Sicherheitsupdates für Exchange Server (Januar 2022)

Update[English]Microsoft hat zum 11. Januar 2022 Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Updates sind erforderlich, um Schwachstellen, die von externen Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden  wurden, zu schließen. Die Updates gelten für die nachfolgend genannten Exchange Server On-Premises-Installationen.


Anzeige

Microsoft hat den Techcommunity-Beitrag Released: January 2022 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Blog-Leser Tom hat mich darauf hingewiesen (danke dafür).

Exchange Server (January 2022) Security Updates

Und auf Twitter ist mir obiger Hinweis untergekommen. Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung (Links zu den CUs, siehe Exchange Server September 2021 CU (28.9.2021)).

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU21, CU22
  • Exchange Server 2019 CU10, CU11

Die Updates für Jan. 2022 sind unten verlinkt. In diesem Microsoft-Supportbeitrag sind die folgenden drei Schwachstellen aufgelistet.

Die gefixten Schwachstellen betreffen On-Premises Microsoft Exchange Server sowie Server, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits geschützt und müssen keine Maßnahmen ergreifen. Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt der Hersteller, diese Updates sofort zu installieren, um die Exchange Installation zu schützen. Die Download-Links und Update-Details sind in diesem Supportbeitrag beschrieben. Hier die Download-Links:

Sofern die Sicherheitsupdates manuell installiert werden, ist dieser Vorgang zwingend aus einer mit administrativen Eingabeaufforderung heraus zu starten. Andernfalls treten Probleme während der Installation auf. Bezüglich weiterer bekannter Probleme finden sich in diesem Microsoft-Supportbeitrag einige Hinweise.

Ähnliche Artikel:
Kumulative Exchange Updates Juni 2021 veröffentlicht
Epsilon Red Ransomware zielt auf ungepatchte Exchange Server
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
PoC für den von der NSA entdeckten Microsoft Exchange-Bug öffentlich
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange Server Security Update KB5001779 (13. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server September 2021 CU (28.9.2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar

Exchange Year 2022 Problem: FIP-FS Scan Engine failed to load – Can't Convert "2201010001" to long (1.1.2022)
Microsoft bestätigt Exchange Year 2022 Problem FIP-FS Scan Engine failed to load (1. Jan. 2022)
Temporärer Fix für Exchange Year 2022 Problem FIP-FS Scan Engine failed to load (1. Jan. 2022)
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Exchange Server: Neues zu den ProxyShell-Schwachstellen
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu Sicherheitsupdates für Exchange Server (Januar 2022)

  1. Singlethreaded sagt:

    Die Links zu den Updates scheinen auf alte Patches zu verweisen.

    Gruß Singlethreaded

    • Günter Born sagt:

      Bitte nicht die CUs mit den Sicherheitsupdates verwechseln. Ich habe mal den Support-Beitrag und die neuen Download-Links nachgetragen.

      • Singlethreaded sagt:

        Moin Günter,

        wenn ich oben bei Exchange Server 2016 auf CU22 klicke, dann lade ich beim Security Update For Exchange Server 2016 CU22 (KB5007012), welches das Sicherheitsupdate aus dem November 2021 ist, aber kein CU. Ich hätte dort die Patches aus Januar 2022 erwartet. Oder verstehe ich was falsch?

        Gruß Singlethreaded

        • Günter Born sagt:

          Die Links sind direkt aus dem MS Techcommunity-Beitrag übernommen worden. Ich habe den Text aber mal leicht umgestellt – die verlinkten CUs stammen vom Nov. 2021 – imho sind die Links korrekt. Die Download-Links für Jan. 2022 Updates sind ja separat nachgetragen.

          Ok, habe es jetzt gerafft – muss mir das demnächst in Ruhe anschauen und die Links zu den CUs raussuchen. Aktuell ächst aber mein Webserver auf Grund der Last und läuft in Service unvailable Fehler. Zudem muss ich gleich in Physiotherapie.

  2. Sven sagt:

    Moin,

    der link für CU11 ist falsch, er verweist auf KB5007012. Wir sollten aber KB5008631 installieren. ;-)

    Grüße
    Sven

    • Günter Born sagt:

      Ich muss heute früh wohl Tomaten auf den Augen haben. CU11 ist doch KB5007012. KB5008631 ist das Security-Update für Jan. 2022. Oder ist das lediglich parallel zu meiner Ergänzung bzw. zum obigen Kommentar gepostet worden?

