Microsoft already released a security update for Exchange 2013 and Exchange 2016 on 12.12.17. This is not the quarterly CU, but a fix for a vulnerability in Outlook Web Access (OWA).
The CVE for the vulnerability can be found here:
The update has the level "Important". Microsoft describes the vulnerability as follows:
This security update resolves a vulnerability in Microsoft Exchange Outlook Web Access (OWA). The vulnerability could allow elevation of privilege or spoofing in Microsoft Exchange Server if an attacker sends an email that has a specially crafted attachment to a vulnerable Exchange server.
The updates can be downloaded here:
- Security Update For Exchange Server 2016 CU7 (KB4045655)
- Security Update For Exchange Server 2016 CU6 (KB4045655)
- Security Update For Exchange Server 2013 CU18 (KB4045655)
- Security Update For Exchange Server 2013 CU17 (KB4045655)
It may happen that the Exchange services remain in the "Disabled" status after the update has been installed, so the services should be checked after the update has been installed.
The quarterly CU should also be published in the next few days.
Oh man, was für ein Schrott! Alle Dienste deaktiviert und sie lassen sich auch nicht so ohne weiteres aktivieren. Sehr sicher, wirklich! Wird ’n langer Abend scheinbar :/
oh, falscher Post, falsches Update …die Tatsache bleibt, ging um das KB4487563
Leider kann es vorkommen, das nach dem einspielen des Updates OWA nicht mehr einwandfrei arbeitet.
Anbei ein Workaround:
Warning: Security Update For Exchange Server 2016 (KB4045655) breaks OWA
Fix:
Part 1:
• Run the script UpdateCas.ps1 located in your Exchange install directory from an elevated Exchange Management Shell. On completion – reboot the server.
• This gets OWA up and running but \ecp Admin Centre is still down. A different error: „Could not load file or assembly ‚Microsoft.Exchange.Common,…..“
Part 2:
• Open IIS Manager. Expand Sites > Exchange Back End.
• Click ecp. Open Application Settings in /ecp Home.
• Please check whether the value for “BinSearchFolders” is changed to an invalid value. If so, please change it to:
C:\Program Files\Microsoft\Exchange Server\V15\bin;C:\Program Files\Microsoft\Exchange Server\V15\bin\CmdletExtensionAgents;C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\bin
Reason:
The install directory had been abbreviated to %exchangeinstalldir% and it didn’t like it!
On correction and reboot, all services returned to normal. \ecp Admin Centre displayed fine.
Bei mir ist das Update für CU7 sauber durchgelaufen, kein Dienst deaktiviert.
Läuft unter ESXi 6.5 mit Server 2012 R2
Langsam könnte man denken, im Hause Microsoft wird rein gar nichts mehr getestet.
Nach einem update einer DAG war dann entsprechend keiner der Server mehr erreichbar.
Genau deshalb installiert man ja eine DAG…
Beim SBS 4.0 war das vielleicht noch beherrschbar, inzwischen ist es nur noch eine Lotterie.
Finger weg! Dieses Sicherheitsupdate ist so sicher, dass es mit Sicherheit alles lahm legt.
Unser Exchange Server ist nach der händischen Installation des Updates nicht mehr gestartet und musst wiederhergestellt werden!
Nach einiger zeit wurde das Update jedoch normal via Windows Update gefunden und konnte darüber sauber und ohne Probleme installiert werden.
Nach dem Update waren die Bindungen von Port 444 an das Exchange Zertifikat plötzlich weg und nichts ging mehr.
äh meinte cu7 installiert, dann war der cu6 fix nicht mehr da
fließt eigentlich immer mit ein, war bei cu6 fix auch so, habe den cu6 fix nicht installiert, sondern gleich cu6, dann wurde der fix nicht mehr angeboten
Ist bekannt ob der Fix auch ins cu mit einfließt, oder muss man den in jedem Fall einzeln patchen?