Außerhalb des üblichen Patch Intervalls für Exchange Server hat Microsoft ein Sicherheitsupdate für alle Exchange Server Versionen veröffentlicht, welches mehrere als hoch oder kritisch eingestufte Sicherheitslücken beheben soll.
Anbei der Link zum Security Bulletin:
Microsoft-Sicherheitsbulletin MS16-108
Kurzbeschreibung der Sicherheitslücke:
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Exchange Server. Die schwerwiegendsten Sicherheitsanfälligkeiten können Remotecodeausführung in einigen in Exchange Server integrierten Oracle Outside In-Bibliotheken ermöglichen, falls Angreifer E-Mails mit einem speziell gestalteten Anhang an einen anfälligen Exchange-Server senden.
Quelle: Microsoft
Hier geht es direkt zum Download des Updates für die jeweiligen Exchange Versionen:
- Security Update For Exchange Server 2016 CU2 (KB3184736)
- Security Update For Exchange Server 2013 CU13 (KB3184736)
- Updaterollup 15 für Exchange Server 2010, Service Pack 3 (KB3184728)
- Updaterollup 21 für Exchange Server 2007 Service Pack 3 (KB3184711)
Bei mir wird das Update gerade installiert, was schon einige Zeit dauert:
Da die Lücke scheinbar durch eine E-Mail ausgenutzt werden kann, sollte das Update zügig installiert werden. Leider ist auf dem Exchange Team Blog bisher keine entsprechende Warnung veröffentlicht worden.