Gestern wurde von Microsoft ein Sicherheitsupdate für Exchange 2016 und Exchange 2019 veröffentlicht. Das Update wird als “Wichtig” eingestuft und sollte daher zeitnah installiert werden.
Hier die Beschreibung der Sicherheitslücke:
A remote code execution vulnerability exists in Microsoft Exchange software when the software fails to properly handle objects in memory. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the System user. An attacker could then install programs; view, change, or delete data; or create new accounts.
Exploitation of the vulnerability requires that a specially crafted email be sent to a vulnerable Exchange server.
The security update addresses the vulnerability by correcting how Microsoft Exchange handles objects in memory.
Quelle: CVE-2019-0586 | Microsoft Exchange Memory Corruption Vulnerability
Im verlinken Artikel finden sich auch die Download Links zu den Updates.
Hinweis: Aktuell scheinen die Downloadlinks nicht immer zu funktionieren, ich habe es einfach mehrfach probiert und konnte dann den Download starten.
Die Exchange Sicherheitslücke wird wohl derzeit noch nicht ausgenutzt. Die Sicherheitslücke birgt aber einiges an Potenzial, wenn ein Exploit zur Verfügung steht. Siehe dazu auch hier:
Quelle: THE JANUARY 2019 SECURITY UPDATE REVIEW
Vielen Dank an Dirk, der mich auf das Update hingewiesen hat, es wäre sonst an mir vorbeigegangen.
bei uns funktioniert OWA nicht mehr:
ClientAccess\owa\prem/15.1.1591.12\resources\themes“ doesn’t exist.
bei uns funktioniert OWA nicht mehr:
ClientAccess\owa\prem/15.1.1591.12\resources\themes
Laut Golem und Heise gibt es das Securitypatch noch gar nicht! Was ist nun richtig?
Hallo Bernd,
Ich fürchte die in CVE-2018-8581 beschriebene Sicherheitslücke wird von den Patches KB4471389 und KB4468741 nicht oder nur teilweise behandelt.
CVE-2018-8581 | Microsoft Exchange Server Elevation of Privilege Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581
CVE-2019-0586 | Microsoft Exchange Memory Corruption Vulnerability – KB4471389
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0586
CVE-2018-8604 | Microsoft Exchange Server Tampering Vulnerability – KB4468741
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8604
René
Hallo!
Eine kurze Frage: Sind diese kleineren Security-Updates auch kumulativ?
Ich habe jetzt auf CU 11 aktualisiert und im Zuge dessen die Patches KB4471389 (11.12.2018) und KB4468741 (08.01.2019) installiert.
Einen nach dem anderen, schön mit Neustart dazwischen. Unter „Programme und Features –> Installierte Updates“ tauchte zunächst KB4471389 auf und dann, nach Installation von Patch KB4468741, war der Eintrag für KB4471389 weg und stattdessen stand Patch KB4468741 unter der Updaterubrik für „MS Exchange Server Cumulative Update 11“.
In der Registry sind beide Updates als installiert vermerkt. Ich habe dann stichprobemartig einen Vergleich der Versionsnummern von zwei Handvoll der gepatchten Dateien gemacht. Alle diese in Patch KB4471389 geänderten Dateien (Versionsnummer 15.1.1591.11) wurden im Januar im Patch KB4468741 erneut ausgetauscht (Versionsummer aktuell 15.1.1591.12 oder .13).
Ist das ein Zufall oder hat MS evtl. mal wieder den Patch vom Patch gepatched? Ich hab allerdings nur zufällige 10-15 der über 1000 geänderten Dateien verglichen.
Oops, Korrektur ich habe wohl das Datum der Patchnummern vertauscht:
KB4468741 vom 11.12.2018
KB4471389 vom 08.01.2019
Ich hab aber erst den älteren Patch von 2018 und danach den Patch vom Januar installiert. An der „Merkwürdigkeit“ ändert es nichts.
Hallo René,
im CVE (Supersedence) sowie KB Artikel (Ersetzte Sicherheitsupdates) steht, dass KB4468741 ersetzt wird durch KB4471389
Hallo Paul,
ahhh ok! Danke das war mir entgangen.
Hallo,
seit der Installation des Sicherheitsupdates (Exchange 2016, CU11) startet bei mir der Active Directory Topologie-Dienst nicht mehr. Eine Deinstallation des Updates und eine erneute Installation von CU11 lösen das Problem leider nicht. Hat jemand eine Idee?
Eine pauschale Antwort ist da immer schwer. Was meldet denn das Eventlog beim Versuch, den Dienst zu starten?
Wie hast Du das Problem gelöst ?
Hi,
das Update gilt auch für Exchange 2013 und für Exchange 2010 gibts das SP3 RUP25
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0588
https://support.microsoft.com/en-us/help/4468742/update-rollup-25-for-exchange-server-2010-service-pack-3