[English]Microsoft hat zum 11. Januar 2022 Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Updates sind erforderlich, um Schwachstellen, die von externen Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden, zu schließen. Die Updates gelten für die nachfolgend genannten Exchange Server On-Premises-Installationen.
Anzeige
Microsoft hat den Techcommunity-Beitrag Released: January 2022 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Blog-Leser Tom hat mich darauf hingewiesen (danke dafür).
Und auf Twitter ist mir obiger Hinweis untergekommen. Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung (Links zu den CUs, siehe Exchange Server September 2021 CU (28.9.2021)).
- Exchange Server 2013 CU23
- Exchange Server 2016 CU21, CU22
- Exchange Server 2019 CU10, CU11
Die Updates für Jan. 2022 sind unten verlinkt. In diesem Microsoft-Supportbeitrag sind die folgenden drei Schwachstellen aufgelistet.
Anzeige
- CVE-2022-21846 | Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2022-21855 | Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2022-21969 | Microsoft Exchange Server Remote Code Execution Vulnerability
Die gefixten Schwachstellen betreffen On-Premises Microsoft Exchange Server sowie Server, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits geschützt und müssen keine Maßnahmen ergreifen. Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt der Hersteller, diese Updates sofort zu installieren, um die Exchange Installation zu schützen. Die Download-Links und Update-Details sind in diesem Supportbeitrag beschrieben. Hier die Download-Links:
- Download Exchange Server 2019 Cumulative Update 11 Security Update 3 (KB5008631)
- Download Exchange Server 2019 Cumulative Update 10 Security Update 4 (KB5008631)
- Download Exchange Server 2016 Cumulative Update 22 Security Update 3 (KB5008631)
- Download Exchange Server 2016 Cumulative Update 21 Security Update 4 (KB5008631)
- Download Exchange Server 2013 Cumulative Update 23 Security Update 13 (KB5008631)
Sofern die Sicherheitsupdates manuell installiert werden, ist dieser Vorgang zwingend aus einer mit administrativen Eingabeaufforderung heraus zu starten. Andernfalls treten Probleme während der Installation auf. Bezüglich weiterer bekannter Probleme finden sich in diesem Microsoft-Supportbeitrag einige Hinweise.
Ähnliche Artikel:
Kumulative Exchange Updates Juni 2021 veröffentlicht
Epsilon Red Ransomware zielt auf ungepatchte Exchange Server
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
PoC für den von der NSA entdeckten Microsoft Exchange-Bug öffentlich
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange Server Security Update KB5001779 (13. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server September 2021 CU (28.9.2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar
Exchange Year 2022 Problem: FIP-FS Scan Engine failed to load – Can't Convert "2201010001" to long (1.1.2022)
Microsoft bestätigt Exchange Year 2022 Problem FIP-FS Scan Engine failed to load (1. Jan. 2022)
Temporärer Fix für Exchange Year 2022 Problem FIP-FS Scan Engine failed to load (1. Jan. 2022)
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Exchange Server: Neues zu den ProxyShell-Schwachstellen
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)
Anzeige
Die Links zu den Updates scheinen auf alte Patches zu verweisen.
Gruß Singlethreaded
Bitte nicht die CUs mit den Sicherheitsupdates verwechseln. Ich habe mal den Support-Beitrag und die neuen Download-Links nachgetragen.
Moin Günter,
wenn ich oben bei Exchange Server 2016 auf CU22 klicke, dann lade ich beim Security Update For Exchange Server 2016 CU22 (KB5007012), welches das Sicherheitsupdate aus dem November 2021 ist, aber kein CU. Ich hätte dort die Patches aus Januar 2022 erwartet. Oder verstehe ich was falsch?
Gruß Singlethreaded
Die Links sind direkt aus dem MS Techcommunity-Beitrag übernommen worden. Ich habe den Text aber mal leicht umgestellt – die verlinkten CUs stammen vom Nov. 2021 – imho sind die Links korrekt. Die Download-Links für Jan. 2022 Updates sind ja separat nachgetragen.
Ok, habe es jetzt gerafft – muss mir das demnächst in Ruhe anschauen und die Links zu den CUs raussuchen. Aktuell ächst aber mein Webserver auf Grund der Last und läuft in Service unvailable Fehler. Zudem muss ich gleich in Physiotherapie.
