Important information for Exchange administrators: The KB2565063 must be reinstalled on all Exchange Server versions released before October 2018. This currently affects all available Exchange versions and CUs.
The background is that the installation files (new installation and update installation) of Exchange have installed an unpatched version and Exchange is therefore still available for a Remote code execution vulnerability from 2011 is vulnerable. If the update has already been installed, an unpatched version has been installed by an Exchange update. The update is not installed automatically via Windows Update and must therefore be installed manually. The installation of the update does not require a restart of the server or the Exchange services.
Future installation media and CUs will specify KB2565063 as an installation requirement. More information can be found on the Exchange Team Blog:
Update 11.10.2018:
In einigen Fällen scheint ein Neustart des Servers nötig zu sein. Noch eine weitere wichtige Information, die Sicherheitslücke versteckt sich in der Datei „%systemroot%\system32\mfc100.dll“. Die gepatchte Datei trägt die Dateiversion 10.00.40219.325 und gehört zum Paket „Microsoft Visual C++ 2010 x64 Redistributable“. Problematisch an der Sache ist, dass die Runtime nicht auf regulärem Weg installiert wurde, sondern nur die Binaries durch das Exchange Setup an die entsprechenden Stellen kopiert und registriert wurden. Daher erkennt Windows Update nicht, dass hier eine alte und verwundbare Version des Pakets vorliegt. Da Exchange auf diese Binary zugreift, bleibt die Sicherheitslücke aber bestehen, bis das oben angegebene Update installiert wird (Auch wenn „Microsoft Visual C++ 2010 x64 Redistributable“ nicht unter Programme / Features angezeigt wird).
Update: 13.10.2018:
Error in the update from 11.10. corrected. The patched file has the file version 10.00.40219.325, if the file has an earlier version, it should be updated.