Misc.

2024/01/10

今日 (1/10 JST)の Windows Update(2024-01 B)(追記多数あり)

今日は毎月恒例のセキュリティ更新(Patch Tuesday、B リリース)です。Windows、.NET Framework、.NET、Microsoft 365 Apps/Microsoft Office の更新あります。Microsoft 365 Apps/Microsoft Office は昨日の夕方既に出てました。

Take action: January 2024 security update is now available
https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#3229

.NET Framework January 2024 Security and Quality Rollup
https://devblogs.microsoft.com/dotnet/dotnet-framework-january-2024-security-and-quality-rollup/
 January 9, 2024 Cumulative Update for .NET Framework 3.5 and 4.8.1
 https://support.microsoft.com/en-us/help/5033920
 https://support.microsoft.com/en-us/help/5034275
 ・・・

.NET January 2024 Updates – .NET 8.0.1, 7.0.15, .NET 6.0.26
https://devblogs.microsoft.com/dotnet/january-2024-updates/ 

Update history for Microsoft 365 Apps (listed by date)
https://learn.microsoft.com/en-us/officeupdates/update-history-microsoft365-apps-by-date

Release notes for Microsoft Office security updates
https://learn.microsoft.com/en-us/officeupdates/microsoft365-apps-security-updates

Release notes for Hotpatch in Azure Automanage for Windows Server 2022
https://support.microsoft.com/en-us/help/5011273 

何かあれば追記するかも。  

・2024 年 1 月のセキュリティ更新プログラム (月例) | Japan Security Team
https://msrc.microsoft.com/blog/2024/01/202401-security-update/

・2024 年 1 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/releaseNote/2024-jan

・回復パーティションのサイズが足りないと、Windows 11 21H2(Ent/Edu のみ、Home/Pro は EoS)、Windows 10 21H2/22H2、Windows Server 2022 (Server Core も含む)向けの 2024-01 の WinRE の更新は失敗すると思う。失敗した場合の回避方法は、一般ユーザーには無理じゃないかと思う。Windows 11 22H2/23H2 は CU に含まれるけど、足りなければサイレントに失敗して WinRE をロールバックされるけど、以下の更新は対処しないと、毎回エラーで失敗を繰り返すかも。セキュリティ更新だからしょうがないのかもしれないですが、結構な確率で失敗&回避策が難解なのは、オプションにしてほしい。

KB5034441: Windows Recovery Environment update for Windows 10, version 21H2 and 22H2: January 9, 2024 https://support.microsoft.com/en-us/help/5034441 

KB5034440: Windows Recovery Environment update for Windows 11, version 21H2: January 9, 2024 https://support.microsoft.com/en-us/help/5034440

KB5034439: Windows Recovery Environment update for Azure Stack HCI, version 22H2 and Windows Server 2022: January 9, 2024 https://support.microsoft.com/en-us/help/5034439

IMPORTANT
Some computers might not have a recovery partition that is large enough to complete this update. Because of this, the update for WinRE might fail.
This update requires 250 MB of free space in the recovery partition to install successfully. If the recovery partition does not have sufficient free space, this update will fail.” (1/12 PT 情報更新)

Known issues in this update
When you try to apply this update on a PC that has no recovery partition, the update is unsuccessful and you receive the error 0x80070643 ERROR_INSTALL_FAILURE." → "You do not need this update if the PC does not have a recovery partition. In this case, the error can be safely ignored.  We are working on a resolution and will provide an update in an upcoming release.  " (1/12 PT KB5034439

BitLocker のセキュリティ機能のバイパスの脆弱性(CVE-2024-20666)関連のセキュリティ更新。回復パーティションのサイズ調整はこちらを参考に。Windows 11 22H2 以降は CU に含まれて更新(サイズ不足はサイレントに失敗すると思う)されますが、今月はそれ以外のバージョンに対しても個別の更新プログラムで来てしまい、パーティション不足はエラーで失敗(0x80070643)。”ダウンロードエラー”と表示されるけど、実際にはパッチ済み winre.wim の格納に失敗&ロールバック。ディスク不足と必要なサイズについては、C:\Windows\Logs\WinREAgent\setupact.log と setuperr.log を参照。

