Neue Sicherheitsupdates für Exchange Server (August 2023)

Nachdem die erste Version des Sicherheitsupdate von Microsoft zurückgezogen wurde, ist jetzt eine fehlerbereinigte Version veröffentlicht worden.

Nach ersten Meldungen lässt sich dieses Update nun ohne Probleme auf nicht englischen Exchange Servern installieren. Hier geht es zum Download des Updates:

  • Exchange Server 2019 CU12 und CU13
  • Exchange Server 2016 CU23

Microsoft hat außerdem eine Liste mit Handlungsanweisungen auf dem Exchange Team Blog veröffentlicht:

Auf nicht englisch sprachigen Exchange Servern (bzw. korrekterweise auf nicht englischem Betriebssystem) auf denen die fehlerhafte Version mittels Workaround installiert wurde, muss allerdings erneut Hand angelegt werden:

  1. Uninstall Aug SUv1 and reboot
  2. Remove the manually created “Network Service” account (if it still exists)
  3. Install Aug SUv2 and then later SUs (when released)

Insbesondere die Beschreibung in der FAQ ist wichtig:

What would happen if we installed the Aug SUv1 by following the workaround and don’t uninstall it as recommended?
If you’re running Exchange Server on a non-English OS and were only able to install the Aug SUv1 by following the workaround we provided, you should uninstall the Aug SUv1 first. If you don’t remove the Aug SUv1, the requirement for the dummy “Network Service” account will remain and persist with any future SUs that are applied to the CU version that is installed on the machine.

In other words: If you used the workaround, and don’t uninstall Aug SUv1 but you delete the „Network Service“ dummy account, then installation of Aug SUv2 (or later SUs) will fail with the same behavior as Aug SUv1.

Re-release of August 2023 Exchange Server Security Update packages

Solltet Ihr also die erste Version des Updates installiert haben und den beschriebenen Workaround angewendet haben, dann muss das Update deinstalliert und die neue Version installiert werden.

37 Gedanken zu „Neue Sicherheitsupdates für Exchange Server (August 2023)“

  1. Hallo @ll, mein Exchange 2019 CU13 hat sich gestern ohne Probleme das aktuelle Update 5030524 geholt (ich habe einfach die ausgesetzten Updates wieder aktiviert)

    Die Installation lief ohne Probleme durch, danach war alles schön… der Neustart danach war weniger schön…. Error 500….

    Mit UpdateCAS und Configfiles und einem neuen Neustart lies sich das Problem beseitigen… die V1-Version des Updates war nie installiert… [ich bilde mir ein den Nutzer „Netzwerk Dienst“ schon angelegt gehabt zu haben – aber jetzt (nach meinem Urlaub) finde ich ihn nicht mehr… ]

    Viele Grüße aus Berlin
    Jens

    Antworten
  2. Hallo zusammen, habe da mal eine Frage zu diesem Thema: Falls RMS bzw. Purview Information Protection zum Einsatz kommt,

    Die Begriffe sagen mir auf den ersten Blick nichts..Folgende Konstellation haben wir im Einsatz
    – Office 365 Apps
    – Exchange 2019 DAG 2 Server
    – Hybrid Stellung ohne Postfächer in der Cloud, da wir es stand jetzt nur für Teams und den Kalender brauchen
    – Azure vorhanden

    Jetzt steht im Artikel Hybrid Stellung dann Update bitte den RMS azure connector auf den Mailservern..Diesen connector haben wir gar nicht im Einsatz, also heißt es doch im umkehrschluss betrifft uns nicht?

    Oder haut mir nächste Woche der Mailserver um die Ohren weil ich das Ding nicht installiert habe?

    Antworten
  3. Hallo liebe Exchange Admins,

    wir haben mit der Installation auf unseren Livesystemen (Exchange 2019 CU13) noch gewartet.
    Ich würde nun also ganz frisch mit der V2-Version des Updates starten. Unser Server sind englischsprachig. Muss ich nach dem V2 Update trotzdem das Script ausführen?
    Bitte erleuchtet mich!

