Bereits am 9. Juli hat Microsoft neue Sicherheitsupdates für Exchange Server 2010, 2013, 2016 und 2019 veröffentlicht. Die Updates behandeln die folgenden Schwachstellen:
- CVE-2019-1084 | Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Veröffentlichung von Informationen
- CVE-2019-1137 | Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Spoofingangriffen
- CVE-2019-1136 | Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Rechteerweiterungen
Alle 3 Schwachstellen sind mit dem Schweregrad “Wichtig” eingestuft worden. Die entsprechenden Updates sollten daher zeitnah installiert werden. Hier geht es direkt zu den Downloads der Updates für die aktuell unterstützen Exchange Versionen:
- Exchange 2019 CU2 (KB4509408)
- Exchange 2019 CU1 (KB4509408)
- Exchange 2016 CU13 (KB4509409)
- Exchange 2016 CU12 (KB4509409)
- Exchange 2013 CU23 (KB4509409)
- Exchange 2010 SP3 RU29 (KB4509410)
Aktuell sind die Updates für Exchange 2010 und Exchange 2013 bei mir noch nicht verfügbar, es könnte also noch etwas dauern bis die Links verfügbar sind.
Ganz interessant ist, dass Sicherheitsupdates für Exchange 2019 direkt runtergeladen werden können, hier muss man also nicht erst auf die Veröffentlichung im VLSC (oder ähnlichen Portalen) warten. Immerhin werden die Updates nicht als ISO ausgeliefert, wie zum Beispiel der Exchange 2019 Sizing Calculator.
Exchange 2019 CUs sind also nur im VLSC (oder MSDN, ActionPack) verfügbar (mit Verzögerung), Sizing Calculator ist Bestandteil des “CU ISOs”, damit dieser leichter aktualisiert werden kann. Die Sicherheits-Updates können aber direkt runtergeladen werden. Nun denn… wenn’s halt einfacher ist…