Exchange Server: Update KB2565063 muss (erneut) installiert werden

Wichtige Info für Exchange Administratoren: Das KB2565063 muss erneut auf alle Exchange Server Versionen installiert werden, die vor Oktober 2018 veröffentlicht wurden. Dies betrifft derzeit alle verfügbaren Exchange Versionen und CUs.

Hintergrund ist, dass die Installationsdateien (Neuinstallation und Updateinstallation) von Exchange eine ungepatchte Version installiert haben und Exchange somit immer noch für eine Remote Code Execution Lücke aus dem Jahr 2011 anfällig ist. Falls das Update also schon einmal installiert war, wurde durch ein Exchange Update wiederum eine ungepatchte Version installiert. Das Update wird nicht automatisch per Windows Update installiert und muss daher manuell installiert werden. Die Installation des Updates erfordert keinen Neustart des Servers oder der Exchange Dienste.

Zukünftige Installationsmedien und CUs werden das KB2565063 als Installationsvoraussetzung angeben. Nähere Informationen gibt es auf dem Exchange Team Blog:

Exchange Server: Update KB2565063 muss (erneut) installiert werden

Update 11.10.2018:

In einigen Fällen scheint ein Neustart des Servers nötig zu sein. Noch eine weitere wichtige Information, die Sicherheitslücke versteckt sich in der Datei „%systemroot%\system32\mfc100.dll“. Die gepatchte Datei trägt die Dateiversion 10.00.40219.325 und gehört zum Paket „Microsoft Visual C++ 2010 x64 Redistributable“. Problematisch an der Sache ist, dass die Runtime nicht auf regulärem Weg installiert wurde, sondern nur die Binaries durch das Exchange Setup an die entsprechenden Stellen kopiert und registriert wurden. Daher erkennt Windows Update nicht, dass hier eine alte und verwundbare Version des Pakets vorliegt. Da Exchange auf diese Binary zugreift, bleibt die Sicherheitslücke aber bestehen, bis das oben angegebene Update installiert wird (Auch wenn „Microsoft Visual C++ 2010 x64 Redistributable“ nicht unter Programme / Features angezeigt wird).

Update: 13.10.2018:

Fehler im Update vom 11.10. korrigiert. Die gepatchte Datei trägt die Dateiversion 10.00.40219.325, falls die Datei eine frühere Version trägt, sollte aktualisiert werden.

17 Replies to “Exchange Server: Update KB2565063 muss (erneut) installiert werden”

  1. Ach deshalb ist das Update nach dem letzten EX2013 CU21 (letztes WE installiert) aufgetaucht.
    Zumindest wird es automatisch angeboten ;). Ich hatte mich schon gewundert, ging dann aber den „die werden schon wissen warum“ und draufgepackt.

  2. Hallo Frank,
    vielen Dank für den Hinweis.
    Folgende Anmerkung: Exchange 2016 CU7 verlangt einen Neustart des Servers!
    Viele Grüße,
    Michael

  3. Moin,

    Exchange 2016 CU10 verlangt auch einen Reboot. Exchange 2010 RU 24 nicht. Edge Server auch nicht.

  4. Moin,
    also auf meinen Windows Server 2012 mit Exchange 2016 CU8 sind die „Microsoft Visual C++ 2010 Redistributable“ gar nicht installiert …
    Installiert sind
    2008
    2012
    2013
    Dementsprechend müsste ich es gar nicht installieren?

  5. Hallo,
    sah bei mir genau so aus, hatte kein MS VC++ 2010 Redistributable auf meinem Exchange 2016 CU10 auf Server 2016. Lediglich 2008/2012 & 2013 Redistributables waren installiert.

  6. MS VC++ 2010 Redistributable war auf einem Windows 2016 Exchange 2016 CU10 installiert. Kam aber eher von der Backup Software oder den VMware Tools mit.

    Wenn ich das Update herunterlade und starte fragt er ob er es reparieren oder entfernen soll. ich habe dann mal die reperatur ausgewählt. Reicht das?

    Reboot wurde keiner angefordert.

  7. Ich hatte „Microsoft Visual C++ 2010 Redistributable“ ebenfalls nicht unter „Programme und Features“ gelistet.

    Auf die Kommentare im Exchange-Blog (Link s. oben in Franky´s Artikel) und einen Forenbeitrag bei Heise (https://www.heise.de/forum/heise-Security/News-Kommentare/Patchday-Zero-Day-Fix-fuer-Windows-kritische-Exchange-Luecke/Re-Exchange-2016-CU-11/posting-33229581/show/) hin, habe ich das KB2565063 aber (trotzdem) installiert.

    Es kam NICHT die Frage nach Neuinstallation oder Reparatur sondern die Installation lief einfach durch und es wurde KEIN Neustart angefordert.

    SRV 2016 mit EX2016 CU10

  8. Kann euch nicht ganz folgen.
    Bei uns: Srv 2016 mit EX2016 CU 2016.
    mfc100.dll hatte die Version 10.00.30319.01. Nach der Installation von KB 2565063 hat die Datei jetzt die Version 10.00.40219.325. Lt. Artikel-Update ist genau das die verwundbare Version. Welche Version ist denn nicht verwundbar?

    Grüße
    Andreas

  9. Hallo Andreas,

    entschuldige bitte den Fehler, Version 10.00.40219.325 ist aktuell, ich hatte die falsche Version im Artikel eingefügt.
    Danke für den Hinweis.
    Gruß, Frank

  10. Hallo, Frank,

    vielen Dank für die Aufklärung. Dann habe ich ja doch alles richtig gemacht. Da bin ich beruhigt.
    (Außer der Angabe unseres Exchange-Servers. Ist natürlich nicht CU 2016, sondern CU 10).

    Vielen Dank für Deine tolle Seite. Sehr informativ und hilfreich.

    Grüße
    Andreas

  11. Hallo Frank,

    danke.
    Nun stellt sich nur noch die Frage, ob ia64.exe oder x64.exe ;-).

    Gruß
    Christoph

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.