Windows 11 ver 22H2 の WinRE は CU で更新できればされるらしい(2023-06 C~)
Windows 11の「Windows回復環境(WinRE)」が累積更新でアップデートされるように変わった!@IT
毎月の累積更新プログラムでWindows回復環境の“何が”、“どのように”更新されるのか?@IT

今回、個別にWinREの更新がきた Windows バージョンは、既定のインストールのパーティション構成だとエラー必至だと思う。Windows Server 2022(Desktop Experience と Server Core)はすべてパーティション拡張必要だった。

ちなみに、Windows Server 2022 Server Core の場合、足りなかったときのエラー↓、分かり難い。

Server Core の場合、回復パーティションを増やしてもまた別のエラーに遭遇。setupact.log と setuperr.log に Error "[WinREUpdInst] Failed to add DISM package by path[gle=0x0000007a]" が記録されて失敗。パーティションをマニュアルで構成して(回復パーティション1GB)、クリーンインストールしても、WinRE の更新は同じエラーで失敗。Server Core 固有のバグじゃね?(未解決) Feedback Hub

1/11 追記) 英語版 Windows Server 2022 Server Core も同じエラーで失敗。あと、reagentc /disable で WinRE を無効にしても、パッチ済み winre.wim をマニュアルでコピーしても、WinREの更新はやってくる。そして、日本語版 Server Core の sconfig はバグがあって更新プログラムの個別インストール(sを受け付けない)ができない。Azure Stack HCI v22H2 も Server Core ベースだからエラーになるような気がする

 

1/11 さらに追記)Azure VM の Windows Server 2022 (Azure Edition を含む)は、WinRE が既定で無効になっていて(回復パーティションもない)、それを理由に KB5034439 が  0x80070643 エラーを繰り返す。これって問題なんじゃ?→ Feedback Hub

1/11 さらにさらに追記)回復パーティションを十分に確保しても、WinRE が無効になっている(reagentc /disable)とやっぱり失敗する。

同じシステムで WinRE を有効にすると(reagentc /enable)、今度は成功する。(Server Core はそれでも失敗する)

ちなみに、WinREの更新プログラムは、C:\Windows\SoftwareDistribution\Install\WinREUpdateInstaller_2401B_amd64.exe にダウンロードされる。この実行ファイルを実行するとインストールが始まるっぽい。

1/12 追記)WinREの更新プログラムの既知の問題として「問題 エラー コード処理ルーチンに問題があるため、ディスク領域が不足している場合に通常表示されるエラー メッセージではなく、次のエラー メッセージが表示される可能性があります: 0x80070643・・・」とありますが、問題はメッセージだけでなく、Server Core での失敗の修正や、BitLocker が無効やWinREが無効なら、更新をスキップするみたいな配慮がほしい。今後どうするつもりなのか見守るため、更新エラー状態の環境を残しておく。

1/13 追記)KB の既知の問題更新された。

"You do not need this update if the PC does not have a recovery partition. In this case, the error can be safely ignored.  

We are working on a resolution and will provide an update in an upcoming release.

1/13 追記)1/9付けで(1月の定例更新と同日)に以下のKBが出ていますが、これは今回の更新エラーを解決するために(結果として解決できるかもしれませんが)提供されたものではないと思いますし、WinRE 無効のとき(更新不要)や Server Core でのエラーは回避できないと思います。今回の更新エラーの回避策として記事にしているニュースサイト(これとか→1/15 ニュース消滅、その後修正)もありますが、誤報の疑いあり。

KB5034957: CVE-2024-20666 のセキュリティの脆弱性に対処するために、展開されたデバイスの WinRE パーティションを更新する
https://support.microsoft.com/en-us/help/5034957
https://support.microsoft.com/ja-jp/help/5034957

1/14 追記)既知の問題確認済み、回避策は回復パーティションのサイズ拡大。 将来の更新で解決を目指している。

The January 2024 Windows RE update might fail to install
https://learn.microsoft.com/en-us/windows/release-health/status-windows-10-22h2#3231msgdesc  

