Drei Updates mit fehlenden oder ungültigen Dateisignaturen

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby Dalai » 05.03.2019, 00:23

aker wrote:Frage: War das 64-bit XP mit dem Internet verbunden?

Ja, alle XP-Systeme haben Internetzugang. Aber wie schon gesagt hab ich die Root-Zertifikate und Sperrlisten per rootsupd.exe und rvkroots.exe ins System gepackt, so dass das benötigte Timestamp-Zertifikat wahrscheinlich schon dabei ist/war.

Grüße
Dalai
Dalai
 
Posts: 924
Joined: 12.07.2016, 21:00

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby aker » 05.03.2019, 00:28

Das Timestamp-PCA ist nicht Teil der rootsupd.exe; zumindest hat ein Windows 7 mit rootupd.exe dieses Zertifikat nicht installiert und meldet den selben Fehler. Werde das morgen mal noch einmal in einer VM nachstellen (mit einer Windows 7 2017-12 slipstream ISO), glaube aber, dass mein Windows 7 Rechner in der Hinsicht repräsentativ ist.

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 3345
Joined: 02.03.2011, 15:32
Location: %SystemRoot%\System32\Boot\winload.efi

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby aker » 05.03.2019, 23:40

Konnte gerade unter Windows 7 nachvollzogen werden:
:arrow: http://www.mediafire.com/folder/vvnstn1fv9b0o/Timestamp_Cert

Systeminformationen:
- VirtualBox, keine Internetverbindung
- frisch installiertes Windows 7 Professional x64
- alle Updates bis 2017-12 geslipstreamed
- rootsupd.exe & rvkroots.exe auf Bild 1 nicht installiert, auf Bild 2 schon

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 3345
Joined: 02.03.2011, 15:32
Location: %SystemRoot%\System32\Boot\winload.efi

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby hbuhrmester » 06.03.2019, 13:30

aker wrote:Ich hoffe, ich habe gerade nichts überlesen:

Helfen diese Root-CA-Updates?
:arrow: http://forums.wsusoffline.net/viewtopic.php?f=7&t=6653


Die Dateien rootsupd.exe und rvkroots.exe hatte ich auf meinem Windows XP bereits installiert. Sie wurden von WSUS Offline Update 9.2.4 ESR automatisch heruntergeladen, nachdem ich eine funktionierende Datei wsusoffline/static/custom/StaticDownloadLinks-win-x86-glb.txt erstellt hatte:

Beim Upgrade von Windows XP mit WSUS Offline Update 9.2.4 ESR wurden diese beiden Dateien dann auch automatisch installiert.

Aus dem wsusofflineupdate.log:
Code: Select all
14.01.2019 14:29:08,36 - Info: Medium build date: 2019-01-14
14.01.2019 14:29:08,42 - Info: Medium supports Microsoft Windows (wxp x86 deu)
14.01.2019 14:29:10,01 - Info: Installed ..\win\glb\rootsupd.exe
14.01.2019 14:29:10,74 - Info: Installed ..\win\glb\rvkroots.exe


Aber rootsupd.exe aktualisiert eben nur die Root-Zertifikate. Zum Beispiel werden die Zertifikate Microsoft Root Certificate Authority 2010 und Microsoft Root Certificate Authority 2011 installiert.

Das Zertifikat Microsoft Root Certificate Authority 2011 wird sogar doppelt installiert: einmal als Vertrauenswürdiges Stammzertifikat, zusammen mit anderen Microsoft-Root-Zertifikaten, und dann als Drittanbieter-Stammzertifikat. Wenn man diese Zertifikate exportiert, dann bekommt man zwei gleiche Dateien – die Zertifikate sind also tatsächlich genau gleich, obwohl sie in unterschiedliche Zertifikats-Stores installiert wurden.

Die in den Updates verwendeten Zwischen- und Endzertifikate wurden von rootsupd.exe nicht installiert. Bei einem Download-Run mit WSUS Offline Update 11.6 unter Windows XP fehlte deshalb das Zwischenzertifikat Microsoft Time-Stamp PCA, und das Update offowc-x-none_12f0a2cac32ff7baf38c9198403be5f9d36a4227.cab konnte nicht verifiziert werden.

Viele Grüße
hbuhrmester
 
Posts: 381
Joined: 11.10.2013, 20:59

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby Dalai » 06.03.2019, 14:41

Sieht man dieses Timestamp-Zertifikat irgendwo, insbesondere, wenn ein System Internetzugang hat (und dadurch die Signaturen verifizieren kann)? Irgendwie muss das Problem ja gelöst werden, wenn auch Win7 betroffen ist, wenn es rein offline mit Updates versorgt wird.

