Am Dienstag hat Microsoft neue Sicherheitsupdates für Exchange Server 2013, 2016 und 2019 veröffentlicht. Das Update schließt die ProxyNotShell Sicherheitslücke (CVE-2022-41040 und CVE-2022-41082), welche im September bekannt und auch aktiv ausgenutzt wurde.
Hier geht es direkt zum Download der Sicherheitsupdates:
Microsoft empfiehlt das Update zügig zu installieren. Hier geht es zum Artikel auf dem Exchange Team Blog:
Die Sicherheitsupdates sind wie immer abhängig vom CU und kumulativ. Konkret heißt dies, wenn nicht das aktuell unterstützte CU auf dem Exchange Server installiert ist, muss vor der Installation des SUs, das entsprechend unterstützte CU installiert werden. Da auch die SUs kumulativ sind, müssen bereits vorher veröffentlichte SUs nicht extra installiert werden. Die Grafik von Microsoft verdeutlicht die Vorgehensweise bei der Installation der SUs:
Die manuell erstellten IIS Rewrite Rules können nach der Installation dieses Updates wieder entfernt werden.