Neue Sicherheitsupdates für Exchange Server

Microsoft hat neue Sicherheitsupdates für Exchange 2010 bis Exchange 2016 veröffentlicht. Konkret handelt es sich um diese Sicherheitslücke:

Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Exchange Outlook Web Access (OWA). Die Sicherheitsanfälligkeit kann Rechteerweiterungen oder Spoofingangriffe in Microsoft Exchange Server ermöglichen, wenn ein Angreifer eine E-Mail mit einem speziell gestalteten Anhang an einen anfälligen Exchange Server sendet.

Quelle: Hinweise zum Sicherheitsupdate für Microsoft Exchange

Hier finden sich die zugehörigen CVE:

 

Alle 3 Lücken werden mit der Stufe “Wichtig” eingestuft.

Neue Sicherheitsupdates für Exchange Server

Entsprechende Updates können hier runtergeladen werden:

12 Kommentare zu “Neue Sicherheitsupdates für Exchange Server”

  1. Ich habe 2016 CU6 installiert. Seitdem funktioniert mein MAPI (hat es nie zum laufen gebracht)!!!

    Irgendwie mag das link von Frank nicht … komme auf Exchange 2013

  2. Hi Zusammen,

    ein Problem, welche ich in der Vergangenheit schon oft hatte, ist, dass nach einem Exchange Update die OWA/ECP Website nicht verfügbar ist und man seltsame Fehlermeldungen erhält – Entweder Error 400 oder die Seite wird unvollständig dargestellt. Mit den Logs konnte ich nicht viel anfangen.

    Ich fand heraus, dass nach jedem Exchange Update zwei Skripte ausgeführt werden sollten. Das war mir lange so nicht bekannt. Vielleicht hilft es ja einem weiter. Hier sind die Skripte abgelegt (ggf. Installationsordner anpassen und Powershell mit Adminrechten starten)

    C:\Program Files\Microsoft\Exchange Server\V15\Bin> .\UpdateCas.ps1
    C:\Program Files\Microsoft\Exchange Server\V15\Bin> .\UpdateConfigFiles.ps1

    Wichtig ist auch: Diese Skripte müssen auf dem Mailbox Server ausgeführt werden, also den Servern mit aktiver Mailbox Rolle oder auf Multi Role Servern. Es ist auf den Servern mit Client Access Rolle (betrifft nur Exchange 2010 und 2013) nicht erforderlich.

    Vielleicht hilft das einigen weiter. Mich hat das einige Zeit gekostet, bis ich das herausgefunden hatte.

    Viele Grüße

  3. @Marco

    Danke !
    Vor diesem Problem stand ich am Freitag bei einem Update eines Exchange 2010SP3 mit RU18 auch zum wiederholten mal. Bei dem betreffenden Server fehlten allerdings ein ganzes Verzeichnis unter „C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\Owa\14.3.361.1 “ nach dem Update.
    Das hatte ich in der Vergangenheit schon mal. Da ich noch weitere Server auf diesem Stand hatte, habe ich mich dort bedient und die fehlenden Dateien kopiert. Danach ging das OWA wieder.
    Die beiden Scripte sich mir auch neu. Werden die nicht durch das Setup angestoßen oder müssen die immer nach RU’s / SP’2 / Patches manuell angestoßen werden ?

    Gruß
    Volker

  4. @Volker

    Also mit den Skripten habe ich unterschiedliche Erfahrung gemacht.
    Bei einem Exchange Server 2010 welchen ich letztens geupdatet hatte, musste ich das manuell machen. Allerdings muss man dazu sagen, dass der Server einen Stand von 2012 hatte. Vielleicht hat es damit zu tun. Da habe ich die Updates jedoch manuell installiert.

    Bei einem Exchange Server 2013 letzte Woche, wurden (wohl zum Ersten Mal) Sicherheitsupdates per WSUS verteilt. Da war dann das manuelle Ausführen des Skriptes erforderlich.

    Sollte man auf jedenfall mal im Hinterkopf behalten.

    Viele Grüße

  5. Ich habe diese Woche 7 Exchange Server 2010 SP3 RU18 installiert und musste bei keinem Skripts ausführen. Ev. kommt es drauf an, wenn man länger den Server nicht aktualisiert hat.

  6. @Davide
    Kann sein, aber in meinem Bereich werden die Dinger gewartet und das auch in nicht zu grossen Abständen. Trotzdem ist es dem einen Server passiert.
    Bei der nächsten Aktion werde ich den .\UpdateCas.ps1 mal laufen lassen. Vielleicht behebt er ja dann das immer wieder auftretende Problem.

  7. Sicher ist wichtig, von welchem Patch Stand aus man updatet. Wir planen gerade, Exch 2010 SP3 von RU11 auf RU18 zu aktualisieren.
    Hat jemand Erfahrung, ob sich die DAG dabei verabschiedet ? Muss ein Zwischenupdate mit einem älteren RU gemacht werden (normalerweise ja nicht) ?

    Grüße
    Michael

  8. Kurz vorab:
    UpdateCas.ps1 hat funktioniert. Was aber auch funktioniert: (und nichts anderes macht das Skript)
    Den Inhalt von „C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\ecp\Current“ manuell nach „C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\ecp\15.1.xxx“ zu kopieren. „15.1.xxx“ variiert je nach Versionsstand. Danach noch IISRESET und ECP läuft wieder.

    Nun die lange Version:
    Ich hatte in den letzten zwei Tagen mit zwei Exchange 2016 Servern ebenfalls das Problem, dass nach der Installation von CUs ECP und OWA kaputt waren. Es war sogar eine Kombination aus Fehlern.

    Die Installation sorgte dafür, dass in zahlreichen Configdateien die Variable %ExchangeInstallDir% (die es gar nicht gibt) gesetzt war und somit für ungültige Pfade sorgte. Dies erzeugte u.a. zahlreiche ID 1310, ASP.NET Warnungen im Eventlog.
    Entweder kann man dann z.B. per Notepad++ Suchen+Ersetzen anwenden oder einfach eine neue Umgebungsvariable erzeugen: ExchangeInstallDir = „C:\Program Files\Microsoft\Exchange Server\V15\Bin\“. Nach einem Reboot werden die fehlerhaften %ExchangeInstallDir% Variablen in den *.config-Dateien ersetzt.
    Danach liefen EXP/OWA aber immer noch nicht.
    Was abschließend geholfen hat, wie bereits erwähnt, die UpdateCas.ps1 auszuführen oder die manuelle Variante. (siehe oben)

    Vielleicht hilft das zukünftig Suchenden ja. :-)

  9. Wir haben das Update SP3 RU23 jetzt reingemacht. Hattn zuvor schon das Problem beim OWA, dass die ganzen Optionen mit der Meldung “
    500 – Interner Serverfehler.
    Problem bei der gesuchten Ressource. Sie kann nicht angezeigt werden.“ Beantwortet werden. Hatte die Hoffnung, dass mit dem letzt RU behoben wird.
    Hat jemand einen Ansatz für mich?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.