerable Driver (BYOVD) attacks.
- [GRFX-Graphics] This update addresses an issue causing an error message on a blue screen particularly in cases linked to recent GDI updates with CHS GB18030-2022 fonts. Corruption occurs while the associated thread remains active, leading to an error message.
- [Secure Boot Advanced Targeting (SBAT) and Linux Extensible Firmware Interface (EFI)] This update applies improvements to SBAT for the detection of Linux systems.
Das Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog, per WSUS und WUfB erhältlich. Microsoft hat zudem das Service Stack Update (SSU) aktualisiert. Beachtet die im Support-Beitrag beschriebene Installationsreihenfolge, ggf. die Hinweise zu weiteren Anforderungen und eventuell vorhandener Probleme.
Update KB5058383 für Windows Server 1607
Das kumulative Update KB5058383 steht nicht nur für Windows 10 2016 Enterprise LTSC, sondern auch für Windows Server 2016, bereit. Das Update beinhaltet Sicherheitsfixes, Fehlerbehebungen und Verbesserungen, die ggf. im Supportbeitrag aufgeführt werden.
Das Update wird automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog, per WSUS und WUfB erhältlich. Microsoft hat zudem das Service Stack Update (SSU) aktualisiert. Beachtet die im Support-Beitrag beschriebenen Installationsanforderungen und eventuelle Hinweise auf vorhandene Probleme.
Updates für Windows Server 2012 / R2
Windows Server 2012/R2 sind im Oktober 2023 aus dem Support gefallen und bekommen nur noch mit ESU-Lizenz Updates. Beachtet die Hinweise auf die Installationsreihenfolge für Windows Server, die Microsoft in den KB-Artikeln angibt. Die Installation dieses erweiterten Sicherheitsupdates (ESU) schlägt möglicherweise fehl, wenn auf einem Azure Arc-fähigen Gerät installiert wird.
Update KB5058403 für Windows Server 2012 R2
Die Update-Historie für Windows Server 2012 R2 ist auf dieser Microsoft-Seite zu finden. Für Windows Server 2012 R2 wurde Update KB5058403 (Monthly Rollup for Windows Server 2012 R2) für Systeme mit ESU-Lizenz freigegeben. Das Update beseitigt diverse Schwachstellen und bringt folgende Fixes.
[Secure Boot Advanced Targeting (SBAT) and Linux Extensible Firmware Interface (EFI)] This update applies improvements to SBAT for the detection of Linux systems.
Dieses Update wird in Windows Server 2012 R2 automatisch von Windows Update heruntergeladen und installiert, ist aber auch im Microsoft Update Catalog sowie per WSUS erhältlich. Details zu Fixes sowie ggf. bekannte Probleme in Verbindung mit dem Update sind im Supportbeitrag genannt.
Ein Security-only Update für Windows Server 2012 R2 gibt es nicht.
Update KB5058451 für Windows Server 2012
Die Update-Historie für Windows Server 2012 ist auf dieser Microsoft-Seite zu finden. Für Windows Server 2012 mit ESU-Lizenz wurde Update KB5058451 (Monthly Rollup for Windows Server 2012) freigegeben. Es enthält nicht näher spezifizierte Sicherheitspatches, und bringt folgende Bug-Fixes.
[Secure Boot Advanced Targeting (SBAT) and Linux Extensible Firmware Interface (EFI)] This update applies improvements to SBAT for the detection of Linux systems.
Dieses Update ist im Microsoft Update Catalog sowie per WSUS erhältlich. Bei einer manuellen Installation ist das neueste Servicing Stack Update (SSU) vorher zu installieren – wobei dieses SSU nicht mehr deinstalliert werden kann. Probleme im Zusammenhang mit dem Update sind im KB-Artikel angegeben.
Ein Security-only Update für Windows Server 2012 gibt es nicht.
Details zu obigen Updates sind im Zweifelsfall den jeweiligen Microsoft KB-Artikeln zu entnehmen.
Ähnliche Artikel:
Microsoft Security Update Summary (13. Mai 2025)
Patchday: Windows 10/11 Updates (13. Mai 2025)
Patchday: Windows Server-Updates (13. Mai 2025)
Patchday: Microsoft Office Updates (13. Mai 2025)
Schade, das ReFS Problem unter Server 2025 wird anscheinend nicht angegangen. Dann wohl frühestens beim nächsten Patchday, glaube kaum, dass die das extra bringen.
