Bereits am 12.12.17 hat Microsoft ein Sicherheitsupdate für Exchange 2013 und Exchange 2016 veröffentlicht. Es handelt sich dabei nicht um das vierteljährliche CU, sondern um einen Fix für eine Schwachstelle in Outlook Web Access (OWA).
Das CVE zur Schwachstelle findet sich hier:
Das Update hat die Stufe “Wichtig”. Microsoft beschreibt die Lücke wie folgt:
This security update resolves a vulnerability in Microsoft Exchange Outlook Web Access (OWA). The vulnerability could allow elevation of privilege or spoofing in Microsoft Exchange Server if an attacker sends an email that has a specially crafted attachment to a vulnerable Exchange server.
Die Updates können hier runtergeladen werden:
- Security Update For Exchange Server 2016 CU7 (KB4045655)
- Security Update For Exchange Server 2016 CU6 (KB4045655)
- Security Update For Exchange Server 2013 CU18 (KB4045655)
- Security Update For Exchange Server 2013 CU17 (KB4045655)
Es kann vorkommen dass die Exchange Dienste nach der Installation des Updates im Status “Deaktiviert” verbleiben, daher sollten nach der Installation des Updates die Dienste kontrolliert werden.
Das vierteljährliche CU sollte ebenfalls in den nächsten Tagen erscheinen.
Oh man, was für ein Schrott! Alle Dienste deaktiviert und sie lassen sich auch nicht so ohne weiteres aktivieren. Sehr sicher, wirklich! Wird ’n langer Abend scheinbar :/
oh, falscher Post, falsches Update …die Tatsache bleibt, ging um das KB4487563
Leider kann es vorkommen, das nach dem einspielen des Updates OWA nicht mehr einwandfrei arbeitet.
Anbei ein Workaround:
Warning: Security Update For Exchange Server 2016 (KB4045655) breaks OWA
Fix:
Part 1:
• Run the script UpdateCas.ps1 located in your Exchange install directory from an elevated Exchange Management Shell. On completion – reboot the server.
• This gets OWA up and running but \ecp Admin Centre is still down. A different error: „Could not load file or assembly ‚Microsoft.Exchange.Common,…..“
Part 2:
• Open IIS Manager. Expand Sites > Exchange Back End.
• Click ecp. Open Application Settings in /ecp Home.
• Please check whether the value for “BinSearchFolders” is changed to an invalid value. If so, please change it to:
C:\Program Files\Microsoft\Exchange Server\V15\bin;C:\Program Files\Microsoft\Exchange Server\V15\bin\CmdletExtensionAgents;C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\bin
Reason:
The install directory had been abbreviated to %exchangeinstalldir% and it didn’t like it!
On correction and reboot, all services returned to normal. \ecp Admin Centre displayed fine.
Bei mir ist das Update für CU7 sauber durchgelaufen, kein Dienst deaktiviert.
Läuft unter ESXi 6.5 mit Server 2012 R2
Langsam könnte man denken, im Hause Microsoft wird rein gar nichts mehr getestet.
Nach einem update einer DAG war dann entsprechend keiner der Server mehr erreichbar.
Genau deshalb installiert man ja eine DAG…
Beim SBS 4.0 war das vielleicht noch beherrschbar, inzwischen ist es nur noch eine Lotterie.
Finger weg! Dieses Sicherheitsupdate ist so sicher, dass es mit Sicherheit alles lahm legt.
Unser Exchange Server ist nach der händischen Installation des Updates nicht mehr gestartet und musst wiederhergestellt werden!
Nach einiger zeit wurde das Update jedoch normal via Windows Update gefunden und konnte darüber sauber und ohne Probleme installiert werden.
Nach dem Update waren die Bindungen von Port 444 an das Exchange Zertifikat plötzlich weg und nichts ging mehr.
äh meinte cu7 installiert, dann war der cu6 fix nicht mehr da
fließt eigentlich immer mit ein, war bei cu6 fix auch so, habe den cu6 fix nicht installiert, sondern gleich cu6, dann wurde der fix nicht mehr angeboten
Ist bekannt ob der Fix auch ins cu mit einfließt, oder muss man den in jedem Fall einzeln patchen?