[English]Microsoft hat zum 14. Februar 2023 Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Sicherheitsupdates schließen vier Schwachstellen (als wichtig eingestuft) in dieser Software. Die Updates sollen zeitnah auf den Systemen installiert werden, um die betreffenden Schwachstellen zu schließen.
Microsoft hat den Techcommunity-Beitrag Released: February 2023 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht.
Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung (Links von Microsoft, die teilweise Downloads von August 2022 aufweisen – aber die KB-Artikel sind in den Details richtig verlinkt).
- Exchange Server 2013 CU23, SU20 (KB5023038, Support endet im April 2023)
- Exchange Server 2016 CU23, SU 6 (KB5023038)
- Exchange Server 2019 CU11 SU10 (KB5023038) und CU12, SU6 (KB5023038)
Microsoft schreibt im Techcommunity-Beitrag, dass die Sicherheitsupdates vom Februar 2023 Sicherheitslücken beheben, die Microsoft von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Es wurden folgende Schwachstellen geschlossen.
- CVE-2023-21707: Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2023-21706: Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2023-21710: Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2023-21529: Microsoft Exchange Server Remote Code Execution Vulnerability
Microsoft schreibt, dass zwar keine aktiven Exploits in freier Wildbahn bekannt sind, man empfihelt aber, diese Updates sofort zu installieren, um die Exchange-Installationen zu schützen.
Beachtet Microsofts Hinweise zur Update-Installation, zu den behobenen Fehlern und was sonst zu beachten ist. Es soll der Health Checker nach der Installation ausgeführt werden, um zu sehen, ob weitere Aktionen erforderlich sind.
Die Patches verursachen einen Fehler: Exchange Toolbox und Queue Viewer schlagen nach der Zertifikatsignierung der PowerShell-Serialisierungsnutzlast fehl.
Ergänzungen: Initial wurde das Januar 2023-Update für Exchange Server 2016 CU 23 ausgeliefert – der Fehler ist aber behoben (siehe Microsofts Februar 2023-Patchday: Falsche Updates in WSUS, Exchange und Windows). Zudem kommt es bei manchen Installationen zu EWS-Problemen (siehe Februar 2023 Patchday: EWS-Probleme nach Exchange Server Sicherheitsupdate) – ein Workaround ist bekannt.
Diese Sicherheitslücken betreffen Exchange Server. Exchange Online-Kunden sind bereits vor den in diesen SUs behandelten Sicherheitslücken geschützt und müssen außer der Aktualisierung aller Exchange-Server in ihrer Umgebung keine weiteren Maßnahmen ergreifen.
Ähnliche Artikel:
Exchange Server Sicherheitsupdates (11. Oktober 2022)
Exchange Server Sicherheitsupdates (8. November 2022)
Exchange Server Sicherheitsupdates (10. Januar 2023), dringend patchen
Probleme mit Exchange März 2022-Updates
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar
Exchange Health Checker – Script-Erweiterungen von Frank Zöchling
Microsoft empfiehlt Exchange Server zu patchen (Jan. 2023)
Microsoft weist auf Supportende für Exchange Server 2013 zum 11. April 2023 hin
Microsoft Exchange Januar 2023 Patchday-Nachlese: Dienste starten nicht etc.
Exchange Server Sicherheitsupdates (14. Februar 2023)
Windows Server 2022: Februar 2023-Patchday und das ESXi VM-Secure Boot-Problem
Februar 2023 Patchday: EWS-Probleme nach Exchange Server Sicherheitsupdate
Exchange 2016 CU23:
Gestern war die Buildnummer noch 15.01.2507.017. Nach dem Update ist die Buildnummer 15.01.2507.018. Microsoft schreibt aber auf der Releaseseite es müsste 15.01.2507.021 sein. Das Update wurde über Windows Update installiert.
Dementsprechend zeigt der Healthchecker an, dann das Update nicht installiert ist und der Server verwundbar ist.
naja du weißt aber, dass es installiert ist. Liegt eher am Healthchecker.
Besteht das Problem noch, dass die Exchange Server Dienste manuell gestartet werden müssen?
Zumindest wird es unter „gelöst“ aufgeführt.
Issues resolved in this release:
Some Exchange services do not start automatically after installing January 2023 Security Update
Im Gitrepository vom Healthcheckerskript gibt es von gestern Abend einen Checkin von Microsoft. Hier wird auf die Version 15.01.2507.021 geprüft („Feb23SU“ = „15.1.2507.21“).
Die haben wohl das falsche Packet verpackt :(.
Ich habe extra das Teil ausgelassen, was den Murks mit den Diensten verursacht und direkt das neue freigegeben, und dann ist da das alte drinnen …
Man muss es wohl, wenn man es direkt haben möchte, manuell runterladen.
