[English]Bei der Installation des Sicherheitsupdate KB4536988 (Feb. 2020) zum Schließen der Schwachstelle CVE-2020-0688 kann es bei Exchange Server 2013 ein Problem geben, welches bei Exchange Server 2016 schon vor einem Jahr beschrieben wurde.
Anzeige
Sicherheitsupdate KB4536988 (Feb. 2020)
Zum 11. Februar 2020 hat Microsoft das Sicherheitsupdate KB4536988 für Microsoft Exchange Server 2013 freigegeben. Es handelt sich um ein Update-Rollup, welches folgende Schwachstellen in Microsoft Exchange beheben soll.
- CVE-2020-0692 | Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Rechteerweiterungen
- CVE-2020-0688 | Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Arbeitsspeicherbeschädigung
Dieses Update behebt außerdem das folgende Problem: 4540267 Absturz von „MSExchangeDelivery.exe" oder „EdgeTransport.exe" in Exchange Server 2013 und Exchange Server 2010. Das Sicherheitsupdate sollte eigentlich zeitnah installiert werden, da es Angriffe auf ungepatchte Exchange Server gibt (siehe Links am Artikelende).
Es gibt Probleme mit der Update-Installation
Allerdings ist das Update für Exchange-Administratoren nicht so ganz ohne. Ich hatte im Blog-Beitrag Exchange Server 2013 Mailfunktion nach Update außer Betrieb bereits über Probleme berichtet, die ein Leser nach der Update-Installation bekam. Scheint kein Einzelfall zu sein.
Zudem führt der KB-Artikel KB4536988 zum Sicherheitsupdate schon einige bekannte Probleme auf. Eine Installation im 'Normalmodus' per Doppelklick führt dazu, dass nicht alle Dateien installiert werden. Der Administrator muss das Update über Als Administrator ausführen starten, damit das Ganze durchläuft.
Anzeige
Noch ein Problem mit dem Update
Zum Wochenende bin ich über den Tweet von Blog-Leser Karl gestolpert, der auf ein weiteres Problem hinweist.
@MSFTExchange installing the KB patch to close #CVE-20200688 on Exch Server 2013 CU23 / .Net 4.8 might spawn an issue found in Exch Server 2016
ECP / OWA affected.#pqtchday
Are you aware of this?
Workaround :https://t.co/KawwHaAh0i— al Qamar (Karl Wester-Ebbinghaus) (@tweet_alqamar) March 1, 2020
Versucht man auf einem Exchange Server 2013 CU23 mit .NET Framework 4.8 das Sicherheitsupdate KB4536988 zum Schließen der Schwachstelle CVE-2020-0688 zu installieren, läuft man gegebenenfalls in einen Serverfehler in Anwendungen wie OWA oder ECP. Dort wird eine Fehlermeldung der Art:
Die Datei oder Assembly „Microsoft.Exchange.Common, Version=15.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35″ oder eine Abhängigkeit davon wurde nicht gefunden. Das System kann die angegebene Datei nicht finden." und OWA "
:-( Da hat etwas nicht geklappt.
Ihre Anforderung konnte nicht abgeschlossen werden. HTTP-Statuscode: 500.
Frank Zöchling – hier im Blog in der rechten Seitenleiste mit seinem Franky's Exchange- & AD-Blog verlinkt, hat vor einem Jahr den Artikel Exchange 2016: Serverfehler in Anwendung (OWA und/oder ECP) veröffentlicht. Da ist genau dieser Fehler bei Microsoft Exchange Server 2016 samt Workaround beschrieben. Auf Twitter habe ich gesehen, dass ein Betroffener schreibt, dass der Workaround von Frank hilft.
Ergänzung: Karl hat mir gerade auf Twitter noch die folgende Information zukommen lassen, warum er auf .NET Framework 4.8 setzt, was wohl an den Problemen beteiligt ist.
I choosed to install it after the CU23 in 2019 because CU 21 and 22 aren't listed compatible.
Even though after installing CU 23 back then the Server stopped working so it was our thought to follow the advice. Other say it works on 4.7.2, too.
I don't hesitate with it.
— al Qamar (Karl Wester-Ebbinghaus) (@tweet_alqamar) March 2, 2020
Vielleicht hilft es ja weiter. Ergänzung 2: Henning Uhle hat das Problem auch erlebt und diesen Beitrag dazu veröffentlicht.
Ähnliche Artikel:
Achtung: Angriffe auf ungepatchte Exchange Server
Sicherheitsinfos zu Linux und Exchange (26.2.2020)
Exchange Server 2013 Mailfunktion nach Update außer Betrieb
Anzeige
Hallo,
ich habe gerade bei unserem Exchange 2013 CU23 DAG Cluster das Update über den Update Dienst eingespielt. Die .Net Version war 4.7.2. Das Update lief sauber durch, alle Dienste laufen und auch OWA/ECP hat keine Probleme. Mit .Net 4.8 warte ich bis zum nächsten CU. Gruß Boris
Hallo Boris,
lt. Der Compat Matrix ist 4.8 supported und ich meine auch gelesen zu haben notwendig. War es November 2019? Ich bin nicht ganz sicher.
Hallo Karl,
nein .Net 4.8 ist erst ab der nächsten CU Pflicht. Mit CU23 geht noch beides.
https://docs.microsoft.com/de-de/exchange/exchange-2013-system-requirements-exchange-2013-help
Gruß Boris
Guten Morgen,
ich bin letzte Woche im Lab genau in diesen Fehler gelaufen und der Beitrag von Frank konnte mir helfen.
Der nächste Test bestätigte das Problem, die cmd oder Powersehll muss als Admin gestartet werden.
Schöne Woche und danke für den Beitrag!
"Eine Installation im 'Normalmodus' per Doppelklick führt dazu, dass nicht alle Dateien installiert werden. Der Administrator muss das Update über Als Administrator ausführen starten, damit das Ganze durchläuft."
Ich hab es per doppelklick gestartet, ich meine es kam eine UAC.
Wenn es nicht durchläuft terminiert es mit einem Fehler, Günter?
Oder kann es sein, dass es fehlerfrei durchläuft und trotzdem Dateien fehlen?
Laut KB-Artikel werden keine Fehler gemeldet. Und ich verstehe auch nicht, warum der Installer da keine UAC-Vorgabe im Manifest hat – dann wäre der Doppelklick kein Problem. Aber ich muss ja nicht alles verstehen.
Ich spiele solche Updates immer per Windows Update ein. Ist viel stressfreier und funktionierte bisher immer ohne Probleme.