WSUS サーバーで、一部のダウンロードが失敗する ( File cert verification failure )


こんにちは、マイクロソフトの福島です。

 

最近、新しく構築された WSUS サーバーなどで、更新プログラムの一部がダウンロードに失敗する、とお伺いすることがあります。

調べてみますと、WSUS サーバーに、更新プログラム:KB2749655 が適用されていないことがポイントでした。

 

この現象に合致する場合は、WSUS のログ (※) に、以下のような記録が出力されています。( イベント ログだけでは残念ながらわかりません )

 

(※)  %programfiles%\Update Services\LogFiles の SoftwareDistribution.log

    黄色部分が現象判別のポイントです。

―――――――――――――――――――――――――――

2013-01-25
06:42:14.309 UTC Info WsusService.14 CabUtilities.CheckCertificateSignature File cert verification failed
for d:\WSUS\WsusContent\3E\2C6AB49C5353003F7CBEE327195137A8A9DA4F3E.exe with 2148204801

2013-01-25 06:42:14.316 UTC Warning WsusService.14
ContentSyncAgent.WakeUpWorkerThreadProc Invalid file deleted:
d:\WSUS\WsusContent\3E\2C6AB49C5353003F7CBEE327195137A8A9DA4F3E.exe

―――――――――――――――――――――――――――

 

昨年リリースされた弊社の更新プログラムの中には、KB2749655 に記載された “問題を含む証明書” を使ってファイル署名されたものがあります。

こうした不適切な署名を持つファイルは、証明書の期限が切れると、正常に検証が行われなくなります。期限切れ後のタイミングで WSUS サーバーがファイルの取得を試みますと、ファイル検証動作に失敗し、結果としてダウンロードが失敗に終わります。

KB2749655 を WSUS サーバーへ適用すれば、問題点への対処がなされ、正常にダウンロードを完了できるようになります。

 

なお、ファイル検証動作はダウンロード時点で発生しますので、問題の証明書の期限が切れる前に、こうしたファイルのダウンロードを既に済ませた WSUS サーバーでは、問題が発生しません。

反対に次のようなケースでは、問題が発生する可能性が大いにありますので、お手数ですが、KB2749655 の適用をぜひご検討ください。

・2013 年になってから、WSUS を新規セットアップし更新プログラムの取得を開始した。

・しばらく (数か月) 同期を行っていなかった WSUS を、最近久しぶりに同期し、更新プログラムを取得した。

 

なお、インターネットに接続していないWSUS や、レプリカ構成の 子WSUS サーバーでも、ファイル検証時に同じ問題が発生し、クライアントへの配信ができなくなる可能性がありますので、KB2749655 の適用をお願いいたします。

 

情報:

更新プログラム:KB2749655 については以下のページをご参照ください。

当更新はWSUS や Windows Update でも「重要な更新」というクラスで提供されています。

 

マイクロソフト セキュリティ アドバイザリ (2749655)

署名されたマイクロソフトバイナリに影響を与える互換性の問題

http://technet.microsoft.com/ja-jp/security/advisory/2749655

 

ダウンロードはこちらから:

マイクロソフト セキュリティ アドバイザリ: 署名済みマイクロソフト バイナリに影響する互換性の問題

http://support.microsoft.com/kb/2749655/ja

 

Comments (3)

  1. yu より:

    KBをみるとパッチがあるのは2012までの様ですね。
    上記の問題が2012R2上のWSUSでも発生するのですが別問題と考えた方が良いのでしょうか。

  2. IO より:

    私のWSUS環境(2012R2)でも、発生するのですがどうなんでしょうかね?
    たとえば、MS16-037がダウンロードに失敗し、このMS16-037を置き換えるファイルもすべて失敗しています。(MS16-051、MS16-63、MS16-084など)

  3. Surge417 より:

    Windows Server 2016 でも同じエラーが発生しますね。

    2017-04-13 12:09:50.581 UTC Info WsusService.13 CabUtilities.CheckCertificateSignature File cert verification failed for D:\WSUS\WsusContent\CB\7C13DFEBA2F9853FA4FF6E5FB032CEE8B344ACCB.cab with 2148204801
    2017-04-13 12:09:50.613 UTC Warning WsusService.13 ContentSyncAgent.WakeUpWorkerThreadProc Invalid file deleted: D:\WSUS\WsusContent\CB\7C13DFEBA2F9853FA4FF6E5FB032CEE8B344ACCB.cab

Skip to main content