Windows Updates aus Februar 2019 wichtig für Exchange Server

Die Updates für Windows Server welche am 19.02.2019 nach dem regulärem Patchday veröffentlicht wurden, sind auch wichtig für Exchange Server welche auf Windows Server 2016 laufen. Ganz konkret geht es um ein Problem das seit dem September 2018 besteht:

KB4457127 sorgt für Probleme auf DCs in Verbindung mit Exchange

Das KB4457127 verursacht nach der Installation auf Domain Controllern Probleme mit den Exchange Adresslisten, daher war es bisher ratsam das entsprechende Update nicht auf DCs zu installieren:

Windows Updates aus Februar 2019 wichtig für Exchange Server

Das KB4487006 vom 19.02.2019 behebt dieses Problem nun, hier ein Auszug aus der Liste der behobenen Probleme:

Addresses an issue that may cause Microsoft Outlook to display the error, „The operation failed“ when viewing the Microsoft Exchange Address Book. This issue occurs after installing KB4457127 on Active Directory domain controllers that utilize Microsoft Exchange. The error appears on Microsoft Outlook clients that use locales other than EN-US.

February 19, 2019—KB4487006 (OS Build 14393.2828)

Des weiteren ermöglicht das KB4487006 das Limitieren von HTTP/2 Settings-Frames welche Clients an den IIS-Webserver schicken können. Angreifer die diese Schwachstelle ausnutzen, könnten die CPU-Last auf den IIS-Servern (und somit auch Exchange Servern) in die höhe treiben und damit den Server so stark auslasten, dass er unbenutzbar wird (DDoS).

Das KB4487006 behebt allerdings nicht die Schwachstelle in Verbindung mit HTTP/2 Settings Frames, sondern bietet nur die Möglichkeit das Szenario mittels entsprechender Limits einzuschränken:

Define thresholds on the number of HTTP/2 Settings parameters exchanged over a connection

Da in der Standardeinstellung keine Limits gesetzt sind und somit weiterhin die Möglichkeit besteht, die CPU-Last auf Exchange Servern auf 100% zu treiben, stellt sich natürlich die Frage welche Limits hier sinnvoll sind.

Aktuell kann ich diese Frage ebenfalls nicht beantworten, bisher liegen mir keine entsprechenden Informationen vor.

Ich habe test halber einmal die folgenden Werte benutzt:

Windows Updates aus Februar 2019 wichtig für Exchange Server

Diese Werte habe ich dem folgenden Reddit Thread entnommen (es handelt sich hier aber um Vermutungen):

Microsoft publishes security alert on IIS bug that causes 100% CPU usage spikes

Sobald ich hier mehr Informationen habe, aktualisiere ich diesen Artikel.

6 Kommentare zu “Windows Updates aus Februar 2019 wichtig für Exchange Server”

  1. Hi!

    Kommt denn KB4487006 über den WSUS (früher oder später) oder MUSS Ich das Paket manuell downloaden und installieren (das ich so oder so im Anschluss an die Installation wg der Registry-Einträge noch tätig werden muss, ist mir klar)?

    Und BTW:
    Bei der (erfolglosen) Suche nach einer Antwort auf die o.g. Frage bin ich auf der KB-Seite zu dem o.g. Patch auf folgenden Text gestoßen:

    https://support.microsoft.com/en-us/help/4487006/windows-10-update-kb4487006

    Windows Server 2016 Standard edition, Nano Server installation option and Windows Server 2016 Datacenter edition, Nano Server installation option reached end of service on October 9, 2018. These editions will no longer receive monthly security and quality updates that contain protection from the latest security threats. To continue receiving security and quality updates, Microsoft recommends updating to the latest version of Windows 10.

    Ich war bislang der Meinung, dass die erste Ausgabe von Server 2016 LTSC ist und daher noch eine ganze Zeitlang mit Updates versorgt wird. Nun bin ich doch etwas unsicher…

    Vielen Dank im Voraus!

    TJ

  2. Hi Frank,

    kann es sein, dass deine HTTP/2 Werte vertauscht sind? Nach meinem Kenntnisstand sollte der MaxSettingsPerMinute-Wert höher sein als der MaxSettingsPerFrame-Wert. Bei deinen Werte (aus dem Reddit-Artikel) wäre es dann

    MaxSettingsPerMinute = 3500
    MaxSettingsPerFrame = 7

    Grüße
    Mac

  3. Hi Frank,

    bist du mit den von dir angegebenen Werten gut gefahren. (Wir haben ein DAG Cluster mit zwei Knoten.)
    Gibt es schon neuere Erfahrungswerte, Empfehlungen oder Hinweise zu Drittanbieter Software welche hier schon häufiger auffällig waren?

    Gruß
    Armin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.