Site icon Frankys Web

Neue Sicherheitsupdates für Exchange Server (Mai 2022)

Microsoft hat neue Sicherheitsupdates für Exchange Server 2013, 2016 und 2019 veröffentlicht. Hier geht es direkt zu den Downloads:

Das Update behebt eine Schwachstelle (CVE-2022-21978) welche als „Wichtig“ eingestuft ist. Das Update sollte daher zeitnah installiert werden.

Details zu der Schwachstelle gibt es hier:

Die Sicherheitsupdate erfordern, dass /PrepareAllDomains manuell nach der Installation der Sicherheitsupdates ausgeführt wird. Für Exchange 2016 und 2019 muss der folgende Befehl ausgeführt werden:

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains

Für Exchange 2013 ist es dieser Befehl:

Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAllDomains

Die Datei setup.exe findet sich im Exchange Installationsverzeichnis (C:\Program Files\Microsoft\Exchange Server\v15\Bin).

Hier ist der Artikel auf dem Exchange Team Blog:

Eine weitere wichtige Änderung ist, dass die Sicherheitsupdates nicht mehr nur als .msp Datei angeboten werden, sondern auch als .EXE Datei. In der Vergangenheit musste zunächst eine Shell mit erweiterten Rechten gestartet werden, aus der dann das Update installiert wurde. Die Installation der Updates ohne erweiterte Rechte, hatte oft eine defekte Exchange Installation zur Folge. Das Update im .EXE Format kann nun einfach per Doppelklick installiert werden. Die erforderlichen Rechte werden automatisch angefordert. Dies macht die manuelle Installation der Updates etwas einfacher. Sicherheitsupdates wird es auch weiterhin als .msp Datei geben, dieses Format eignet sich für die automatische Installation.

Neu ist auch, dass die Updates Logfiles über die Installation erzeugen. Die Logs werden im Ordner C:\Program Files\Microsoft\Exchange Server\v15\Logging\Update gespeichert. Wenn also mal ein Update schief geht, könnte man hier vielleicht einen Hinweis auf die Ursache finden. Hier findet sich eine Beschreibung zum Sicherheitsupdate als .EXE Datei:

Update 10.05.2022: Im ursprünglichen Artikel waren die falschen CVEs aus dem März Update verlinkt. Dies wurde korrigiert.

Exit mobile version