Exchange Server Sicherheitsupdates (14. Februar 2023)

Exchange Logo[English]Microsoft hat zum 14. Februar 2023 Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Sicherheitsupdates schließen vier Schwachstellen (als wichtig eingestuft) in dieser Software. Die Updates sollen zeitnah auf den Systemen installiert werden, um die betreffenden Schwachstellen zu schließen.


Anzeige

Microsoft hat den Techcommunity-Beitrag Released: February 2023 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht.

Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung (Links von Microsoft, die teilweise Downloads von August 2022 aufweisen – aber die KB-Artikel sind in den Details richtig verlinkt).

  • Exchange Server 2013 CU23, SU20 (KB5023038, Support endet im April 2023)
  • Exchange Server 2016 CU23, SU 6 (KB5023038)
  • Exchange Server 2019 CU11 SU10 (KB5023038) und CU12, SU6 (KB5023038)

Microsoft schreibt im Techcommunity-Beitrag, dass die Sicherheitsupdates vom Februar 2023 Sicherheitslücken beheben, die Microsoft von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Es wurden folgende Schwachstellen geschlossen.

  • CVE-2023-21707: Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2023-21706: Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2023-21710: Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2023-21529: Microsoft Exchange Server Remote Code Execution Vulnerability

Microsoft schreibt, dass zwar keine aktiven Exploits in freier Wildbahn bekannt sind, man empfihelt aber, diese Updates sofort zu installieren, um die Exchange-Installationen zu schützen.


Anzeige

Beachtet Microsofts Hinweise zur Update-Installation, zu den behobenen Fehlern und was sonst zu beachten ist. Es soll der Health Checker nach der Installation ausgeführt werden, um zu sehen, ob weitere Aktionen erforderlich sind.

Die Patches verursachen einen Fehler: Exchange Toolbox und Queue Viewer schlagen nach der Zertifikatsignierung der PowerShell-Serialisierungsnutzlast fehl.

Ergänzungen: Initial wurde das Januar 2023-Update für Exchange Server 2016 CU 23 ausgeliefert – der Fehler ist aber behoben (siehe Microsofts Februar 2023-Patchday: Falsche Updates in WSUS, Exchange und Windows). Zudem kommt es bei manchen Installationen zu EWS-Problemen (siehe Februar 2023 Patchday: EWS-Probleme nach Exchange Server Sicherheitsupdate) – ein Workaround ist bekannt.

Diese Sicherheitslücken betreffen Exchange Server. Exchange Online-Kunden sind bereits vor den in diesen SUs behandelten Sicherheitslücken geschützt und müssen außer der Aktualisierung aller Exchange-Server in ihrer Umgebung keine weiteren Maßnahmen ergreifen.

Ähnliche Artikel:
Exchange Server Sicherheitsupdates (11. Oktober 2022)
Exchange Server Sicherheitsupdates (8. November 2022)
Exchange Server Sicherheitsupdates (10. Januar 2023), dringend patchen

Probleme mit Exchange März 2022-Updates
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar
Exchange Health Checker – Script-Erweiterungen von Frank Zöchling
Microsoft empfiehlt Exchange Server zu patchen (Jan. 2023)
Microsoft weist auf Supportende für Exchange Server 2013 zum 11. April 2023 hin
Microsoft Exchange Januar 2023 Patchday-Nachlese: Dienste starten nicht etc.

Exchange Server Sicherheitsupdates (14. Februar 2023)
Windows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem
Februar 2023 Patchday: EWS-Probleme nach Exchange Server Sicherheitsupdate


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

33 Antworten zu Exchange Server Sicherheitsupdates (14. Februar 2023)

  1. cram sagt:

    Exchange 2016 CU23:
    Gestern war die Buildnummer noch 15.01.2507.017. Nach dem Update ist die Buildnummer 15.01.2507.018. Microsoft schreibt aber auf der Releaseseite es müsste 15.01.2507.021 sein. Das Update wurde über Windows Update installiert.

    Dementsprechend zeigt der Healthchecker an, dann das Update nicht installiert ist und der Server verwundbar ist.

  2. Dominik sagt:

    Es ist nicht zu glauben… es nervt nur noch…

    HEUTE definitiv keine Installation von irgendwelchen Updates!!!

  3. MSc sagt:

    Update manuell gegen 9uhr geladen Exchange Server 2016 gepatched – HealthScript zeigt richtige Version alles ohne Probleme

  4. Jan sagt:

    Was hat es mit der Toolbox und Queue-Viewer auf sich?
    In dem MS Artikel KB5023038 steht dazu nichts.

    An welcher Stelle hat MS das kommuniziert?
    Und was für Auswirkungen hat der Fehler?

  5. docolli sagt:

    Ich habe das Update 5023038 für Exchange 2016 CU23 über den WSUS freigegeben und installiert. Auch bei mir sagt dann der Health Checker (und auch eine direkte PS Abfrage), die Buildnummer sei 15.01.2507.018.

    Schau ich mir im WSUS für das KB5023038 die Dateiinformationen an, so steht dort für Dateiname "Exchange2016-KB5022143-x64-en.cab" und Änderungsdatum 12.01.2023 07:34! Ich habe den WSUS schon mehrfach angestoßen zu aktualisieren. Was baut MS hier für einen Murks? Haben die in den WSUS das falsche Paket reingestellt?

    • cram sagt:

      Das kann ich bestätigen, nur für Windows Update (C:\Windows\SoftwareDistribution\Download).

      Bei mir wurde vom Windows Update die Datei "Exchange2016-KB5022143-x64-en.cab" vom 12.01.2023 10:36 Uhr heruntergeladen.

