Neues Sicherheitsupdate für Exchange 2013 / 2016

Bereits am 12.12.17 hat Microsoft ein Sicherheitsupdate für Exchange 2013 und Exchange 2016 veröffentlicht. Es handelt sich dabei nicht um das vierteljährliche CU, sondern um einen Fix für eine Schwachstelle in Outlook Web Access (OWA).

Das CVE zur Schwachstelle findet sich hier:

Das Update hat die Stufe “Wichtig”. Microsoft beschreibt die Lücke wie folgt:

This security update resolves a vulnerability in Microsoft Exchange Outlook Web Access (OWA). The vulnerability could allow elevation of privilege or spoofing in Microsoft Exchange Server if an attacker sends an email that has a specially crafted attachment to a vulnerable Exchange server.

Die Updates können hier runtergeladen werden:

Es kann vorkommen dass die Exchange Dienste nach der Installation des Updates im Status “Deaktiviert” verbleiben, daher sollten nach der Installation des Updates die Dienste kontrolliert werden.

Neues Sicherheitsupdate für Exchange 2013 / 2016

Das vierteljährliche CU sollte ebenfalls in den nächsten Tagen erscheinen.

10 Gedanken zu „Neues Sicherheitsupdate für Exchange 2013 / 2016“

  1. Oh man, was für ein Schrott! Alle Dienste deaktiviert und sie lassen sich auch nicht so ohne weiteres aktivieren. Sehr sicher, wirklich! Wird ’n langer Abend scheinbar :/

    Antworten
  2. Leider kann es vorkommen, das nach dem einspielen des Updates OWA nicht mehr einwandfrei arbeitet.

    Anbei ein Workaround:

    Warning: Security Update For Exchange Server 2016 (KB4045655) breaks OWA
    Fix:
    Part 1:
    • Run the script UpdateCas.ps1 located in your Exchange install directory from an elevated Exchange Management Shell. On completion – reboot the server.
    • This gets OWA up and running but \ecp Admin Centre is still down. A different error: „Could not load file or assembly ‚Microsoft.Exchange.Common,…..“
    Part 2:
    • Open IIS Manager. Expand Sites > Exchange Back End.
    • Click ecp. Open Application Settings in /ecp Home.
    • Please check whether the value for “BinSearchFolders” is changed to an invalid value. If so, please change it to:
    C:\Program Files\Microsoft\Exchange Server\V15\bin;C:\Program Files\Microsoft\Exchange Server\V15\bin\CmdletExtensionAgents;C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\bin

    Reason:
    The install directory had been abbreviated to %exchangeinstalldir% and it didn’t like it!
    On correction and reboot, all services returned to normal. \ecp Admin Centre displayed fine.

    Antworten
  3. Langsam könnte man denken, im Hause Microsoft wird rein gar nichts mehr getestet.
    Nach einem update einer DAG war dann entsprechend keiner der Server mehr erreichbar.
    Genau deshalb installiert man ja eine DAG…
    Beim SBS 4.0 war das vielleicht noch beherrschbar, inzwischen ist es nur noch eine Lotterie.
    Finger weg! Dieses Sicherheitsupdate ist so sicher, dass es mit Sicherheit alles lahm legt.

    Antworten
  4. Unser Exchange Server ist nach der händischen Installation des Updates nicht mehr gestartet und musst wiederhergestellt werden!

    Nach einiger zeit wurde das Update jedoch normal via Windows Update gefunden und konnte darüber sauber und ohne Probleme installiert werden.

    Antworten

Schreibe einen Kommentar