Neues Sicherheitsupdate für Exchange 2013 / 2016

Bereits am 12.12.17 hat Microsoft ein Sicherheitsupdate für Exchange 2013 und Exchange 2016 veröffentlicht. Es handelt sich dabei nicht um das vierteljährliche CU, sondern um einen Fix für eine Schwachstelle in Outlook Web Access (OWA).

Das CVE zur Schwachstelle findet sich hier:

Das Update hat die Stufe “Wichtig”. Microsoft beschreibt die Lücke wie folgt:

This security update resolves a vulnerability in Microsoft Exchange Outlook Web Access (OWA). The vulnerability could allow elevation of privilege or spoofing in Microsoft Exchange Server if an attacker sends an email that has a specially crafted attachment to a vulnerable Exchange server.

Die Updates können hier runtergeladen werden:

Es kann vorkommen dass die Exchange Dienste nach der Installation des Updates im Status “Deaktiviert” verbleiben, daher sollten nach der Installation des Updates die Dienste kontrolliert werden.

Neues Sicherheitsupdate für Exchange 2013 / 2016

Das vierteljährliche CU sollte ebenfalls in den nächsten Tagen erscheinen.

8 Replies to “Neues Sicherheitsupdate für Exchange 2013 / 2016”

  1. Ist bekannt ob der Fix auch ins cu mit einfließt, oder muss man den in jedem Fall einzeln patchen?

  2. fließt eigentlich immer mit ein, war bei cu6 fix auch so, habe den cu6 fix nicht installiert, sondern gleich cu6, dann wurde der fix nicht mehr angeboten

  3. Nach dem Update waren die Bindungen von Port 444 an das Exchange Zertifikat plötzlich weg und nichts ging mehr.

  4. Unser Exchange Server ist nach der händischen Installation des Updates nicht mehr gestartet und musst wiederhergestellt werden!

    Nach einiger zeit wurde das Update jedoch normal via Windows Update gefunden und konnte darüber sauber und ohne Probleme installiert werden.

  5. Langsam könnte man denken, im Hause Microsoft wird rein gar nichts mehr getestet.
    Nach einem update einer DAG war dann entsprechend keiner der Server mehr erreichbar.
    Genau deshalb installiert man ja eine DAG…
    Beim SBS 4.0 war das vielleicht noch beherrschbar, inzwischen ist es nur noch eine Lotterie.
    Finger weg! Dieses Sicherheitsupdate ist so sicher, dass es mit Sicherheit alles lahm legt.

  6. Bei mir ist das Update für CU7 sauber durchgelaufen, kein Dienst deaktiviert.
    Läuft unter ESXi 6.5 mit Server 2012 R2

  7. Leider kann es vorkommen, das nach dem einspielen des Updates OWA nicht mehr einwandfrei arbeitet.

    Anbei ein Workaround:

    Warning: Security Update For Exchange Server 2016 (KB4045655) breaks OWA
    Fix:
    Part 1:
    • Run the script UpdateCas.ps1 located in your Exchange install directory from an elevated Exchange Management Shell. On completion – reboot the server.
    • This gets OWA up and running but \ecp Admin Centre is still down. A different error: „Could not load file or assembly ‚Microsoft.Exchange.Common,…..“
    Part 2:
    • Open IIS Manager. Expand Sites > Exchange Back End.
    • Click ecp. Open Application Settings in /ecp Home.
    • Please check whether the value for “BinSearchFolders” is changed to an invalid value. If so, please change it to:
    C:\Program Files\Microsoft\Exchange Server\V15\bin;C:\Program Files\Microsoft\Exchange Server\V15\bin\CmdletExtensionAgents;C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\bin

    Reason:
    The install directory had been abbreviated to %exchangeinstalldir% and it didn’t like it!
    On correction and reboot, all services returned to normal. \ecp Admin Centre displayed fine.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.