[English]Microsoft hat zum 13. Juli 2021 Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Juli-Updates sind erforderlich, um Schwachstellen, die von externen Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden, zu schließen. Die Updates gelten für die nachfolgend genannten Exchange Server On-Premises-Installationen.
Anzeige
Microsoft hat den Techcommunity-Beitrag Released: July 2021 Exchange Server Security Update mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Es stehen Updates für folgende Exchange-Server-Versionen zur Verfügung.
- Exchange Server 2013 CU23
- Exchange Server 2016 CU20 and CU21
- Exchange Server 2019 CU9 and CU10
Diese Schwachstellen betreffen On-Premises Microsoft Exchange Server sowie Server, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits geschützt und müssen keine Maßnahmen ergreifen. Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt der Hersteller, diese Updates sofort zu installieren, um die Exchange Installation zu schützen. Auf dieser Seite hat jemand die nachfolgend adressierten sechs Schwachstellen, deren Risiko teilweise als hoch eingestuft wird, zusammen getragen.
- CVE-2021-31196: Code-Injection, Risiko low, angreifbar: Microsoft Exchange Server 2013 Cumulative Update 23
- CVE-2021-34470: Permissions, Privileges, and Access Controls, Risiko low, angreifbar: Exchange Server: 2013 Cumulative Update 23, 2016 Cumulative Update 21, 2019 Cumulative Update 10
- CVE-2021-33768: Permissions, Privileges, and Access Controls, Risiko low, angreifbar: Microsoft Exchange Server: 2016 Cumulative Update 20, 2016 Cumulative Update 21, 2019 Cumulative Update 9, 2019 Cumulative Update 10
- CVE-2021-34473: Code-Injection, Risiko high, angreifbar: Microsoft Exchange Server: 2013 Cumulative Update 23
CVE-2021-34523: Permissions, Privileges, and Access Controls, Risiko low, angreifbar: Microsoft Exchange Server: 2013 Cumulative Update 23
CVE-2021-31206: Code-Injection, Risiko high, angreifbar: Microsoft Exchange Server: 2013 Cumulative Update 23
Die CVEs sind auch in diesem Blog-Beitrag der Zero-Day-Initiative aufgeführt. Auf dieser Seite finden sich aber detailliertere Erläuterungen zu den jeweiligen Schwachstellen. Sofern die Sicherheitsupdates manuell installiert werden,ist dieser Vorgang aus einer mit administrativen Eingabeaufforderung heraus zu starten. Andernfalls treten Probleme während der Installation auf.
Der Techcommunity-Beitrag listet Maßnahmen auf, die zur Verbesserung der Sicherheit wegen CVE-2021-34470 zusätzlich zur Anwendung der Sicherheitsupdates vom Juli 2021 durchgeführt werden sollten. Zudem hat Microsoft eine Liste bekannter Probleme im Zusammenhang mit diesen Sicherheitsupdates veröffentlicht.
Anzeige
Die im Blog-Beitrag Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration erwähnten Probleme mit Fremdvirenscannern sind im Update nicht adressiert, da Microsoft gemäß den Kommentaren unterhalb des Beitrags von diesen Fehlern nichts bekannt war. Ob die in diesem Kommentar angesprochenen Installationsprobleme für die letzten CUs behoben sind, entzieht sich meiner Kenntnis.
Ähnliche Artikel:
Kumulative Exchange Updates Juni 2021 veröffentlicht
Epsilon Red Ransomware zielt auf ungepatchte Exchange Server
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
PoC für den von der NSA entdeckten Microsoft Exchange-Bug öffentlich
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange Server Security Update KB5001779 (13. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Kumulative Exchange Updates Juni 2021 veröffentlicht
Anzeige
Diesmal ist – zumindest für mich – was ganz neues dabei.
Es muss zusätzlich das Schema erweitert werden, damit alle CVEs gefixt werden.
Betrifft Exchange 2013, 2016CU20 und 2019CU9.
Beim CU21 / CU10 wurde das wohl schon mit gemacht.
Kann man hier nachlesen:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-july-2021-exchange-server-security-updates/ba-p/2523421
Danke, für den extrem wichtigen Hinweis. Das bedeutet, aber auch, dass man nun gezwungen ist, dass aktuelle CU einzuspielen, weil normalerweise bekommt man für das aktuelle CU und den Vorgänger Security updates. Für den Vorgänger dürfte es aber wohl nun keinen Pfad geben um das AD Schema zu erweitern.
Auch wenn es für manche keinen Unterschied macht: Meine Lesart ist, dass es reicht nur das Schema-Update durchzuführen. Das Setup hat ja explizit die Parameter um das Schema-Update zu machen. Die CU-Installation kann man dann verschieben.
Ich habe immer gedacht, dass das Schema Update während dem Setup automatisch durchgeführt wird.
Wenn Du auf das aller letzte CU Updatest passt das auch. Nur wenn Du das SU über das vorletzte CU ziehst, dann musst Du das Schema manuell updaten… so hab ich es zumindest verstanden.
Irgendwie blicke ich da bei dem CVE wirr warr nicht ganz durch. Anscheinend sind in diesem Security Update nur die nicht ganz schlimmen Lücken geschlossen worden. Liest man sich die CVE einzeln durch findet man sowohl bei CVE-2021-34473 und CVE-2021-34523 (den richtig kritischen) folgenden Text ganz unten:
Information published. This CVE was addressed by updates that were released in April 2021, but the CVE was inadvertently omitted from the April 2021 Security Updates. This is an informational change only. Customers who have already installed the April 2021 update do not need to take any further action.
