Microsoft hat neue Sicherheitsupdates für Exchange 2010 bis Exchange 2016 veröffentlicht. Konkret handelt es sich um diese Sicherheitslücke:
Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Exchange Outlook Web Access (OWA). Die Sicherheitsanfälligkeit kann Rechteerweiterungen oder Spoofingangriffe in Microsoft Exchange Server ermöglichen, wenn ein Angreifer eine E-Mail mit einem speziell gestalteten Anhang an einen anfälligen Exchange Server sendet.
Quelle: Hinweise zum Sicherheitsupdate für Microsoft Exchange
Hier finden sich die zugehörigen CVE:
- CVE-2017-8559 | Microsoft Exchange Cross-Site Scripting Vulnerability
- CVE-2017-8560 | Microsoft Exchange Cross-Site Scripting Vulnerability
- CVE-2017-8521 | Scripting Engine Memory Corruption Vulnerability
Alle 3 Lücken werden mit der Stufe “Wichtig” eingestuft.
Entsprechende Updates können hier runtergeladen werden:
- Updaterollup 18 für Exchange Server 2010, Service Pack 3 (KB4018588)
- Security Update For Exchange Server 2013 SP1 (KB4018588)
- Security Update For Exchange Server 2013 CU16 (KB4018588)
- Security Update For Exchange Server 2016 CU5 (KB4018588)
Wir haben das Update SP3 RU23 jetzt reingemacht. Hattn zuvor schon das Problem beim OWA, dass die ganzen Optionen mit der Meldung “
500 – Interner Serverfehler.
Problem bei der gesuchten Ressource. Sie kann nicht angezeigt werden.“ Beantwortet werden. Hatte die Hoffnung, dass mit dem letzt RU behoben wird.
Hat jemand einen Ansatz für mich?
Kurz vorab:
UpdateCas.ps1 hat funktioniert. Was aber auch funktioniert: (und nichts anderes macht das Skript)
Den Inhalt von „C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\ecp\Current“ manuell nach „C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\ecp\15.1.xxx“ zu kopieren. „15.1.xxx“ variiert je nach Versionsstand. Danach noch IISRESET und ECP läuft wieder.
Nun die lange Version:
Ich hatte in den letzten zwei Tagen mit zwei Exchange 2016 Servern ebenfalls das Problem, dass nach der Installation von CUs ECP und OWA kaputt waren. Es war sogar eine Kombination aus Fehlern.
Die Installation sorgte dafür, dass in zahlreichen Configdateien die Variable %ExchangeInstallDir% (die es gar nicht gibt) gesetzt war und somit für ungültige Pfade sorgte. Dies erzeugte u.a. zahlreiche ID 1310, ASP.NET Warnungen im Eventlog.
Entweder kann man dann z.B. per Notepad++ Suchen+Ersetzen anwenden oder einfach eine neue Umgebungsvariable erzeugen: ExchangeInstallDir = „C:\Program Files\Microsoft\Exchange Server\V15\Bin\“. Nach einem Reboot werden die fehlerhaften %ExchangeInstallDir% Variablen in den *.config-Dateien ersetzt.
Danach liefen EXP/OWA aber immer noch nicht.
Was abschließend geholfen hat, wie bereits erwähnt, die UpdateCas.ps1 auszuführen oder die manuelle Variante. (siehe oben)
Vielleicht hilft das zukünftig Suchenden ja. :-)
Sicher ist wichtig, von welchem Patch Stand aus man updatet. Wir planen gerade, Exch 2010 SP3 von RU11 auf RU18 zu aktualisieren.
Hat jemand Erfahrung, ob sich die DAG dabei verabschiedet ? Muss ein Zwischenupdate mit einem älteren RU gemacht werden (normalerweise ja nicht) ?
Grüße
Michael
@Davide
Kann sein, aber in meinem Bereich werden die Dinger gewartet und das auch in nicht zu grossen Abständen. Trotzdem ist es dem einen Server passiert.
