Microsoft heeft een beveiligingsupdate voor Windows Server opnieuw uitgebracht toen bleek dat de eerste versie voor problemen zorgde. Security Bulletin MS13-066 verscheen vorige week dinsdag en verhielp een kwetsbaarheid in Active Directory Federation Services (AD FS). AD FS is een softwareonderdeel dat Microsoft ontwikkelde en waarmee het mogelijk is om gebruikers via Single Sign-On te laten inloggen.

Door het lek dat de update verhielp kon een aanvaller informatie over een service account dat de AD FS gebruikte achterhalen om vervolgens van buiten het bedrijfsnetwerk proberen in te loggen. De beveiligingsupdate van Microsoft zorgde er echter voor dat in het geval van AD FS 2.0 de software stopte met werken.

Nieuwe update

Microsoft besloot daarop de update voor alle gebruikers terug te trekken. Uiteindelijk werden de updates deels weer vrijgegeven toen bekend werd dat het probleem alleen bij AD FS 2.0 speelde en niet bij AD FS 1.x en AD FS 2.1. Voor deze laatste twee versies waren de updates eind vorige week weer beschikbaar. Nu is de update ook voor versie 2.0 weer online.

Het probleem met AD FS ontstond in het geval de eerder uitgebrachte RU3 rollup QFE niet geïnstalleerd was. Microsoft heeft de fixes uit de eerste twee updates (2843638 en 2843639) in een enkele update 2843638 verwerkt. Gebruikers die de eerste updates hebben geïnstalleerd krijgen deze nieuwe update automatisch aangeboden.

Exchange

De patchronde van augustus kende nog meer problemen. Zo werd ook Security Bulletin MS13-061 vanwege problemen met Exchange Server 2013 teruggetrokken. De update zorgde ervoor dat de zoekfunctionaliteit niet meer werkte. Microsoft gaf een aantal tijdelijke oplossingen, maar de update zelf is nog altijd niet te downloaden. In een webcast laat Microsoft weten dat er aan een update van de update wordt gewerkt, maar wanneer die verschijnt is niet bekendgemaakt.