Moin,
der link für CU11 ist falsch, er verweist auf KB5007012. Wir sollten aber KB5008631 installieren. ;-)
Grüße
Sven
Ich muss heute früh wohl Tomaten auf den Augen haben. CU11 ist doch KB5007012. KB5008631 ist das Security-Update für Jan. 2022. Oder ist das lediglich parallel zu meiner Ergänzung bzw. zum obigen Kommentar gepostet worden?
Also CU11 für Exchange 2019 hat die Nummer KB5005334, KB5007012 ist ein das letzte SecUpdate.
Wenn man auf deinen link gedrückt hat, ist man beim letzten SecUpdate gelandet.
Die aktuellen links passen jetzt, daher jetzt wieder alles im grünen Bereich.
Grüße
Moin,
hier ein Link zur Microsoft Seite. Dort sind auch die passenden Downloadslinks hinterlegt (habe jetzt nicht geprüft ob die Links im Blogeintrag hier korrekt sind)
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21846
Hat jemand bereits das Update auf einem Exchange 2013 installiert? Ich warte noch ein paar Tage, nicht das da irgendwelche Bugs drin sind.
Laut Microsoft wird die Lücke zwar als kritisch eingestuft 9/10. Ist aber nicht aus dem Internet aus angreifbar.
"This vulnerability's attack is limited at the protocol level to a logically adjacent topology. This means it cannot simply be done across the internet, but instead needs something specific tied to the target. Good examples would include the same shared physical network (such as Bluetooth or IEEE 802.11), logical network (local IP subnet), or from within a secure or otherwise limited administrative domain (MPLS, secure VPN to an administrative network zone)."
Moin Mario,
wurde auf unserem Exchange 2013 gestern abend installiert. Bisher sind mir keine Fehler aufgefallen. Glücklicherweise sind wir auch nicht von den BootLoop-Problemen auf Server 2012 R2 betroffen.
Danke für die Rückmeldung Larsen!
Hallo zusammen,
ich habe gestern Abend auch erfolgreich die Updates auf unserem Exchange 2013 installieren können.
Allerdings ist mir mit dem HealthChecker.ps1 Script aufgefallen das einige Komponenten im Maintenance Mode waren. Ich konnte diese aber wieder per Powershell auf Active setzen. (Wenn das Problem im HealthChecker festgestellt wird ist auch ein Link zu Microsoft hinterlegt. Dort steht wie man es behebt.)
Windows Server 2016 mit Exchange 2016 CU22 per Windows Update = ohne Probleme und HealthChecker ist glücklich!
Hallo, ich habe gestern das aktuelle Exchange Security Update auf einem Exchange Server 2016 CU21 installiert. Bisher keine Probleme. Danach mit dem aktuellen Health Checker überprüft. Alles im grünen Bereich.
Server 2016 mit Exchange 2016 CU22 – gleich am Patchday-Abend per Windows-Update eingespielt -> KEINE Probleme :)
Es gab tatsächlich ein kleines Problem mit unserem Exch 2016 auf Win Server 2016…
Das ECP war nicht mehr nutzbar.
https://social.technet.microsoft.com/wiki/contents/articles/38028.exchange-2010-troubleshooting-outlook-web-access-owa-error-couldn-t-find-a-base-theme.aspx
Die Version V14 zu V15 natürlich anpassen …
C:\Program Files\Microsoft\Exchange Server\V15\Bin\UpdateCas.ps1
GN8 :)
Habe gerade einen Exchange 2013 auf Server 2012 R2 aktualisiert, keine Probleme bisher.
Hallo in die Runde,
Ich habe eine Verständnissfrage, sind die Sicherheitsupdates für Exchange 2013 eigentlich cumulativ? D.h. beinhaltet das Sicherheitsupdate aus Januar auch die Sicherheitsupdates für November?
Danke:)
Hallo,
ja, es sind immer die älteren Updates enthalten.
Vielen Dank für die Info und sry für die späte Antwort.
Wir haben ebenfalls keine Probleme bei der Installation auf 3x Exchange 2013 und 2x Exchange 2016 Feststellen können.
Viele Grüße, Nico