Bei der nächsten Aktion werde ich den .\UpdateCas.ps1 mal laufen lassen. Vielleicht behebt er ja dann das immer wieder auftretende Problem.
Ich habe diese Woche 7 Exchange Server 2010 SP3 RU18 installiert und musste bei keinem Skripts ausführen. Ev. kommt es drauf an, wenn man länger den Server nicht aktualisiert hat.
@Volker
Also mit den Skripten habe ich unterschiedliche Erfahrung gemacht.
Bei einem Exchange Server 2010 welchen ich letztens geupdatet hatte, musste ich das manuell machen. Allerdings muss man dazu sagen, dass der Server einen Stand von 2012 hatte. Vielleicht hat es damit zu tun. Da habe ich die Updates jedoch manuell installiert.
Bei einem Exchange Server 2013 letzte Woche, wurden (wohl zum Ersten Mal) Sicherheitsupdates per WSUS verteilt. Da war dann das manuelle Ausführen des Skriptes erforderlich.
Sollte man auf jedenfall mal im Hinterkopf behalten.
Viele Grüße
@Marco
Danke !
Vor diesem Problem stand ich am Freitag bei einem Update eines Exchange 2010SP3 mit RU18 auch zum wiederholten mal. Bei dem betreffenden Server fehlten allerdings ein ganzes Verzeichnis unter „C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\Owa\14.3.361.1 “ nach dem Update.
Das hatte ich in der Vergangenheit schon mal. Da ich noch weitere Server auf diesem Stand hatte, habe ich mich dort bedient und die fehlenden Dateien kopiert. Danach ging das OWA wieder.
Die beiden Scripte sich mir auch neu. Werden die nicht durch das Setup angestoßen oder müssen die immer nach RU’s / SP’2 / Patches manuell angestoßen werden ?
Gruß
Volker
Hi Zusammen,
ein Problem, welche ich in der Vergangenheit schon oft hatte, ist, dass nach einem Exchange Update die OWA/ECP Website nicht verfügbar ist und man seltsame Fehlermeldungen erhält – Entweder Error 400 oder die Seite wird unvollständig dargestellt. Mit den Logs konnte ich nicht viel anfangen.
Ich fand heraus, dass nach jedem Exchange Update zwei Skripte ausgeführt werden sollten. Das war mir lange so nicht bekannt. Vielleicht hilft es ja einem weiter. Hier sind die Skripte abgelegt (ggf. Installationsordner anpassen und Powershell mit Adminrechten starten)
C:\Program Files\Microsoft\Exchange Server\V15\Bin> .\UpdateCas.ps1
C:\Program Files\Microsoft\Exchange Server\V15\Bin> .\UpdateConfigFiles.ps1
Wichtig ist auch: Diese Skripte müssen auf dem Mailbox Server ausgeführt werden, also den Servern mit aktiver Mailbox Rolle oder auf Multi Role Servern. Es ist auf den Servern mit Client Access Rolle (betrifft nur Exchange 2010 und 2013) nicht erforderlich.
Vielleicht hilft das einigen weiter. Mich hat das einige Zeit gekostet, bis ich das herausgefunden hatte.
Viele Grüße
Gerade auf https://support.microsoft.com/de-de/help/4018588/description-of-the-security-update-for-microsoft-exchange-july-11-2017 gesehen, dass es auch per Windows-Updates kommen soll. Bisher wurde dort noch nichts angezeigt.
Allerdings habe ich bisher keine Infos gefunden, ob der Fix in 2013 CU17, was ja neulich raus kam, bereits enthalten ist.
Wird dieses Sicherheitsupdate auch über die „normalen“ Windows-Updates zur Verfügung gestellt werden?
Ich habe 2016 CU6 installiert. Seitdem funktioniert mein MAPI (hat es nie zum laufen gebracht)!!!
Irgendwie mag das link von Frank nicht … komme auf Exchange 2013
Ist das Update wohl in Exchange 2016 CU6 nicht verfügbar? Weiß das jemand?