Wichtige Info für Exchange Administratoren: Das KB2565063 muss erneut auf alle Exchange Server Versionen installiert werden, die vor Oktober 2018 veröffentlicht wurden. Dies betrifft derzeit alle verfügbaren Exchange Versionen und CUs.
Hintergrund ist, dass die Installationsdateien (Neuinstallation und Updateinstallation) von Exchange eine ungepatchte Version installiert haben und Exchange somit immer noch für eine Remote Code Execution Lücke aus dem Jahr 2011 anfällig ist. Falls das Update also schon einmal installiert war, wurde durch ein Exchange Update wiederum eine ungepatchte Version installiert. Das Update wird nicht automatisch per Windows Update installiert und muss daher manuell installiert werden. Die Installation des Updates erfordert keinen Neustart des Servers oder der Exchange Dienste.
Zukünftige Installationsmedien und CUs werden das KB2565063 als Installationsvoraussetzung angeben. Nähere Informationen gibt es auf dem Exchange Team Blog:
Update 11.10.2018:
In einigen Fällen scheint ein Neustart des Servers nötig zu sein. Noch eine weitere wichtige Information, die Sicherheitslücke versteckt sich in der Datei „%systemroot%\system32\mfc100.dll“. Die gepatchte Datei trägt die Dateiversion 10.00.40219.325 und gehört zum Paket „Microsoft Visual C++ 2010 x64 Redistributable“. Problematisch an der Sache ist, dass die Runtime nicht auf regulärem Weg installiert wurde, sondern nur die Binaries durch das Exchange Setup an die entsprechenden Stellen kopiert und registriert wurden. Daher erkennt Windows Update nicht, dass hier eine alte und verwundbare Version des Pakets vorliegt. Da Exchange auf diese Binary zugreift, bleibt die Sicherheitslücke aber bestehen, bis das oben angegebene Update installiert wird (Auch wenn „Microsoft Visual C++ 2010 x64 Redistributable“ nicht unter Programme / Features angezeigt wird).
Update: 13.10.2018:
Fehler im Update vom 11.10. korrigiert. Die gepatchte Datei trägt die Dateiversion 10.00.40219.325, falls die Datei eine frühere Version trägt, sollte aktualisiert werden.
Hallo Frank,
danke.
Nun stellt sich nur noch die Frage, ob ia64.exe oder x64.exe ;-).
Gruß
Christoph
Hallo Christoph,
wenn du es geschafft hast, Exchange auf Itanium CPUs an Laufen zu bekommen, wäre das wirklich „EPIC“.
:-)
Gruß,
Frank
Hallo in die Runde,
welche Version soll ich denn installieren? 32 oder 64-bit?
MfG
Hallo Christoph,
die 64Bit Version muss installiert werden.
Gruß,
Frank
Hallo, Frank,
vielen Dank für die Aufklärung. Dann habe ich ja doch alles richtig gemacht. Da bin ich beruhigt.
(Außer der Angabe unseres Exchange-Servers. Ist natürlich nicht CU 2016, sondern CU 10).
Vielen Dank für Deine tolle Seite. Sehr informativ und hilfreich.
Grüße
Andreas
Kann euch nicht ganz folgen.
Bei uns: Srv 2016 mit EX2016 CU 2016.
mfc100.dll hatte die Version 10.00.30319.01. Nach der Installation von KB 2565063 hat die Datei jetzt die Version 10.00.40219.325. Lt. Artikel-Update ist genau das die verwundbare Version. Welche Version ist denn nicht verwundbar?
Grüße
Andreas
Hallo Andreas,
entschuldige bitte den Fehler, Version 10.00.40219.325 ist aktuell, ich hatte die falsche Version im Artikel eingefügt.
Danke für den Hinweis.
Gruß, Frank
Ich hatte „Microsoft Visual C++ 2010 Redistributable“ ebenfalls nicht unter „Programme und Features“ gelistet.
Auf die Kommentare im Exchange-Blog (Link s. oben in Franky´s Artikel) und einen Forenbeitrag bei Heise (https://www.heise.de/forum/heise-Security/News-Kommentare/Patchday-Zero-Day-Fix-fuer-Windows-kritische-Exchange-Luecke/Re-Exchange-2016-CU-11/posting-33229581/show/) hin, habe ich das KB2565063 aber (trotzdem) installiert.
Es kam NICHT die Frage nach Neuinstallation oder Reparatur sondern die Installation lief einfach durch und es wurde KEIN Neustart angefordert.
SRV 2016 mit EX2016 CU10
MS VC++ 2010 Redistributable war auf einem Windows 2016 Exchange 2016 CU10 installiert. Kam aber eher von der Backup Software oder den VMware Tools mit.
Wenn ich das Update herunterlade und starte fragt er ob er es reparieren oder entfernen soll. ich habe dann mal die reperatur ausgewählt. Reicht das?
Reboot wurde keiner angefordert.
Hallo,
sah bei mir genau so aus, hatte kein MS VC++ 2010 Redistributable auf meinem Exchange 2016 CU10 auf Server 2016. Lediglich 2008/2012 & 2013 Redistributables waren installiert.
Hallo Jan,
bitte Update des Artikels beachten.
Gruß,
Frank
Moin,
also auf meinen Windows Server 2012 mit Exchange 2016 CU8 sind die „Microsoft Visual C++ 2010 Redistributable“ gar nicht installiert …
Installiert sind
2008
2012
2013
Dementsprechend müsste ich es gar nicht installieren?
Sollte das Update auch installiert werden, wenn es gar nicht vorhanden ist auf dem Server?
Moin,
Exchange 2016 CU10 verlangt auch einen Reboot. Exchange 2010 RU 24 nicht. Edge Server auch nicht.
Hallo Frank,
unter Exchange 2016 CU8 wird ein Neustart verlangt.
Gruß
Michael
Hallo Frank,
vielen Dank für den Hinweis.
Folgende Anmerkung: Exchange 2016 CU7 verlangt einen Neustart des Servers!
Viele Grüße,
Michael
Ach deshalb ist das Update nach dem letzten EX2013 CU21 (letztes WE installiert) aufgetaucht.
Zumindest wird es automatisch angeboten ;). Ich hatte mich schon gewundert, ging dann aber den „die werden schon wissen warum“ und draufgepackt.