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-february-14-2023-kb5023038-2e60d338-dda3-46ed-aed1-4a8bbee87d23
Beim 2019er sagt er mir Build 15.2.1118.22, vorher war es 15.2.1118.21. Laut MS und Healthchecker sollte es 15.2.1118.25 sein.
Die wissen doch nicht mehr was die da tun.
Anscheind gibt es einen Unterschied, ob das Update vom Windows Update kommt oder manuell heruntergeladen und installiert wurde.
Leider nicht.
Will ich die .25 Version manuell installieren sagt er mir der Patch ist nicht für meine Version.
Ist die deutsche Version von Exchange, vielleicht hat Microsoft da mal wieder Mist gebaut.
Irgendwas hat Microsoft gemacht.
Mein erster Download von Exchange2019-KB5023038-x64-de.exe
hatte noch den SHA256 Hash 19A1F72086FC2F918787200C9E237FE2B61F2E7B6B90465C5199C68B1DEEE11D
jetzt hab ichs noch mal runtergeladen und der Hash ist 40F2D1B4376EF3B17B3AE6E5FD00C3A064925D1573D355A51A9BE262C524C9E5
Aktueller Download von Exchange2016-KB5023038-x64-de.exe ergibt wieder einen anderen SHA256 Hash!
SHA256 3006F5FA970B209EE45582B993BF37C5B2D08CCEDE23DBA4A098C7B2B947A365
Edit: Sorry, sehe erst jetzt, dass du die 2019er Updates gezogen hattest.
Dem kann ich leider nur zustimmen. Nach der Installation über das Update waren zwar alle Dienste gestartet, aber die Clients konnten sich nicht mehr verbinden. Ich habe dann das Update aus dem Katalog noch einmal drüber installiert und alles lief wieder.
Es ist nicht zu glauben… es nervt nur noch…
HEUTE definitiv keine Installation von irgendwelchen Updates!!!
Update manuell gegen 9uhr geladen Exchange Server 2016 gepatched – HealthScript zeigt richtige Version alles ohne Probleme
Was hat es mit der Toolbox und Queue-Viewer auf sich?
In dem MS Artikel KB5023038 steht dazu nichts.
An welcher Stelle hat MS das kommuniziert?
Und was für Auswirkungen hat der Fehler?
Ok, vielleicht mein Fehler, da ich annahm, dass die Leserschaft bei Fragen ggf. den von mir verlinkten Techcommunity-Artikel anschaut.
Habe jetzt den Link in obigem Text eingefügt. Hilft dir das weiter bzw. beantwortet das die Fragen?
Danke, das hilft mir erstmal weiter :)
„Exchange Toolbox and Queue Viewer fails after Certificate Signing of PowerShell Serialization Payload is enabled“
https://support.microsoft.com/en-us/topic/exchange-toolbox-and-queue-viewer-fails-after-certificate-signing-of-powershell-serialization-payload-is-enabled-7a1bff2d-614f-4fa0-bab1-ea6c25dae047
Danke, warst wohl parallel unterwegs.
Ich habe das Update 5023038 für Exchange 2016 CU23 über den WSUS freigegeben und installiert. Auch bei mir sagt dann der Health Checker (und auch eine direkte PS Abfrage), die Buildnummer sei 15.01.2507.018.
Schau ich mir im WSUS für das KB5023038 die Dateiinformationen an, so steht dort für Dateiname „Exchange2016-KB5022143-x64-en.cab“ und Änderungsdatum 12.01.2023 07:34! Ich habe den WSUS schon mehrfach angestoßen zu aktualisieren. Was baut MS hier für einen Murks? Haben die in den WSUS das falsche Paket reingestellt?
Das kann ich bestätigen, nur für Windows Update (C:\Windows\SoftwareDistribution\Download).
Bei mir wurde vom Windows Update die Datei „Exchange2016-KB5022143-x64-en.cab“ vom 12.01.2023 10:36 Uhr heruntergeladen.
Also ich habe auf einem Server (Exchange 2016 unter Server 2016) das heutige Exchange update (CU23) eingespielt mit dem Windows update
Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}
zeigt danach an
15.01.2507.021
Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion
zeigt an
AdminDisplayVersion : Version 15.1 (Build 2507.18)
Auf einem anderen Server habe ich Patch
Exchange2016-KB5023038-x64-en.exe
manuell installiert.
Der änderte dort gar nichts an der Versionsnummer.
Danach noch mal nach updates gesucht und das Update KB5023038 wird nochmal gefunden und auch installiert
Bin etwas verwirrt
Ich fasse mal zusammen:
Über Windows Update kann gehen ?
derzeit über Catalog und manuelle Installation (falsche Build Nummer) ?
