Kritische Updates für Exchange Server:
In allen unterstützen Exchange Server Versionen steckt eine Schwachstelle mit der Angreifer mittels einer speziell präparierten Mail Code auf dem Exchange Server ausführen können.
Microsoft beschreibt das Problem hier:
A remote code execution vulnerability exists in Microsoft Exchange software when the software fails to properly handle objects in memory. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the System user. An attacker could then install programs; view, change, or delete data; or create new accounts.
Exploitation of the vulnerability requires that a specially crafted email be sent to a vulnerable Exchange server.
The security update addresses the vulnerability by correcting how Microsoft Exchange handles objects in memory.
Ein entsprechendes Update für Exchange 2010, Exchange 2013 und Exchange 2016 ist verfügbar. Hier geht es direkt zu den Download des Updates:
- Microsoft Exchange Server 2016 Cumulative Update 9
- Microsoft Exchange Server 2016 Cumulative Update 8
- Microsoft Exchange Server 2013 Service Pack 1
- Microsoft Exchange Server 2013 Cumulative Update 20
- Microsoft Exchange Server 2013 Cumulative Update 19
- Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 21
Auch wenn noch keine Ausnutzung der Schwachstelle bekannt ist, sollte das Update zügig installiert werden.
Hallo,
weiß jemand, warum in der Liste der Supported Operating System Windows Server 2016 fehlt?
VG
Das Update kann übrigens auch über WSUS verteilt werden.
VG
Also Stand heute wird das Sicherheitsupdate auch über Windows Update verteilt. Ich wollte gerade patchen und hab dabei gesehen das es in Windows Update dabei ist (2016 CU9 auf Windows Server 2012 R2)
@Dirk,
besten Dank für den Hinweis. Ich meine zwar, das ich das als Administrator ausgeführt habe, habe aber noch etliche 2013er und 2016er Exchange mit dem Security Update zu versehen und werde da nochmal explizit drauf achten.
@Michele,
dazu habe ich folgenden MS Artikel gefunden:
https://support.microsoft.com/de-de/help/4092041/description-of-the-security-update-for-microsoft-exchange-server-2013
Die UAC und das nicht explizit als Administrator ausführen lassen, führen wohl zu einer nicht kompletten Aktualisierung.
Hi,
hatte nach dem Update auf zwei Exchange 2016 CU9 Servern das Problem, dass sowohl ECP als auch OWA nicht mehr funktionierten (Filenotfoundexception). Geholfen hat hier die UpdateCas.ps1 aus dem Exchange bin Verzeichnis auszuführen und anschließend in der Web.config der ECP (Exchange Installationsverzeichnis -> ClientAccess -> ecp) die Einträge mit %ExchangeInstallDir% durch den vollen Pfad zu erstezen (z.B. value=“C:\Program Files\Microsoft\Exchange Server\V15\bin;C:\Program Files\Microsoft\Exchange Server\V15\bin\CmdletExtensionAgents;C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\bin“). Abschließend noch einen iisreset durchgeführt und dann war wieder alles gut.
Hallo,
Danke für die Info.
Da ich heute sowieso ein Wartungsfenster hatte um Ex2013 CU20 zu installieren, habe ich den Patch auf einem Server gleich noch nachgeschoben.
Was mir nach dem Reboot aufgefallen ist: Ich konnte die MailboxDBs nicht ohne Weiteres mittels .\RedistributeActiveDatabases.ps1 auf den gepatchten Server zurück schieben. Der „Microsoft Exchange Search Host Controller“ Service war nach dem Patch disabled, und deshalb wohl auch der ContentIndexState der DB Kopien auf „Failed“. Habe dann den Service wieder aktiviert und ein „Update-MailboxDatabaseCopy…“ durchgeführt, anschliessend hat der „move“ wieder funktioniert.
Dies als Info, falls ich nicht der einzige mit diesem Phänomen bin ;-)
Schöne Grüsse
Patric
Hallo,
ist das schon mit CU8 gefixt, wegen der Auflistung im Artikel?
Grüße
Hi,
nein, das Update soll das Problem für das jeweilige CU beheben. Der Fix wird dann in das nächste CU integriert.
Gruß,
Frank