  6. Anonymous sagt:

    Also ich habe auf einem Server (Exchange 2016 unter Server 2016) das heutige Exchange update (CU23) eingespielt mit dem Windows update

    Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}
    zeigt danach an
    15.01.2507.021
    Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion
    zeigt an
    AdminDisplayVersion : Version 15.1 (Build 2507.18)

    Auf einem anderen Server habe ich Patch
    Exchange2016-KB5023038-x64-en.exe
    manuell installiert.
    Der änderte dort gar nichts an der Versionsnummer.
    Danach noch mal nach updates gesucht und das Update KB5023038 wird nochmal gefunden und auch installiert
    Bin etwas verwirrt

  7. Dominik sagt:

    Ich fasse mal zusammen:

    Über Windows Update kann gehen ?

    derzeit über Catalog und manuelle Installation (falsche Build Nummer) ?

    • nk sagt:

      Manuelle Installation ist fehlerfrei. Windows Update liefert eine ältere Version – siehe den Exchange Blog – Nino Bilic:
      "I added a note to the blog now on this but: Windows Update is currently delivering a later version of January 2023 update. This is going to be addressed shortly. Then later today, Windows Update will get the actual February 2023 update bits so there will be another February update for customers who are getting updates from Windows / Microsoft Update. Yes, mistakes were made, but your server is not in an unknown state and will get back on track once new builds are available and are installed (but this will be a new update installation, yes) and then Health Checker will show it all updated."

  8. MOM20xx sagt:

    mal wieder a riesensauerei bei den stümpern in redmond. liefern am patchday halt über ihre haupt updatequellen falsche builds aus. also dann heut das ganze nochmal.
    schlimmer aber, selbst wenn man sich in die cloud begibt und eine ad sync hat und onpremise keine einzige mailbox mehr. braucht man diesen drecksserver oder seit kurzem zumindest die management tools vom 2019er. wer bitte lässt sich so einen mist einfallen?

    • nk sagt:

      Wenn's nur das wäre. Die Meldungen mehren sich über EWS Abstürze und den damit verbundenen Problemen. Auf meinem Ex2016 kann ich das ebenfalls bestätigen. Serverseitige Suche geht nicht, Addins laden nicht, Terminplanungsassistent oder Kalenderfreigaben die ewig brauchen zum laden…praktisch alles was auf EWS aufbaut geht nur sporadisch bis gar nicht.

  9. Anonymous sagt:

    die WSUS Version diese Patches wurde grade geändert

  10. Enno sagt:

    EWS Probleme habe ich auch und wir haben das Update einfach zurück gerollt. Anscheinend hat ein Fix im aktuellen Patch einen Deserialze Problem und landet in einem "Deny", welcher im Code irgendwo etwas mitigieren soll. So verstehe ich den StackTrace aus dem Event Log mit der ID 1325

    Message: Deserialization of type System.MarshalByRefObject blocked due to InDeny at location ClientExtensionCollectionFormatter.

    Das kann einem schon mal schwitzige Hände und hohen Supportaufwand bringen, wenns bei MS klemmt… das nächste Update wird erst mit 2 Tage delay installiert.

    Hoffentlich gibts zeitnah eine Meldung seitens MS…

    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-february-2023-exchange-server-security-updates/ba-p/3741058

  11. Curtis Newton sagt:

    Ebenso bei mir. Gestern über Windows-Updatefunktion KB5023038 installiert. Nach Neustart nochmal geprüft ob weitere Updates vorhanden. Schien alles O.K.

    Heute um 20Uhr nach Lesen der Meldung hier auf den Server geschaut.

    ESET begrüßt mich normalerweise wenn was neue da ist mit einem Hinweis. ESET meldet nichts.

    Ich öffne "Updates" und Microsoft bietet mir KB5023038 zum Download.

    Ich verwirrt schaue in den Updateverlauf. Da steht, dass ich KB5023038 gestern installiert habe.

    Habe nun trotzdem nochmal KB5023038 wie von Microsoft angeboten installiert.

    Nach Neustart "Nach Updates suchen"… "Ihr Gerät ist auf dem neuesten Stand".

    Im Updateverlauf steht nun, dass KB5023038 gestern am 14.02.2023 und heute am 15.02.2023 neu installiert wurde.

    Mal sehen, ob ich morgen nochmal darf. Oder ob ich vielleicht manuell installieren muss.

    Danke Herr Born für die tolle, hilfreiche Seite!!!

  12. Foegi sagt:

    Note: Build availability issues have been resolved. If your server downloaded the February SU via Windows/ Microsoft update before February 15 8 AM Pacific time, you might see the February update be offered again. Installing the updated package will bring your server forward to current February builds (verify using Health Checker after installation). The Download Center .exe update packages were (and still are) correct.

    Schon bissi peinlich was Microsoft da aufführt.

    Habe heute Abend das Update per Windows Update installiert und laut Healtchecker ist alles ok.
    Version: Exchange 2019 CU12 Feb23SU
    Build Number: 15.02.1118.025

  13. Robert sagt:

    Einen 2016er heute früh mit Windows Update (das, welches niemals rausgegeben werden sollte), dann heute Abend nochmal (das gleiche Update, was nun gefixt sein soll).
    Unter Programme steht es nun mit 15.1.2507.21, ABER AdminDisplayVersion : Version 15.1 (Build 2507.18)

    Anderer 2016er Server NUR mit dem neuen Update von heute Abend, zeigt auch korrekt unter Programme 15.1.2507.21 an, ABER JETZT KOMMT ES: AdminDisplayVersion : Version 15.1 (Build 2507.17)

    AdminDisplayVersion ist/bleibt also bei .18, wenn man das Update zu früh gezogen hat und beim neuen (angeblich gefixten) ist die AdminDisplayVersion .17 !!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.