WSUS Sicherheitslücke - CVE-2025-59287

[phatair 42]

Hallo zusammen,

 

es gibt eine schwerwiegende Sicherheitslücke im WSUS

https://www.heise.de/news/Microsoft-WSUS-Notfallupdate-stopft-kritische-Codeschmuggel-Luecke-10845666.html

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

 

Was mich wundert ist folgende Aussage von MS

Zitat

The WSUS Sever Role is not enabled by default on Windows servers. Windows servers that do not have the WSUS server role enabled are not vulnerable to this vulnerability. If the WSUS server role is enabled, the server will become vulnerable if the fix is not installed before the WSUS server role is enabled.

 

Heißt das jezt, dass ich die WSUS Rolle vorher deinstallieren muss, dann fix installieren und dann wieder die Rolle installieren?

Oder verstehe ich das falsch?

[dartzen 9]

Ich lese das eher als Warnung für Admins: Wenn man einen Server hat und das Update nicht installiert hat, weil der bisher nicht die WSUS Rolle hatte, und jetzt die WSUS Rolle aktiviert ist der Server angreifbar. Ich lese da nicht raus, das zur Installation des Patches die Rolle deinstalliert werden müsste.

[NorbertFe 2.294]

Genau so interpretiere ich das auch. Was ja auch vollkommen logisch ist. Es bezeichnet eben den Fall, dass jemand meint er wäre jetzt nicht betroffen weil er keinen WSUS nutzt und 2 Wochen später kommt Kollege Schnürschuh auf die Idee jetzt den WSUS auf diesem "nicht gepatchten" Server in Betrieb zu nehmen und macht damit die RCE Lücke auf.

[phatair 42]

Ok, danke euch.

So hatte ich das jetzt gar nicht gesehen, macht aber Sinn.

Anders wäre es auch irgendwie komisch gewesen, aber bei MS weiß man ja nie