    Antworten
      • Eigentlich steht das hier nicht so.

        Nach ersten Meldungen lässt sich dieses Update nun ohne Probleme auf nicht englischen Exchange Servern installieren. Hier geht es zum Download des Updates

        und

        „Auf nicht englisch sprachigen Exchange Servern (bzw. korrekterweise auf nicht englischem Betriebssystem) auf denen die fehlerhafte Version mittels Workaround installiert wurde(!), muss allerdings erneut Hand angelegt werden.

        impliziert wenn ich das alte Update nicht habe und nur V2 installiere, dann sollte alles laufen.

        Antworten
  4. Wir haben den Patch eingespielt, Healthchecker sagt, alles in Ordnung und der Betrieb läuft auch. Patch wurde manuell installiert, Server hängt dennoch am WSUS und dieser sagt auch, dass alles up2date

    Am Server unter Updateverlauf sehe ich aber
    „Security Update For Exchange Server 2019 CU13 (KB5030524)
    Fehler bei der Installation am 16.08.2023 – 0x8024001e“

    SuFu nach dem Fehler hat was mit dem IE Cache gebracht. Den hab ich geleert und dann das Update zur Mittagspause nochmal manuell installiert (rechtsklick als Administrator, Antivirus gestoppt)
    Hat nichts geändert (außer 10 Minuten Downtime, was auch wieder User bemerkt haben :> )

    vielleicht ist es nur ein Einzelfal und vielleicht nur kosmetischer Natur…

    Antworten
    • Moin,

      Healthchecker ist bei SRV19 -EX19 (Deutsch) grün. Im Updateverlauf wird das Update gar nicht angezeigt. Exchange2019-KB5030524-x64-de manuell installiert.

      Gruß
      Lutz

      Antworten
  5. Hi Frank,

    seit der Implementierung des Sicherheits-Patches KB5029388 haben wir in der Labor Umgebung keine Postfächer mehr, mit get-mailbox wird nichts mehr ausgegeben (User sind im AD vorhanden), im Admin Center (ecp) werden diese nicht mehr angezeigt – es sieht bzw. wirkt so als hätte das Schemen Update die Exchange Attribute im AD gelöscht. Gibt es hier einen schnellen Weg um den Zustand vor dem Sicherheitsupdate widerherzustellen?

    Inzwischen bin ich schon am verzweifeln, Exchange Funktionalität ist gewährleistet – falls ihr Tipps habt, bitte sharen!
    Dankbar!

    BG, Armin

    Antworten
  6. Exchange 2019 DAG, WindowsServer2019 erfolgreich geupdated inklusive Skript.

    Mailflow test sieht gut aus, morgen mal beobachten ob noch etwas um die Ecke kommt.

    Antworten
  7. Bei uns auch am Freitag: Auf Windows Server 2016 (deutsch) mit Exchange 2016 CU23 (auch deutsch) ohne vorherige Installation von SU9v1 und auch vorher bereits ausgeführtem CVE-2023-21709.ps1 script keine Probleme bei der Installation und auch bis jetzt keine Probleme aufgetreten. Im HealthChecker alles OK bis auf die AES256-CBC-Geschichte, aber wir nutzen auch keine Azure-Anbindungen.

    Antworten
  8. Hatte die ganzen Jahre die von Franky „Exchange 2016: EAC nur im internen Netzwerk freigeben“ beschriebnene Lösung am laufen.
    Heute habe ich das Update Exchange2016-KB5030524-x64-de und CVE-2023-21709.ps1 eingespielt. Seit dem kommt beim Umschalten nach der Anmeldung auf den anderen SSL Port „Der eingegebene Benutzername oder das Kennwort ist ungültig. Wiederholen Sie die Eingabe, und versuchen Sie es noch mal.“
    Server 2016 (deutsch) + Exchange 2016 CU23 (auch deutsch)
    Sonst läuft alles.

