Important information for Exchange administrators: The KB2565063 must be reinstalled on all Exchange Server versions released before October 2018. This currently affects all available Exchange versions and CUs.
The background is that the installation files (new installation and update installation) of Exchange have installed an unpatched version and Exchange is therefore still available for a Remote code execution vulnerability from 2011 is vulnerable. If the update has already been installed, an unpatched version has been installed by an Exchange update. The update is not installed automatically via Windows Update and must therefore be installed manually. The installation of the update does not require a restart of the server or the Exchange services.
Future installation media and CUs will specify KB2565063 as an installation requirement. More information can be found on the Exchange Team Blog:
Update 11.10.2018:
In some cases, a restart of the server seems to be necessary. Another important piece of information: the vulnerability is hidden in the file "%systemroot%\system32\mfc100.dll". The patched file has the file version 10.00.40219.325 and belongs to the package "Microsoft Visual C++ 2010 x64 Redistributable". The problem is that the runtime was not installed in the regular way, but only the binaries were copied and registered in the appropriate places by the Exchange Setup. Windows Update therefore does not recognize that an old and vulnerable version of the package is present. Since Exchange accesses this binary, the vulnerability remains until the above update is installed (even if "Microsoft Visual C++ 2010 x64 Redistributable" is not displayed under Programs / Features).
Update: 13.10.2018:
Error in the update from 11.10. corrected. The patched file has the file version 10.00.40219.325, if the file has an earlier version, it should be updated.
Hallo Frank,
danke.
Nun stellt sich nur noch die Frage, ob ia64.exe oder x64.exe ;-).
Gruß
Christoph
Hallo Christoph,
wenn du es geschafft hast, Exchange auf Itanium CPUs an Laufen zu bekommen, wäre das wirklich „EPIC“.
:-)
Gruß,
Frank
Hallo in die Runde,
welche Version soll ich denn installieren? 32 oder 64-bit?
MfG
Hallo Christoph,
die 64Bit Version muss installiert werden.
Gruß,
Frank
Hallo, Frank,
vielen Dank für die Aufklärung. Dann habe ich ja doch alles richtig gemacht. Da bin ich beruhigt.
(Außer der Angabe unseres Exchange-Servers. Ist natürlich nicht CU 2016, sondern CU 10).
Vielen Dank für Deine tolle Seite. Sehr informativ und hilfreich.
Grüße
Andreas
Kann euch nicht ganz folgen.
Bei uns: Srv 2016 mit EX2016 CU 2016.
mfc100.dll hatte die Version 10.00.30319.01. Nach der Installation von KB 2565063 hat die Datei jetzt die Version 10.00.40219.325. Lt. Artikel-Update ist genau das die verwundbare Version. Welche Version ist denn nicht verwundbar?
Grüße
Andreas
Hallo Andreas,
entschuldige bitte den Fehler, Version 10.00.40219.325 ist aktuell, ich hatte die falsche Version im Artikel eingefügt.
Danke für den Hinweis.
Gruß, Frank
Ich hatte „Microsoft Visual C++ 2010 Redistributable“ ebenfalls nicht unter „Programme und Features“ gelistet.
Auf die Kommentare im Exchange-Blog (Link s. oben in Franky´s Artikel) und einen Forenbeitrag bei Heise (https://www.heise.de/forum/heise-Security/News-Kommentare/Patchday-Zero-Day-Fix-fuer-Windows-kritische-Exchange-Luecke/Re-Exchange-2016-CU-11/posting-33229581/show/) hin, habe ich das KB2565063 aber (trotzdem) installiert.
Es kam NICHT die Frage nach Neuinstallation oder Reparatur sondern die Installation lief einfach durch und es wurde KEIN Neustart angefordert.
SRV 2016 mit EX2016 CU10
MS VC++ 2010 Redistributable war auf einem Windows 2016 Exchange 2016 CU10 installiert. Kam aber eher von der Backup Software oder den VMware Tools mit.
Wenn ich das Update herunterlade und starte fragt er ob er es reparieren oder entfernen soll. ich habe dann mal die reperatur ausgewählt. Reicht das?
Reboot wurde keiner angefordert.
Hallo,
sah bei mir genau so aus, hatte kein MS VC++ 2010 Redistributable auf meinem Exchange 2016 CU10 auf Server 2016. Lediglich 2008/2012 & 2013 Redistributables waren installiert.
Hallo Jan,
bitte Update des Artikels beachten.
Gruß,
Frank
Moin,
also auf meinen Windows Server 2012 mit Exchange 2016 CU8 sind die „Microsoft Visual C++ 2010 Redistributable“ gar nicht installiert …
Installiert sind
2008
2012
2013
Dementsprechend müsste ich es gar nicht installieren?
Sollte das Update auch installiert werden, wenn es gar nicht vorhanden ist auf dem Server?
Moin,
Exchange 2016 CU10 verlangt auch einen Reboot. Exchange 2010 RU 24 nicht. Edge Server auch nicht.
Hallo Frank,
unter Exchange 2016 CU8 wird ein Neustart verlangt.
Gruß
Michael
Hallo Frank,
vielen Dank für den Hinweis.
Folgende Anmerkung: Exchange 2016 CU7 verlangt einen Neustart des Servers!
Viele Grüße,
Michael
Ach deshalb ist das Update nach dem letzten EX2013 CU21 (letztes WE installiert) aufgetaucht.
Zumindest wird es automatisch angeboten ;). Ich hatte mich schon gewundert, ging dann aber den „die werden schon wissen warum“ und draufgepackt.