Microsoft released a new security update for Exchange Server 2016 and 2019 yesterday. The update closes a vulnerability classified as "Important".
Description of the vulnerability:
A cross-site scripting (XSS) vulnerability exists when Microsoft Exchange Server does not properly sanitize a specially crafted web request to an affected Exchange server. An authenticated attacker could exploit the vulnerability by sending a specially crafted request to an affected server.
The attacker who successfully exploited the vulnerability could then perform cross-site scripting attacks on affected systems and run script in the security context of the current user. The attacks could allow the attacker to read content that the attacker is not authorized to read, use the victim's identity to take actions on the Exchange server on behalf of the user, such as change permissions and delete content, and inject malicious content in the browser of the user.
The security update addresses the vulnerability by helping to ensure that Exchange Server properly sanitizes web requests.
Source: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0903
Although no exploit for the vulnerability is yet known, this was not long in coming with the last vulnerability. The update should therefore be installed promptly.
Click here to download the updates directly:
- Download Security Update For Exchange Server 2019 Cumulative Update 4 (KB4540123)
- Download Security Update For Exchange Server 2019 Cumulative Update 3 (KB4540123)
- Download Security Update For Exchange Server 2016 Cumulative Update 15 (KB4540123)
- Download Security Update For Exchange Server 2016 Cumulative Update 14 (KB4540123)
Here is another article with known problems with this update, this article should definitely be read before installation:
The security update is already being distributed via Windows Update and can therefore also be installed via WSUS. However, the update should be tested beforehand. The last update apparently caused problems in some environments.
2x Exchange 2016 DAG + 1x Witness und vorgeschaltetem Loadbalancer
Auch bei uns lies sich das Update ohne Probleme installieren. Da ich vor Einspielen eines Updates sowieso 1 System in Maintenance versetze, werden die Maschinen danach grundlegend eh rebootet. Auch hier haben alle Dienste sauber neu gestartet.
Alles i.O. bei uns.
Grüße
Positive Meldungen sollten ja auch immer sein, da sich meist nur die melden, die Probleme beim Update haben:
In unserem Fall ist das Update per WSUS auch ohne Probleme durchgelaufen. Dienste und Verzeichnisse sind vorhanden bzw. gestartet nach dem restart.
Gruß
Exchange 2016 CU 15 mit letzten Patchstand
das Update normal über Windows Update erfolgreich eingespielt.
Alle Dienste starten normal
OWA Zugriff funktioniert auch.
Gruß
Guten Morgen,
habe das Update soeben über WSUS installieren lassen, alles lief soweit sauber durch. Der Updatestatus wurde leider mit einem 0x8024002 als fehlgeschlagen quittiert aber im Updateverlauf wird „Security Update For Exchange Server 2016 CU15 (KB4540123)“ als „Erfolgreich installiert am 13.03.2020“ angezeigt.
Alle Dienst laufen und die Version passt auch:
[PS] C:\Windows\system32>Get-Command Exsetup.exe | ForEach {$_.FileversionInfo}
ProductVersion FileVersion FileName
————– ———– ——–
15.01.1913.010 15.01.1913.010 D:\Exchange Server\bin\ExSetup.exe
Gruß
Hallo,
ich habe den Patch seit dem Vormittag auf dem ersten von zwei Server installiert und noch keine Probleme festgestellt.
Intern läuft unser Exchange über KEMP, Extern über Netscaler.
Die Unterverzeichnise in c:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem\15.1.1913.10
sind bei mir vollständig.
LG
Heute habe ich es über Windows Update versucht, Unterverzeichnisse in c:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem\15.1.1913.10 sind jetzt vollständig.
Alle Dienste sind gestartet. Keine Fehlermeldung bei der Installation.
Bin jetzt am 4. Server und alles läuft rund
Ich habe den Standalone Patch gerade auf einen unserer Exchange 2016 Cu15 Server installiert.
Danach wurde dieser Server im Kemp Loadbalancer rot angezeigt.
Der Loadbalancer macht einen check ob der dienst auf dem server läuft:
server/owa/healthcheck.htm
das kann ich normalerweise auch mit jedem Exchange-Server von Hand machen
https://EX1/owa/healthcheck.htm
Ergebnis:
200OK
EX1
Nach dem Security Update geht das nicht mehr.
Nach der deinstallation aber auch nicht – ich spiele nun das Backup ein.
Was mich auch noch stutzig gemacht hat. Jedes Update (CU oder Security Patch) legt ein neues Unterverzeichnis im Ordner:
c:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem\ an
in diesem Fall:
c:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem\15.1.1913.10
Darin sind normalerweise mehrere Unterverzeichnisse (automation, debug, ext, flightconfig…), diesmal jedoch nur ein unterverzeichnis: ext
Moin,
Update installiert. Danach kein Zugriff mehr via OWA möglich (500 unexpected error).
Update wieder feininstalliert. Neustart. OWA Funktioniert wieder.
Grüße
Hallo,
habe eine Verständnisfrage.
Ich habe aktuell CU14 (Ex2016) installiert (Stand 01.03.2020). Sind die neuen Sicherheitsupdates in der obigen CU14 enthalten? Oder wie paketiert MS das grundsätzlich?
Habe ich es richtig verstanden, dass alle neuen Updates in die entsprechenden CU’s gepackt werden.
Vielen Dank.
Guten Tag,
Bei einem Kunden wurde dieses Update über die Windows-Updates installiert und ist Fehlgeschlagen.
Seitdem lassen sich diverse Exchange-Dienste nicht mehr starten.
Die Exchange-Powershell ebenfalls nicht.
Wenn ich versuche das Update, wie bei Microsoft beschrieben, über die CMD als Administrator zu starten erhalte ich folgende Fehlermeldung:
„The user who’s currently logged on doesn’t have suffient permissions to install this package…….“
Der Benutzer ist Domänen-Admin. Die Installation des Exchange wurde mit dem gleichen Benutzer durchgeführt.
Hat jemand eine Idee wie ich das Update installieren kann?
Grüße
Peter