1/15 追記)KB5034957 のサンプル スクリプトは 2023年3月に出たのとほとんど同じ。回復パーティションのサイズが足りなければエラーになると思う。

この脆弱性対策パッチはやっかいだ(セキュリティのことではなく、WinRE.wimに対するオフラインパッチが)(2023/03/20)
    KB5025175: CVE-2022-41099 のセキュリティの脆弱性に対処するために、展開されたデバイスの WinRE パーティションを更新する
    https://support.microsoft.com/help/5025175

今回の問題の更新とは異なり、回復パーティションのwinre.wimを直接マウントしてパッチ後、アンマウントしていて(問題の今回の更新はC:\$WinREAgent でパッチして入れ替えorロールバック)、サイズ増加が影響しない場合もあるので成功する可能性はあるけど。これでパッチしても今回の更新はやってきて、やっぱり失敗する(今回の更新は現在のWinREのバージョンを無視してる?)。ちなみに、Windows 10 22H2 の場合、2022-10 ISO でインストール時の回復パーティションは589MB、初期の winre.wim は約 487MB、KB5025175 のオフラインパッチ後の winre.wim は約 488MB と微増で成功、今回の問題の KB5034441 の winre.wim は約 512MB で回復パーティションを+50~100MBくらいしないと失敗。


 1/16 追記)対策方法を記事にしました。MS の回復パーティション拡張手順(https://support.microsoft.com/help/5028997)には回復パーティションのID設定部分が説明不足(誤り?)があるので注意(コメント欄にあるように)。→ Feedback Hub Windows 10/11で「2024年1月の更新プログラム」のインストールが失敗(エラー0x80070643)! その原因は?@IT(←初出時タイトル ”Windows 11で..."になっていますが、チェック漏れでした。修正済みです)
https://atmarkit.itmedia.co.jp/ait/articles/2401/16/news011.html

1/23 追記)KB5034957: CVE-2024-20666  の手動オフラインパッチには Server 2016/2019 が入ってないけど、Windows 10 1607 x64 (for Server 2016) や 1809 x64(for Server 2019)の Safe OS Dynamic Update (2016用2019用) とPatchWinRESxript_General.ps1 の組み合わせでパッチできると思う。容量足りない場合、第1パーティションなので厄介ですが、Server 2019 の場合、既定の 499 MB 回復パーティション(Disk 0、Partition 1)のままでできた。Server 2016の場合、既定の450 MB 回復パーティション(Disk 0、Partition 1)で、「Get-WmiObject : 無効な名前空間です "Root\cimv2\Security\MicrosoftVolumeEncryption"」と表示されたけど、WinREは更新された。

 ・Google Chrome 120.0.6099.217、Mozilla Firefox 121.0.1
https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_9.html
https://www.mozilla.org/en-US/firefox/121.0.1/releasenotes/

1 件のコメント:

  1. いつも拝見させていただいています。どうもありがとうございます。
    MSサイトの情報で気づいたことがあったので書き込みさせていただきますね。
    https://support.microsoft.com/ja-jp/topic/kb5028997-winre-%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0%E3%82%92%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB%E3%81%99%E3%82%8B%E3%81%9F%E3%82%81%E3%81%AB%E3%83%91%E3%83%BC%E3%83%86%E3%82%A3%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AE%E3%82%B5%E3%82%A4%E3%82%BA%E3%82%92%E6%89%8B%E5%8B%95%E3%81%A7%E5%A4%89%E6%9B%B4%E3%81%99%E3%82%8B%E6%89%8B%E9%A0%86-400faa27-9343-461c-ada9-24c8229763bf
    に載っているMBRの場合の回復パーティション作成コマンド
    create partition primary id=27
    ですが、この方法だとパーティションID(Get-PartitionのMbrTypeプロパティ)が0x27(39)にはなりませんでした(ID=7になってしまいました)。

    代わりに
    https://learn.microsoft.com/ja-jp/windows-hardware/manufacture/desktop/configure-biosmbr-based-hard-drive-partitions?view=windows-11&redirectedfrom=MSDN
    に掲載されている方法(プライマリパーティションを作成&フォーマット後にset id=27を実行したところ、パーティションID 27が設定されました。

    Win10 Pro 22H2での確認です。

    今どきMBRディスクを使っている人は少ないかと思いますがご報告まで。

    返信削除

注: コメントを投稿できるのは、このブログのメンバーだけです。