Manuelle Installation ist fehlerfrei. Windows Update liefert eine ältere Version – siehe den Exchange Blog – Nino Bilic:
„I added a note to the blog now on this but: Windows Update is currently delivering a later version of January 2023 update. This is going to be addressed shortly. Then later today, Windows Update will get the actual February 2023 update bits so there will be another February update for customers who are getting updates from Windows / Microsoft Update. Yes, mistakes were made, but your server is not in an unknown state and will get back on track once new builds are available and are installed (but this will be a new update installation, yes) and then Health Checker will show it all updated.“
GB: Habe den Link zum Kommentar von Nino Bilic im Exchange Blog in deinem Kommentar ergänzt – danke für den Hinweis.
mal wieder a riesensauerei bei den stümpern in redmond. liefern am patchday halt über ihre haupt updatequellen falsche builds aus. also dann heut das ganze nochmal.
schlimmer aber, selbst wenn man sich in die cloud begibt und eine ad sync hat und onpremise keine einzige mailbox mehr. braucht man diesen drecksserver oder seit kurzem zumindest die management tools vom 2019er. wer bitte lässt sich so einen mist einfallen?
Wenn‘s nur das wäre. Die Meldungen mehren sich über EWS Abstürze und den damit verbundenen Problemen. Auf meinem Ex2016 kann ich das ebenfalls bestätigen. Serverseitige Suche geht nicht, Addins laden nicht, Terminplanungsassistent oder Kalenderfreigaben die ewig brauchen zum laden…praktisch alles was auf EWS aufbaut geht nur sporadisch bis gar nicht.
einfach kompletter Schrott… sorry! Installiere ich erstmal nicht, bis es Klarheit gibt..
die WSUS Version diese Patches wurde grade geändert
EWS Probleme habe ich auch und wir haben das Update einfach zurück gerollt. Anscheinend hat ein Fix im aktuellen Patch einen Deserialze Problem und landet in einem „Deny“, welcher im Code irgendwo etwas mitigieren soll. So verstehe ich den StackTrace aus dem Event Log mit der ID 1325
Message: Deserialization of type System.MarshalByRefObject blocked due to InDeny at location ClientExtensionCollectionFormatter.
Das kann einem schon mal schwitzige Hände und hohen Supportaufwand bringen, wenns bei MS klemmt… das nächste Update wird erst mit 2 Tage delay installiert.
Hoffentlich gibts zeitnah eine Meldung seitens MS…
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-february-2023-exchange-server-security-updates/ba-p/3741058
Hatte das gleiche Problem mit Ex2019 CU12 SU Feb (nach 15.02.2023) via WSUS installiert.
Lösung:
EWS web application pool stops after the February 2023 Security Update is installed
Ebenso bei mir. Gestern über Windows-Updatefunktion KB5023038 installiert. Nach Neustart nochmal geprüft ob weitere Updates vorhanden. Schien alles O.K.
Heute um 20Uhr nach Lesen der Meldung hier auf den Server geschaut.
ESET begrüßt mich normalerweise wenn was neue da ist mit einem Hinweis. ESET meldet nichts.
Ich öffne „Updates“ und Microsoft bietet mir KB5023038 zum Download.
Ich verwirrt schaue in den Updateverlauf. Da steht, dass ich KB5023038 gestern installiert habe.
Habe nun trotzdem nochmal KB5023038 wie von Microsoft angeboten installiert.
Nach Neustart „Nach Updates suchen“… „Ihr Gerät ist auf dem neuesten Stand“.
Im Updateverlauf steht nun, dass KB5023038 gestern am 14.02.2023 und heute am 15.02.2023 neu installiert wurde.
Mal sehen, ob ich morgen nochmal darf. Oder ob ich vielleicht manuell installieren muss.
Danke Herr Born für die tolle, hilfreiche Seite!!!
Note: Build availability issues have been resolved. If your server downloaded the February SU via Windows/ Microsoft update before February 15 8 AM Pacific time, you might see the February update be offered again. Installing the updated package will bring your server forward to current February builds (verify using Health Checker after installation). The Download Center .exe update packages were (and still are) correct.
Schon bissi peinlich was Microsoft da aufführt.
Habe heute Abend das Update per Windows Update installiert und laut Healtchecker ist alles ok.
Version: Exchange 2019 CU12 Feb23SU
Build Number: 15.02.1118.025
Einen 2016er heute früh mit Windows Update (das, welches niemals rausgegeben werden sollte), dann heute Abend nochmal (das gleiche Update, was nun gefixt sein soll).
Unter Programme steht es nun mit 15.1.2507.21, ABER AdminDisplayVersion : Version 15.1 (Build 2507.18)
Anderer 2016er Server NUR mit dem neuen Update von heute Abend, zeigt auch korrekt unter Programme 15.1.2507.21 an, ABER JETZT KOMMT ES: AdminDisplayVersion : Version 15.1 (Build 2507.17)
AdminDisplayVersion ist/bleibt also bei .18, wenn man das Update zu früh gezogen hat und beim neuen (angeblich gefixten) ist die AdminDisplayVersion .17 !!