Grüße
Dalai
Dalai
 
Posts: 924
Joined: 12.07.2016, 21:00

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby boco » 06.03.2019, 18:01

Windows 7 hat dieses Problem schon seit Jahren mit Dotnet - WOU hat rootsupd rausgekachelt und bei Offline-System kommt schon das Root-Zertifikat nicht drauf.

Man könnte die Zertifikate sammeln und per certutil vor den eigentlichen Updates hinzufügen. Gibt es so wohl nicht direkt bei MS zum Laden.
Microsoft update catalog: http://catalog.update.microsoft.com/v7/site/
Windows Install media download: https://support.microsoft.com/en-us/help/15088/windows-create-installation-media
boco
 
Posts: 2204
Joined: 24.11.2009, 17:00
Location: Germany

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby Dalai » 06.03.2019, 18:12

boco wrote:Windows 7 hat dieses Problem schon seit Jahren mit Dotnet

Nicht nur da. Visual C++ 2010 lässt sich ebenfalls nicht rein offline installieren, wenn das Microsoft Root Certificate Authority 2011 Zertifikat im System fehlt. Das war der Grund dafür, dass ich meine unbeaufsichtigte Windows-Installation so erweitert habe, dass dieses Zertifikat per certutil.exe installiert wird.

Man könnte die Zertifikate sammeln und per certutil vor den eigentlichen Updates hinzufügen.

Genau in diese Richtung ging mein Gedanke. Geht aber eben nur, wenn man die Zertifikate von irgendo beziehen kann.

Grüße
Dalai
Dalai
 
Posts: 924
Joined: 12.07.2016, 21:00

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby aker » 06.03.2019, 21:36

Ich könnte morgen ein Windows 7 SP1 und Office 2010 aufsetzen, mit dem Rootsupd versehen, den Zertifikatspeicher exportieren, WU laufen lassen (das kann aber dauern) und dann die neu hinzugekommenen Zertifikate exportieren...

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 3345
Joined: 02.03.2011, 15:32
Location: %SystemRoot%\System32\Boot\winload.efi

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby aker » 06.03.2019, 22:21

Notiz am Rand: Windows 8.1 sowie Windows 10 (15063) x64 haben das Zertifikat auch nicht...

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 3345
Joined: 02.03.2011, 15:32
Location: %SystemRoot%\System32\Boot\winload.efi

Re: Drei Updates mit fehlenden oder ungültigen Dateisignatur

Postby Dalai » 07.03.2019, 03:00

Die URLs der Zertifikate und CRLs stecken in den Signaturen der Updates selbst. Ich hab sie mal aus einem Update rausgezogen, auf die wesentlichen beschränkt und sortiert:
Code: Select all
http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-2010.crl
http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_2010-07-06.crl
http://crl.microsoft.com/pki/crl/products/MicRooCerAut_2010-06-23.crl
http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl
http://crl.microsoft.com/pki/crl/products/MicrosoftTimeStampPCA.crl
http://crl.microsoft.com/pki/crl/products/MicTimStaPCA_2010-07-01.crl
http://www.microsoft.com/pki/certs/MicCodSigPCA_08-31-2010.crt
http://www.microsoft.com/pki/certs/MicCodSigPCA_2010-07-06.crt
http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
http://www.microsoft.com/pki/certs/MicrosoftRootCert.crt
http://www.microsoft.com/pki/certs/MicrosoftTimeStampPCA.crt
http://www.microsoft.com/pki/certs/MicTimStaPCA_2010-07-01.crt
Keine Ahnung, ob das irgendwie weiterhilft.

Letztlich ist es aber so: UpdateGenerator hat eh Internetzugang, so dass eine Verifizierung der Signaturen möglich ist* und der UpdateInstaller hat mit den Signaturen gar nichts zu tun. Insofern muss eigentlich gar nichts weiter unternommen werden, oder? Wäre zwar schön, wenn's auch unter XP ginge, aber ich sehe nicht, wie das dazu überredet werden könnte.

*) Das geht nicht (mehr) unter XP 32-bit und in ein paar Monaten, wenn die Updates nur noch SHA2-Signaturen aufweisen, geht's auch unter Win7 nur, wenn ein entsprechendes Update installiert ist.

Grüße
Dalai
Dalai
 
Posts: 924
Joined: 12.07.2016, 21:00

PreviousNext

Return to Anregungen / Suggestions

Who is online

Users browsing this forum: No registered users and 4 guests