Heute wurde ein wichtiges Update für die folgenden Exchange Server Versionen veröffentlicht:
- Microsoft Exchange Server 2013 Service Pack 1
- Microsoft Exchange Server 2013 Cumulative Update 14
- Microsoft Exchange Server 2016 Cumulative Update 3
Interessant ist, dass die Exchange Versionen nicht mehr ganz aktuell sind. Es gibt bereits das CU4 für Exchange 2016, sowie CU15 für Exchange 2013.
Microsoft schreibt folgendes zur Schwachstelle und stuft das Sicherheitsupdate mit dem Schweregrad „Hoch“ ein:
https://technet.microsoft.com/library/security/MS17-015
Es besteht eine Sicherheitsanfälligkeit durch Rechteerweiterungen in Microsoft Exchange Outlook Web Access (OWA), da Webanforderungen nicht ordnungsgemäß verarbeitet werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Skript- oder Inhaltseinschleusungsangriffe durchführen und versuchen, den Benutzer zum Offenlegen vertraulicher Informationen zu verleiten.
Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete E-Mail mit einem schädlichen Link an einen Benutzer sendet. Alternativ könnte ein Angreifer einen Chat-Client nutzen, um einen Benutzer dazu zu verleiten, auf den schädlichen Link zu klicken.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Exchange Webanforderungen überprüft.
HINWEIS: Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer auf einen schädlichen Link eines Angreifers klickt.
Hier geht es direkt zum Download der Updates:
- Security Update For Exchange Server 2013 SP1 (KB4012178)
- Security Update For Exchange Server 2013 CU14 (KB4012178)
- Security Update For Exchange Server 2016 CU3 (KB4012178)
Scheinbar ist die Lücke in der aktuellen Exchange Version (CU4 für Exchange 2016, CU15 für Exchange 2013) nicht vorhanden, zumindest passen die Versionsnummern dann nicht überein:
Exchange 2016 CU4: 15.01.0669.032
KB4012178 für Exchange 2016 CU3: 15.01.0544.030
Auch in der Vergangenheit gab es schon mal Sicherheits-Updates für CUs – auch für bereits aktualisierte.
Die sind für den Fall gedacht, dass noch jemand nicht auf das aktuelle CU gewechselt hat – was ja seit Ex2013 eine Exchange Neuinstallation bedeutet, und damit recht aufwändig ist – im Gegensatz zum Einspielen eines Patches.
Mit den im heutigen Patchday veröffentlichten Updates will MS sichergehen, dass auch jeder die Lücke schließen kann, auch wenn er noch nicht das aktuelle CU aufspielt.
Wenn Du das aktuelle CU hast, wirst Du vermutlich das Update gar nicht aufspielen können.
Hi Nathan,
das ist korrekt. Was mich etwas stutzig macht ist folgendes (bezogen auf Exchange 2016):
CU3 wurde im September 2016 veröffentlicht.
CU4 wurde im Dezember 2016 veröffentlicht.
Wenn CU4 das Problem welches mit dem heutigen Update für CU3 geschlossen wurde nicht hat, dann scheint man das Problem ja bereits mit dem CU4 behoben zu haben. Warum wird diese Lücke also erst jetzt (über 3 Monate später) für das CU3 gefixt?
Gruß, Frank
Gibt es das CU3 für Ex2016 nun 2x?
Unter https://technet.microsoft.com/de-de/library/hh135098%28v=exchg.150%29.aspx?f=255&MSPPError=-2147217396 steht es als im September 2016 veröffentlicht.
Hat man CU4 drauf und installiert nun das neue CU3 geht es mit der Buildnummer wieder zurück auf 15.01.0544.030? Dann schaut einer nach was die neueste Buildnummer ist und installiert wieder CU4. Wer soll da die Übersicht behalten?
Hi Volker,
nein, das CU3 gibt es nicht zwei mal. Für das CU3 wurde das Security Update nachgereicht, es handelt sich bei dem Update aber nicht um ein komplettes CU. Für Exchange 2016 gibt es bereits CU4 welches im Dezember veröffentlicht wurde. Das Build von CU3 + Security Update bleibt von der Versionsnummer unter der des CU4.
Gruß, Frank