Neue Sicherheitsupdates für Exchange Server

Microsoft hat neue Sicherheitsupdates für Exchange 2010 bis Exchange 2016 veröffentlicht. Konkret handelt es sich um diese Sicherheitslücke:

Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Exchange Outlook Web Access (OWA). Die Sicherheitsanfälligkeit kann Rechteerweiterungen oder Spoofingangriffe in Microsoft Exchange Server ermöglichen, wenn ein Angreifer eine E-Mail mit einem speziell gestalteten Anhang an einen anfälligen Exchange Server sendet.

Quelle: Hinweise zum Sicherheitsupdate für Microsoft Exchange

Hier finden sich die zugehörigen CVE:

 

Alle 3 Lücken werden mit der Stufe “Wichtig” eingestuft.

Neue Sicherheitsupdates für Exchange Server

Entsprechende Updates können hier runtergeladen werden:

10 Replies to “Neue Sicherheitsupdates für Exchange Server”

  1. Ich habe 2016 CU6 installiert. Seitdem funktioniert mein MAPI (hat es nie zum laufen gebracht)!!!

    Irgendwie mag das link von Frank nicht … komme auf Exchange 2013

  2. Wird dieses Sicherheitsupdate auch über die „normalen“ Windows-Updates zur Verfügung gestellt werden?

  3. Hi Zusammen,

    ein Problem, welche ich in der Vergangenheit schon oft hatte, ist, dass nach einem Exchange Update die OWA/ECP Website nicht verfügbar ist und man seltsame Fehlermeldungen erhält – Entweder Error 400 oder die Seite wird unvollständig dargestellt. Mit den Logs konnte ich nicht viel anfangen.

    Ich fand heraus, dass nach jedem Exchange Update zwei Skripte ausgeführt werden sollten. Das war mir lange so nicht bekannt. Vielleicht hilft es ja einem weiter. Hier sind die Skripte abgelegt (ggf. Installationsordner anpassen und Powershell mit Adminrechten starten)

    C:\Program Files\Microsoft\Exchange Server\V15\Bin> .\UpdateCas.ps1
    C:\Program Files\Microsoft\Exchange Server\V15\Bin> .\UpdateConfigFiles.ps1

    Wichtig ist auch: Diese Skripte müssen auf dem Mailbox Server ausgeführt werden, also den Servern mit aktiver Mailbox Rolle oder auf Multi Role Servern. Es ist auf den Servern mit Client Access Rolle (betrifft nur Exchange 2010 und 2013) nicht erforderlich.

    Vielleicht hilft das einigen weiter. Mich hat das einige Zeit gekostet, bis ich das herausgefunden hatte.

    Viele Grüße

  4. @Marco

    Danke !
    Vor diesem Problem stand ich am Freitag bei einem Update eines Exchange 2010SP3 mit RU18 auch zum wiederholten mal. Bei dem betreffenden Server fehlten allerdings ein ganzes Verzeichnis unter „C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\Owa\14.3.361.1 “ nach dem Update.
    Das hatte ich in der Vergangenheit schon mal. Da ich noch weitere Server auf diesem Stand hatte, habe ich mich dort bedient und die fehlenden Dateien kopiert. Danach ging das OWA wieder.
    Die beiden Scripte sich mir auch neu. Werden die nicht durch das Setup angestoßen oder müssen die immer nach RU’s / SP’2 / Patches manuell angestoßen werden ?

    Gruß
    Volker

  5. @Volker

    Also mit den Skripten habe ich unterschiedliche Erfahrung gemacht.
    Bei einem Exchange Server 2010 welchen ich letztens geupdatet hatte, musste ich das manuell machen. Allerdings muss man dazu sagen, dass der Server einen Stand von 2012 hatte. Vielleicht hat es damit zu tun. Da habe ich die Updates jedoch manuell installiert.

    Bei einem Exchange Server 2013 letzte Woche, wurden (wohl zum Ersten Mal) Sicherheitsupdates per WSUS verteilt. Da war dann das manuelle Ausführen des Skriptes erforderlich.

    Sollte man auf jedenfall mal im Hinterkopf behalten.

    Viele Grüße

  6. Ich habe diese Woche 7 Exchange Server 2010 SP3 RU18 installiert und musste bei keinem Skripts ausführen. Ev. kommt es drauf an, wenn man länger den Server nicht aktualisiert hat.

  7. @Davide
    Kann sein, aber in meinem Bereich werden die Dinger gewartet und das auch in nicht zu grossen Abständen. Trotzdem ist es dem einen Server passiert.
    Bei der nächsten Aktion werde ich den .\UpdateCas.ps1 mal laufen lassen. Vielleicht behebt er ja dann das immer wieder auftretende Problem.

  8. Sicher ist wichtig, von welchem Patch Stand aus man updatet. Wir planen gerade, Exch 2010 SP3 von RU11 auf RU18 zu aktualisieren.
    Hat jemand Erfahrung, ob sich die DAG dabei verabschiedet ? Muss ein Zwischenupdate mit einem älteren RU gemacht werden (normalerweise ja nicht) ?

    Grüße
    Michael

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.