    Antworten
  9. Mir ist folgendes aufgefallen: Nach der Installation von SU2_V2 musste ich auf sämtlichen Servern den „AES256-CBC Protected Content Support“ wieder aktivieren. Selbst auf denen, wo vorher V1 fehlerfrei (ohne Workaround) installiert war.

    Antworten
  10. Hatte heute massive Probleme, das Update ins Laufen zu kriegen. Hatte letzte Woche den Workaround nach MS-Anleitung angewendet und zum Schluss den „Network Service“ wieder gelöscht.
    Heute stelle ich fest, dass dieser wieder gebraucht wird… Das war aber nur die nervige Kleinigkeit am Rande.

    Was nicht ging: Das Update. Weder Installation noch Deinstallation waren möglich. Erst mit Hängen und Würgen und Logfiles lesen und Berechtigungen anpassen und und und, ging das Update durch. Danach war der Exchange 2016 aber immer noch im Disabled Status und ich durfte manuell alles in Betrieb nehmen.

    War ein toller Vormittag, danke Microsoft. Wenn der Server nicht von meinem Vorgänger derart komplex eingeführt worden wäre, dass es eigentlich kaum mehr möglich ist, auf ein Linuxprodukt zu migrieren, hätte ich schon längst das Produkt gewechselt.

    Antworten
  11. Exchange Server 2019 mit V2 auf einem Windows Server 2022 erfolgreich gepatcht, ohne vorher den Workaround angewendet zu haben (warten war diesmal ne gute Entscheidung) und Script erfolgreich ausgeführt (auf deutscher Version).

    Antworten
    • Bei unserem Exchange 2019 DAG mit WinServer 2022 ebenfalls ohne Probleme die V2 installiert + CVE-2023-21709.ps1 anschließend 2x ausgeführt. Nach Installation war für 5-10min die CPU Last zwischen 90 und 100% aber jetzt wieder alles ganz normal soweit.

      Antworten
    • Word. Hier, Admin in einem KMU, einzelner Server 2019 (DE) Server mit Exchange 2019 (DE). Wollte es am Tag des Erscheinens schon einspielen – ist halt wie immer Feierabend. Hatte es auf den nächsten Tag verschoben und dann las ich schon von Problemen. Dann hab ich gewartet.
      Sicherheitstechnisch nicht ideal (wobei MS danach auch schrieb, dass man warten soll auf nicht-englischen Systemen) aber organisatorisch und für die Nerven und eigene Gesundheit die bessere Entscheidung gewesen…

      Antworten
      • das habe ich jetzt 2x versucht, er geht bis zum Ende durch, das Deinstall-Fenster verschwindet, aber das fehgeschlagene Update wird immer noch angezeigt … und ich kann den Vorgang wiederholen.

        ??

        Antworten
  12. Hier auch! Gestern nach 18 Uhr installiert, technische Ausstattung wie die von Roberts Exchange [Server 2016 (deutsch) + Exchange 2016 CU23 (auch deutsch)], dauerte zwar recht lange (bleibt im Bereich von 92% längere Zeit stehen) aber dann alles gut. Der Snapshot konnte wieder entfernt werden ;0)

    Antworten
  13. Moin, haben es gestern Abend auf Exchange 2016 CU23 installiert. Lief problemlos durch.
    Das CVE-2023-21709 Script hatten wir letzte Woche bereits laufen lassen. Das fehlerhafte „V1“ war nicht installiert.

    Antworten
    • Wenn du es vorher nicht schon durchgeführt hast, dann ja. Da gibts keine Verbindung zum Update. Das kannst du also vorher (einzeln) oder hinterher (einzeln) ausführen.

      Antworten
    • HIER! Auf Server 2016 (deutsch) + Exchange 2016 CU23 (auch deutsch) -ohne die fehlerhafte Version vorher einzuspielen- mit bereits vorher ausgeführtem CVE-2023-21709.ps1 script nun da neue (v2)Update PER WINDOWS UPDATE ;) eingespielt -> LÄUFT! …bisher keine Probleme festgestellt.

      Antworten

Schreibe einen Kommentar