Gerade wurden für alle unterstützen Exchange Server Versionen neue Updates veröffentlicht, welche auch die kritische Sicherheitslücke aus CVE-2018-8581 beheben. Die Updates sollten also möglichst zeitnah eingespielt werden, da für die genannte Lücke bereits seit längerem ein Exploit existiert.
Hier geht es direkt zum Download der Updates für Exchange 2010, 2013 und 2016:
- Cumulative Update 12 for Exchange Server 2016
- Cumulative Update 22 for Exchange Server 2013
- Update Rollup 26 For Exchange 2010 SP3 (KB4487052)
Das CU1 für Exchange Server 2019 gibt es nicht zum öffentlichen Download, sondern nur via VLSC, Action Pack oder MyVisualStudio Download Center.
Hier gibt es weitere Informationen zu den Updates:
Aus dem Artikel geht auch hervor, dass nach der Installation des Updates das Passwort für den Computeraccount des Exchange Servers neu erstellt werden sollte:
After applying either the cumulative update or update rollup to a server, customers are advised to force a reset of the Exchange servers’ credentials stored in Active Directory. This can be accomplished using the Reset-ComputerMachinePassword cmdlet in PowerShell 5.1 or later. If PowerShell is not an option, netdom or Active Directory Users and Computers can also be used.
Des weiteren werden die Berechtigungen für Exchange Server im Active Directory geändert, bevor das Update installiert wird sollte also “setup /prepareAD” ausgeführt werden. Diesen Schritt erledigt das Setup allerdings auch automatisch. In größeren Active Directory Umgebungen, sollte der Befehl jedoch manuell ausgeführt und die Replikation des Active Directory abgewartet werden.
Außerdem ist der folgende Hinweis wichtig, wenn ein Update der Edge Rolle durchgeführt wird:
To avoid a setup failure, it is necessary to install the Visual C++ 2012 runtime before installing Cumulative Update 22 or Cumulative Update 12 on Edge role if not already present.
Da es durch CVE-2018-8581 zu Änderungen an der EWS API kommt, sollten alle Programme und Dienste, die auf EWS zugreifen sorgfältig getestet werden, es ist nicht auszuschließen, dass es zu Problemen mit Programmen anderer Hersteller kommen kann.
