[English]Microsoft hat zum 13. Juni 2023 die Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Sicherheitsupdates schließen Schwachstellen in dieser Software. Die Updates sollen zeitnah auf den Systemen installiert werden, um die betreffenden Schwachstellen zu schließen.
Anzeige
Ich bin auf Twitter auf nachfolgenden Tweet von Scott Schnoll, Senior Product Marketing Manager for Exchange Online, Exchange Server, and Microsoft 365 Networking, gestoßen, der auf das Thema hinweist.
Microsoft hat den Techcommunity-Beitrag Released: June 2023 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung.
- Exchange Server 2016 CU23 SU 8 (KB5025903)
- Exchange Server 2019 CU12 SU8 (KB5026261) und CU13, SU1 (KB5026261)
SUs sind als selbstextrahierendes .exe-Paket sowie als Original-Update-Pakete (.msp-Dateien) erhältlich, und können aus dem Microsoft Update Catalog heruntergeladen werden.
Anzeige
Microsoft schreibt im Techcommunity-Beitrag, dass die Sicherheitsupdates Schwachstellen beheben, die Microsoft von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Details zu den Schwachstellen wurde keine genannt. Im Beitrag Microsoft Security Update Summary (13. Juni 2023) hatte ich diesbezüglich folgendes angegeben.
CVE-2023-28310 und CVE-2023-3203: Microsoft Exchange Server Remote Code Execution Vulnerability; CVEv3 Score 8.0 und 8.1 , important; CVE-2023-28310 kann von einem authentifizierten Angreifer im lokalen Netzwerk ausgenutzt werden, um über eine Remote-PowerShell-Sitzung Befehle auf dem Ziel auszuführen. CVE-2023-32031 ermöglicht es einem entfernten, authentifizierten Angreifer, über Netzwerkaufrufe Serverkonten anzugreifen, um die Ausführung von beliebigem Code auszulösen. Sowohl CVE-2023-32031 als auch CVE-2023-28310 wurden mit "Exploitation More Likely" eingestuft und betreffen Microsoft Exchange Server 2016 Cumulative Update 23 und 2019 Cumulative Updates 12 und 13.
Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, wird empfohlen, diese Updates zur Absicherung sofort zu installieren.
Beachtet Microsofts Hinweise zur Update-Installation, und was sonst zu beachten ist. Hier die Liste der behobenen Probleme:
- "Object '<ServerName>' couldn't be found on '<DomainControllerName>'" error when trying to uninstall…
- Changing the permissions for Public Folders by using an Outlook client will fail with the following …
Probleme in Verbindung mit den Sicherheitsupdates sind keine bekannt. Laut Microsoft soll der Health Checker nach der Installation ausgeführt werden, um zu sehen, ob weitere Aktionen erforderlich sind. Beachtet auch den Support-Beitrag Exchange won't uninstall after the January Security Update (KB5022143) is applied, der frisch veröffentlicht wurde, weil die Juni 2023-Update das Problem korrigieren.
Diese Sicherheitslücken betreffen Exchange Server. Exchange Online-Kunden sind bereits vor den in diesen SUs behandelten Sicherheitslücken geschützt und müssen außer der Aktualisierung aller Exchange-Server in ihrer Umgebung keine weiteren Maßnahmen ergreifen.
Ähnliche Artikel:
Microsoft Security Update Summary (13. Juni 2023)
Patchday: Windows 10-Updates (13. Juni 2023)
Patchday: Windows 11/Server 2022-Updates (13. Juni 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (13. Juni 2023)
Microsoft Office Updates (6. Juni 2023)
Microsoft Office Updates (13. Juni 2023)
Exchange Server Sicherheitsupdates (13. Juni 2023)
Microsoft Security Update Summary (14. März 2023)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar
Exchange Health Checker – Script-Erweiterungen von Frank Zöchling
Microsoft empfiehlt Exchange Server zu patchen (Jan. 2023)
Microsoft weist auf Supportende für Exchange Server 2013 zum 11. April 2023 hin
Microsoft Exchange Januar 2023 Patchday-Nachlese: Dienste starten nicht etc.