Das heißt genau?
Welchen Fehler meinst du?
Dass man keine refs formatierte Dateien öffnen kann?
Du solltest dir einen anderen Nick zulegen – danke
Nein, es kommt bei Windows Server 2025 in Verbindung mit ReFS formatierten Laufwerken zu einer massiven Auslastung von CPU/RAM. Das geht wohl soweit, dass der Server nach kurzer Zeit unbenutzbar wird, je nachdem wie viel CPU/RAM der verbaut hat.
Das ganze wurde von MS gegenüber dem Backupanbieter Veeam bestätigt (und denen inzwischen wohl auch einen privaten Patch geschickt), der ist aber zumindest gemäß den KB-Artikeln nicht in diesem Update enthalten.
Falls du die Diskussion im Veeam Forum nachlesen möchtest, hier der Link (Forum ist nur auf Englisch): https://forums.veeam.com/veeam-backup-replication-f2/server-20225-high-cpu-and-ram-t96912.html
win server 2016 standard, DE, gestern nacht ewig und drei tage pseudo download mit wenigen bis null kilobit je sekunde und abbruch zwischenrein und reboot und erst im xten anlauf heute frueh gings dann final durch. ein elend mit microsoft
das grosse monats security update ist damit gemeint. der servicing stack kam dann zwischenrein als das grosse update fail-te und removal tool etc ging alles
lediglich das grosse update hatte haenger :(
Hallo
In Diversen Betriebssystemen, Serve 2019, Win11 24H2 , 23H2 hab ich bisher die Erfahrung gemacht das der Download unglaublich lange dauert, teilweise auch die onlinesuche nach vorhandenen Updates.
Es lief schon besser – und Bauchgefühl nicht prickelnd.
wie bei win 2016 gestern nacht wie gesagt. es waren sicherlich mal wieder irgendwelche zertifikate ueberlaufende CDN peerings oder solche backend schwierigikeiten die das ganze zeug einfach elend verzoegert haben.
Telekom-Kunde?
Wenn ja, dann ist es das altbekannte Peering-Thema. Lösung: Telekom-DNS nutzen.
wie das? telekom ja, aber win client systeme hatte kein stress, nur das elende server ding war rattenlangsam. es war auch kein traffic erkennbar also im wenigen kilobitbereich und das hielt viele stunden an. wenns n peering ist, waeren client windowse dann nicht auchb betroffen etc? wie dem auch sei.
dns server werden einfach vom provider genutzt als das was via pppoe zugeteilt wird etc nichts besonderes sonst.
Hm, wenn Du ein Windows Domänen Netz hast, dann läuft die lokale DNS Auflösung sicher über einen Windows Domain Controller. Wo holt der denn seine DNS Abfragen her, bzw. wird dann sicher auch der DHCP auf vom Windows Server zur Verfügung gestellt. Welchen DNS verteil der denn an die Clients. Bei Server ist dann sicher auch eine Feste IP mit fest vorgegebenem DNS auf der Netzwerkkarte eingetragen. Welche ist das? Der Router oder der Windows DNS?
Solltest Du allerdings eine Windows Domain haben und Dein Router macht das DNS, dann hast Du ganz andere Probleme….
Weis jemand warum das Kumulative Update von Server 2025 diesen Monat so exorbitant groß ist (über 4 GB)?
Das habe ich mich auch gefragt.
Auch das CU für Windows 11 Version 24H2 (KB5058411) hat eine Größe von ca. 4GB, das CU vom Monat April (KB5059087) hatte eine Größe von ca.800MB
Laut Kommentar von moinmoin vom 14.05.2025 auf seinem Blog Deskmodder:
„Das sind die Copilot+ PC Apps, die MS jetzt in jedes Update mit reinsteckt.“
Quelle:
https://www.deskmodder.de/blog/2025/05/13/kb5058411-windows-11-24h2-manueller-download-26100-4061-als-sicherheitsupdate-mai-2025/#comment-304467
Echt jetzt, dann ist der Quatsch ja ab jetzt immer über 4GB gross. Also bereits nach ein paar Monaten Veröffentlichung wird gleich jeden Monat unnötig viel mehr Speicherplatz für die Download/Inst benötigt. In 2 Jahren dann 10 oder was. Wahnsinnig Toll für schlanke VM’s. Was rauchen die in Redmond, nehmt mehr oder weniger *kopfbatsch*
Schade, so wirds wohl noch länger nichts mit Server 2025 sondern erst mit 2028 mit einer neuen LTSC-Build. Vielleicht. Oder eben doch bis Support-Ende von 2022 bis sich das ganze „normalisiert“ hat.
