HIEDA NET Corpration
 > これは変だよ  > MS-03-029の修復


 

で、IEの修復は出来た。ここからはRASを起動するためにする修復である。MSからの連絡で823803をアンインストールすれば良いという事だが、823803をアンインストールしても復旧しない。823803以前の修正モジュールをいくつか時間で遡ってアンインストールしても回復できない。ここでhfnetchk.exeを起動してみた。823803はMS03-029なのだがアンインストールしたはずのMS-03-030がインストール済みとして表示されている。HotFixはアンインストール可能と不可能のものとが存在するが、可能だからといって全て完全に戻るものではない。なぜならば最新のSPを当てたWindowsに後からサービスを追加したときにさらにもう一度最新のSPを当てて更新する必要がある。サービスの追加は1996年12月のNT4リリース当時の内容だからだ。追加のサービスも最新のSPで更新してやる必要がある。このときにいちいちSPやHotFixをアンインストールしてから、またSPやHotFixをインストールはしないだろう。(実際、SP4以降のSPはアンインストールできるように見えてもインストール以前に元に戻るのではない。NT4のCD-ROMからシステムファイルを元に戻したり、アップグレードインストールしようものならばローカルログオンが出来なくなる。しかし、本来アンインストールとその程度まで元に戻すことであろう?)SPやHotFixの通常インストールでは以前にインストールしたSPのアンインストールフォルダの内容も更新されてしまうからだ。今の状態をバックアップフォルダにコピーしてSPのファイルをシステムフォルダに書き込みますよというのがSPやHotFixのインストールである。Windowsのサービスを変更する度にSPとHotFixをインストールしていれば、SPとHotFixをインストールする時に作られるバックアップフォルダの内容もインストール後の一代前を保持するだけなので、初回のインストール時にバックアップした内容をいつまでも持っているのではない、2回目以降はSPやHotFixの当ったファイルをバックアップしているという事だ。これではアンインストールの操作をしたつもりでも実はアンインストール出来ていない。

さてRASの方に話を戻どす。いつのまにかRASが起動できるのである。Kernel32.dllを書き換えたからだろう。823803はKernel32.dllを書き換えるものらしい。そこで、2台目のサーバでは823803をアンインストール後、RASがやはり起動できなくなることを確認した後CMDCOMSで起動しKernel32.dllを別なマシンのKernal32.dllで書き換えてみた。当りである。RASが起動した。やたらOption PackだのInternet Explorerだののアンインストール・再インストールなどの必要は無かったのだ。ただ単に最新のSPに収録されているMP用のKernel32.dllを入れてやればよかったのだ。

8月3日になってMicrosoftのサイトでMS03-029について調べると、8/1には見つけられなかったこのページに説明があり、インストールの確認としてKernel32.dllのバージョンを見るようにしている。これだ!Kernel32.dllを書き換えている。当初からこの情報を読んでいればKernel32.dllを823803のインストール以前に戻すだけで済んでいたのに、と思う。面白いのは更新履歴である。7/30にRASの障害が出ることが判ったのでページの内容に追加したことが書いてある。僕が823803をWindows Upadteでインストールしたのが8/1である。日経BPでもこれこれのように記事が出ている。MS03-029の脆弱性は私の環境には影響無いので、MS03-029は対処せず823803をインストールしないことにした。

SEP 14th 2003 追記:
 もちろんいきなり本番機にHotFixを適用しないで、試用機で試すべきではある。しかし、

  • セキュリティパッチはすぐに適用しないほうが怖い、
  • 試用機を用意できるほど経済的な余裕が無い、
ということから、いきなり本番機に適用せざるを得ない人々もいるのだから。NT4では標準でインストールできる一般的な機能であるRASに対応していないHotFixをリリースするのもどうかとは思う。どうせリリースするのならば後からではなく、リリース時に大きく目立つようにRASには対応していません。PPTPを利用している場合には障害が出ます。ぐらい書くべきである。リリース後に障害が判明したというのならばテスト不足である。

AUG 14th 2003 追記:
 もちろん、MSが現在準備中のRASとDialUp接続にも対応した修正モジュールがリリースされた時には、当然適用します。

AUG 24th 2003 追記:
 RAS対応の更新された修正モジュールがリリースされていました。Tech net Securityによると、AUG 14th 2003に発表していたということです。もちろん適用しました。



更新日:SEP 14 2003



 (C)2003 HIEDA NET Corporation All rights reserved.