Februar 2023 Patchday: EWS-Probleme nach Exchange Server Sicherheitsupdate
Anzeige
jemand schon installiert ?
Ja gestern Nacht, läuft soweit. (Ex2016 CU23)
über Windows Update ?
Ja, kommt durch Windows Update
Kann es auch bestätigen, läuft über Windows Update problemlos. (Win2012 r2 EX2016 CU23)
Installiert auf Exch2019 CU13 – keine Probleme.
Heute Nacht installiert auf Exc 2016 im DAG. Keine Probleme (1x per Setup, 2x per Windows Update)
EX2019 CU12, einer von 12 Servern hatte im IIS die Zert Bindung im Exchange Back End verloren. Nervig, aber nicht weltbewegend.
Das mit der Zertifikatsbindung scheint mittlerweile häufiger aufzutreten. Kann mich nicht erinnern, das so was früher schon mal passiert ist. Hatte bei mir Anfang des Jahres einen 2016 erwischt mit diesem "Bug" und lesen tut man das mittlerweile auch öfter.
Ex2016 CU23 – alles schick. Manuelle Installation.
Auf Ex19 CU13 keinerlei Probleme
Exchange 2016 CU 23 DAG keine Probleme.
Kurze Frage in die Runde, ich möchte das neue CU13 installieren.
Wir haben eine Hybrid Stellung und ich habe nun etwas gelesen das so ein Befehl beim installieren abgesetzt werden soll?
Setup.exe /PrepareAD /TenantOrganizationConfig MyTenantOrganizationConfig.xml /IAcceptExchangeServerLicenseTerms
Installiert jemand so?
Weil hier bei den letzten CU ja gar kein prepare ad von Nöten war und ich in der Vergangenheit nie den Befehl abgesetzt habe.
( habe nur danach immer den Hybrid Wizard nochmal durchlaufen lassen)
Guten Abend zusammen,
5x Exchange 2016 OnPremise und 15x Exchange 2019 OnPremise Installationen manuell auf akt. Patchlevel hochgezogen… bis jetzt keine Probleme … show must go on \m/
Gruß
Markus
PS: Danke Günter für deinen Blog – immer wieder gern gelesen :-)
Exchange 2016 CU 23 – alles in Ordnung :-) über Windows Update.
Health Checker zeigt grün!
Hier (Exchange 2016 CU 23) sind wieder die Exchange Dienste nach Serverneustart nicht automatisch gestartet und die Suche im Outlook funktioniert nicht (im OWA geht's, Suchindex ist auch ok).
Das mit den nicht startenden Diensten kann ich bestätigen
EX 2016 CU23. Es starten aber mehr als beim letzten mal …
Ich hab jetzt nicht im Detail nachgesehen… es waren aber glaub ich auch ein paar nicht Exchange Dienste dabei.
Wie auch immer sie lassen sich zumindest manuell anstandslos starten.
noch 2 Monate durchhalten dann geht's ab in die Cloud…
Kommando zurück. Die Dienste haben nur beim ersten Neustart unmittelbar nach dem Update nicht gestartet. Bei einem neuerlichen Neustart war alles OK. Strange?
2x Exchange auf 2x Win 2016 per Win-Update -> keine Probleme, alle Dienste OK.
kurze Frage in die Runde, bei mir musst ich nach dem Update wieder vermehrt BigFunnelNotIndexedCount größer 1 feststellen, bin ich da allein oder kann das jemand bestätigen?
Bei mir waren alle Exchange Dienste deaktiviert, ließen sich auch nicht aktivieren und neu starten. Nach deinstall/ install des kb5026261 waren die Dienste wirder deaktiviert, konnten aber neu gestartet werden.