Sehe ich das also richtig, dass bei diesem SU der Schuh nicht so sehr drückt? Es wäre mal schön ein paar Tage ohne Windows Zero-Day Panik Attacke zu verbringen :D
Gruß
Meine Lesart ist die: Der Fix für die CVE war im Patch enthalten, man hat nur vergessen, das zu dokumentieren. Die seit 2020 neu eingeführte Sicherheitsseite mit den aufgelisteten CVEs ist eh ein Graus – imho – total unübersichtlich.
Das war mir auch sofort ins Auge gesprungen. Der aktuelle Fix ist nur "Important". Critical sind wirklich die Fixes vom April und die sind schon drauf…
Aber egal wird schon noch Lücken geben, welche die Gauner zu erst finden…
Seit heute ist der Satz mit den April Updates im Security Update Guide nicht mehr zu finden. Jetzt bin ich vollends verwirrt.
Wenn ich das richtig sehe muss man Exchange CU8 nun auf CU9 aktualisieren um die Sicherheitslücken zu schließen?
ja oder direkt CU10.
es wird immer nur die aktuelle (zz CU10) und die davor (zz CU9) supportet.
Alle älteren (also zz CU8 und älter) sind EOS und bekommen keine Patche mehr
Bei meinem ersten Exchange (2019CU10) war im ECP Ordner die web.config leer nach dem Patch. Ich hab sie dann vom zweiten Server rübergezogen.
Mal eine Frage: ich verteile grundsätzlich per WSUS. Wenn ich das Exchange 2016 CU21 freigebe und es eigenständig installiert wird – ist dann alles ok oder muss ich das CU21 explizit herunterladen und /PrepareSchema durchführen?
Schon einmal Danke für die Antwort!
Es gibt keine CUs per WSUS. Das ist immer eine eigenständige Installation.
Hallo,
habe nach dem Update Anmeldeprobleme. Nach der Installation des Security Update For Exchange Server 2016 CU21 (KB5004779) auf einem Exchange Server in der DAG ergibt sich folgendes Fehlerbild:
Nach erfolgreicher Anmeldung wird man umgehend auf die OWA Anmeldseite zurückgeworfen.
Deaktiviere ich den Server am LB funktioniert OWA wie gewohnt!
Kann das jemand auch bestätigen?
Was bin ich froh das SU noch nicht installiert zu haben :D
Lies dir mal die Kommentare durch. Scheint relativ weit verbreitet zu sein:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-july-2021-exchange-server-security-updates/ba-p/2523421
Auf Reddit wird man auch fündig:
https://www.reddit.com/r/exchangeserver/comments/ok1cjx/iiscert_problem_after_july_2021_patch_on_exchange/
Gruß
Gestern Abend KB5004778 versucht zu installieren. Sowohl bei Weg über Download und Installation als Admin als auch beim Weg über Windows Update exakt die gleichen Probleme. OWA geht dann nicht und was viel schlimmer ist EAC geht auch nicht. Daher nach 4h frustriert das Update wieder runtergeschmissen und im Update Katalog geblockt damit es nicht aus Versehen mit installiert wird.
das soll wohl beim owa problem helfen:
hab auch probleme bei ex13
https://docs.microsoft.com/en-us/answers/questions/476090/ex2019-cu10-owaecp-not-working-after-july-security.html
3x ex13 cu21 das update KB5004778 installiert bei allen 3 gehts owa und ecp NICHT mehr *Applaus!*
https://docs.microsoft.com/en-us/answers/questions/476090/ex2019-cu10-owaecp-not-working-after-july-security.html
also: zertifikat austauschen und einfach 24h warten und schon klappt es wieder *grr*
3 von 3 server die probleme hatte, grosses kino
War bei Dir das Zertifikat abgelaufen, oder hast Du es einfach so getauscht?
Moin,
hier auch Reinfall mit 2x Exchange 2013.
Auf einem habe ich das Zertifikat neu erstellt, weil abgelaufen, hier konnte ich die Echange-Shell starten und das erledigen.
Trotz Neustart etc. kann ich trotz neuem Zertifikat das OWA nicht aufrufen.
Auf dem anderen 2013er kann ich die Shell nciht öffnen, weil er keine Verbindung zu sich selber findet.
Exchange ist schon toll…
Da in der Regel nur bei Problemen berichtet wird… wir konnten bei uns (EX2013 CU23 DAG unter 2012R2) das SU inkl. Schema Update ohne Probleme durchführen.
Exchange 2013CU23 unter 2012R2 KB 5004778 SU ging bei mir auch problemlos, allerdings bleibt das Schema nach dem Update auf Version 15312. Es sollte 15313 sein. HealthChecker.ps1 sagt alles OK?!
UPDATE:
Laut Microsoft ändert sich die Versionsnummer nicht:
https://docs.microsoft.com/en-us/exchange/prepare-active-directory-and-domains-exchange-2013-help
Exchange 2013 version rangeUpper objectVersion objectVersion
Exchange 2013 CU23 with KB5004778 15312 13237 16133
Exchange 2013 CU23 15312 13237 16133