Microsoft hat heute neue Sicherheitsupdates für Exchange Server 2013, 2016 und 2019 veröffentlicht. Das Update schließt für Exchange 2019 insgesamt 6 Sicherheitslücken, 3 der Lücken gelten als kritisch.
Hier geht es direkt zu den Downloads der Updates:
Diese Sicherheitslücken werden geschlossen:
- Microsoft Exchange Information Disclosure Vulnerability (CVE-2022-21979)
- Microsoft Exchange Server Elevation of Privilege Vulnerability (CVE-2022-21980)
- Microsoft Exchange Server Elevation of Privilege Vulnerability (CVE-2022-24516)
- Microsoft Exchange Server Elevation of Privilege Vulnerability (CVE-2022-24477)
- Microsoft Exchange Information Disclosure Vulnerability (CVE-2022-30134)
- Microsoft Exchange Information Disclosure Vulnerability (CVE-2022-34692)
Da es sich um teils kritische Lücken handelt, sollten die Updates zeitnah installiert werden. Exchange Server welche noch nicht auf ein aktuelles CU aktualisiert wurden, müssen zunächst das entsprechende CU erhalten, bevor das August Update installiert werden kann. Die Grafik vom Exchange Team Blog veranschaulicht die Vorgehensweise:
Außerdem empfiehlt Microsoft nach der Installation der August Updates „Windows Extended Protection“ zu aktivieren. Windows Extended Protection ist ein IIS Featuure, welches nun auch von Exchange Server unterstützt wird. Hier findet sich ein Artikel zu Exchange Server und Windows Extended Protection:
Auf der Seite findet sich auch ein Script um Windows Extended Protection für Exchange Server zu aktivieren.