Microsoft hat ein neues Sicherheitsupdate für Exchange Server 2013 bis 2019 veröffentlicht (CVE-2019-1373). Das Update schließt eine Sicherheitslücke, bei der es im schlimmsten Fall möglich ist aus der Ferne Code auszuführen. Microsoft stuft den Schweregrad der Sicherheitslücke mit dem Schweregrad kritisch ein. Das Update sollte also zeitnah installiert werden. Microsoft nennt die folgenden Details zu der Lücke:
A remote code execution vulnerability exists in Microsoft Exchange through the deserialization of metadata via PowerShell. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the logged in user.
Exploitation of this vulnerability requires that a user run cmdlets via PowerShell.
The security update addresses the vulnerability by correcting how Exchange serializes its metadata.
Hier findet sich der KB Eintrag für das Update:
Wichtig: Hier bitte unbedingt die Hinweise zu den bekannten Problemen zu diesem Update im oben verlinkten Artikel lesen. Es kann bei und nach der Installation zu Problemen kommen.
Hier geht es direkt zum Download des Updates:
- Download Security Update for Exchange Server 2019 Cumulative Update 3 (KB4523171)
- Download Security Update for Exchange Server 2019 Cumulative Update 2 (KB4523171)
- Download Security Update for Exchange Server 2016 Cumulative Update 14 (KB4523171)
- Download Security Update for Exchange Server 2016 Cumulative Update 13 (KB4523171)
- Download Security Update for Exchange Server 2013 Cumulative Update 23 (KB4523171)
Das mit das Update installiert werden kann, muss zunächst auf eine kompatible Exchange Version aktualisiert werden. Beispielsweise Exchange 2019 CU3, Exchange 2016 CU14 oder Exchange 2013 CU23. Nur für diese Exchange Versionen wird das Update unterstützt, dass heißt natürlich nicht, dass die Sicherheitslücke nicht auf in früheren Exchange Versionen, beispielsweise Exchange 2016 CU 10 enthalten ist. Für ältere CU Versionen wird die Lücke nur nicht mehr gefixt.