      • Sven sagt:

        Also CU11 für Exchange 2019 hat die Nummer KB5005334, KB5007012 ist ein das letzte SecUpdate.
        Wenn man auf deinen link gedrückt hat, ist man beim letzten SecUpdate gelandet.

        Die aktuellen links passen jetzt, daher jetzt wieder alles im grünen Bereich.

        Grüße

  3. Mario Otte sagt:

    Moin,
    hier ein Link zur Microsoft Seite. Dort sind auch die passenden Downloadslinks hinterlegt (habe jetzt nicht geprüft ob die Links im Blogeintrag hier korrekt sind)
    https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21846

    Hat jemand bereits das Update auf einem Exchange 2013 installiert? Ich warte noch ein paar Tage, nicht das da irgendwelche Bugs drin sind.

    Laut Microsoft wird die Lücke zwar als kritisch eingestuft 9/10. Ist aber nicht aus dem Internet aus angreifbar.

    "This vulnerability's attack is limited at the protocol level to a logically adjacent topology. This means it cannot simply be done across the internet, but instead needs something specific tied to the target. Good examples would include the same shared physical network (such as Bluetooth or IEEE 802.11), logical network (local IP subnet), or from within a secure or otherwise limited administrative domain (MPLS, secure VPN to an administrative network zone)."

    • Larsen sagt:

      Moin Mario,

      wurde auf unserem Exchange 2013 gestern abend installiert. Bisher sind mir keine Fehler aufgefallen. Glücklicherweise sind wir auch nicht von den BootLoop-Problemen auf Server 2012 R2 betroffen.

      • Mario Otte sagt:

        Danke für die Rückmeldung Larsen!

        • Mario Otte sagt:

          Hallo zusammen,
          ich habe gestern Abend auch erfolgreich die Updates auf unserem Exchange 2013 installieren können.
          Allerdings ist mir mit dem HealthChecker.ps1 Script aufgefallen das einige Komponenten im Maintenance Mode waren. Ich konnte diese aber wieder per Powershell auf Active setzen. (Wenn das Problem im HealthChecker festgestellt wird ist auch ein Link zu Microsoft hinterlegt. Dort steht wie man es behebt.)

  4. cram sagt:

    Windows Server 2016 mit Exchange 2016 CU22 per Windows Update = ohne Probleme und HealthChecker ist glücklich!

  5. Mattias sagt:

    Hallo, ich habe gestern das aktuelle Exchange Security Update auf einem Exchange Server 2016 CU21 installiert. Bisher keine Probleme. Danach mit dem aktuellen Health Checker überprüft. Alles im grünen Bereich.

  6. Robert sagt:

    Server 2016 mit Exchange 2016 CU22 – gleich am Patchday-Abend per Windows-Update eingespielt -> KEINE Probleme :)

  7. Stefan sagt:

    Es gab tatsächlich ein kleines Problem mit unserem Exch 2016 auf Win Server 2016…

    Das ECP war nicht mehr nutzbar.

    https://social.technet.microsoft.com/wiki/contents/articles/38028.exchange-2010-troubleshooting-outlook-web-access-owa-error-couldn-t-find-a-base-theme.aspx

    Die Version V14 zu V15 natürlich anpassen …
    C:\Program Files\Microsoft\Exchange Server\V15\Bin\UpdateCas.ps1

    GN8 :)

  8. yoyobo sagt:

    Habe gerade einen Exchange 2013 auf Server 2012 R2 aktualisiert, keine Probleme bisher.

  9. michael sagt:

    Hallo in die Runde,
    Ich habe eine Verständnissfrage, sind die Sicherheitsupdates für Exchange 2013 eigentlich cumulativ? D.h. beinhaltet das Sicherheitsupdate aus Januar auch die Sicherheitsupdates für November?
    Danke:)

  10. Nico sagt:

    Wir haben ebenfalls keine Probleme bei der Installation auf 3x Exchange 2013 und 2x Exchange 2016 Feststellen können.

    Viele Grüße, Nico

Schreibe einen Kommentar zu Nico Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.