Für Windows Server 2008 und 2008R2 gibts auch wieder Updates:
Rollup = KB5058430
Security Only = K5058454
Internet Explorer = KB5058380
Ja, nur das die diesen Monat ein zweites Rollup hinterher geschoben haben, Gott weiß warum. KB5061196
Lt. Microsoft ist das ein Out-of-Band-Update, das zusätzlich zu den Fixes des KB5058430 die Sicherheitslücke CVE-2025-32709 schließt:
https://support.microsoft.com/de-de/topic/13-mai-2025-kb5061196-out-of-band-monatliches-rollup-fb75f183-4c3c-4e48-a586-ca0ee89d2af1
Da waren die wohl zu schnell mit dem KB5058430 und KB5058454.
Es gibt davon auch ein Security Only: KB5061195.
Die überarbeiteten Updates gibts nur für Server 2008R2.
Im Übrigen:
Server 2008R2 bekommt noch bis einschließlich Januar 2026 Updates.
Kurze Frage in die Runde: ich habe seit gestern auf einem Exchange 2019 das Problem, dass er
FIPFS Fehler 6027 halbstündlich loggt:
Der Prozess für das MS Filtering-Modulupdate konnte den primären Updatepfad nicht erfolgreich kontaktieren.
http://forefrontdl.microsoft.com/server/scanengineupdate/
Es werden keine neue Updates mehr heruntergeladen bzw. erkannt.
Hat noch wer das Problem?
Yep.
Ja, hier auch mit Exchange 2016.
Der Fehler taucht erstmals seit gestern um ca. 4 Uhr nachts auf und dann wieder um 8:45 Uhr und seit dem halbstündlich.
Mit dem Server-Update kann das nichts zu tun haben, denn das habe ich erst gestern mittag installiert, also Stunden nachdem der Fehler regelmäßig auftaucht.
Allerdings ist der gemeldete Updatepfad anders als oben genannt:
http://amupdatedl.microsoft.com/server/amupdate
Beim manuellen Aufruf der Adressen sollte eigentlich ein 404-Fehler erscheinen.
Tut es aber nicht.
Statt dessen kommt:
„An error occurred while processing your request.“
Muß natürlich 403-Fehler „Access Denied“ anstatt 404-Fehler heißen.
Auch bei uns und bloß nicht manuell versuchen das Update durchzuführen.
Das hat bei uns die Engine gekillt und dazu geführt, dass der damalige Y2k22-Bug wieder aufgepoppt ist und die Mail-Queue wieder vollläuft.
Wir mussten jetzt den Anti-Malware Agent deaktivieren und den ByPass aktivieren, damit die Mails wieder verarbeitet werden.
Bei uns tritt seit gestern Mittag etwas ähnliches auf. Es werden keine internen Mails mehr zugestellt, die von Geräten kommen. Scans per Mail oder Backup-Mails usw.
Auf dem Exchange 2019 (hybrid) sind im Eventlog jedesmal
FIFPS 2203 „A FIP-FS Scan process returned error 0x84004003 PID: 19228 Msg: Scanning Process caught exception“
sowie die Warnung 3814 MSExchange Antimalware „Unable to scan the message for malware. Make sure that your anti-malware engines are properly configured and are updating correctly“ zu sehen.
Bisher hat das aktivieren des Bypasses als einziges die Funktion wiederhergestellt.
https://learn.microsoft.com/en-us/exchange/antispam-and-antimalware/antimalware-protection/antimalware-procedures
Installiert auf MS Windows Server 2022 Standard (physikalische Maschine), keine besonderen Vorkommnisse.
Unsere Server 2025 ziehen das neue Update vom WSUS nicht. Sie finden keine Updates. Am WSUS ist das Update ordnungsgemäß freigegeben. Mit Server 2016/2019 & 2022 gibt es keine Probleme. Hat jemand das gleiche Problem?
Bei uns ist es so das alle 2019 Server keine Updates mehr auf dem WSUS finden. Bei den 2022ern gibt es keine Probelme.