Microsoft Exchange Server: Sicherheitsupdate für Februar 2023 behebt nervigen Bug
von David Wurm 
am 14. Februar 2023, 22:48
| Kommentar schreiben
Für Verliebte der Valentinstag, für Admins der Microsoft Patchday. Für zahlreiche Microsoft-Software, unter anderem dem Exchange Server, stehen neue Updates bereit. Microsoft hat dabei wieder die gesamte Serverpalette 2013, 2016 und 2019 mit neuen Sicherheitsupdates versorgt. Unter anderem behebt dieses auch einen nervigen Bug, welcher einige Exchange-Dienste nicht mehr automatisch gestartet hat.
Am zweiten Dienstag des Monats stopft Microsoft mit dem neuen Update insgesamt vier als „wichtig“ gekennzeichnete Sicherheitslücken. In allen Fällen geht es um Codeausführung von der Ferne („Remote Code Execution“). Laut Microsoft-Angaben sollen die Lücken nicht aktiv in der Wildnis ausgenutzt werden. Dennoch empfiehlt sich wie immer eine zügige Installation, unter anderem auch einen nervigen Bug auszumerzen. Dieser hat sich mit dem letzten Sicherheitsupdate aus Januar 2023 eingeschlichen. So haben in einigen Windows Server 2012 R2 Umgebungen die Exchange-Dienste nach dem Systemstart nicht mehr laufen wollen.
Hinweis an dieser Stelle: Das Support-Ende von Exchange Server 2013 naht. Ab 11. April 2023 wird es keinen Support und keine Updates für das Produkt mehr geben. Exchange Server 2016 und 2019 haben ihr (extended) Supportende am 14. Oktober 2025.
Exchange Server Sicherheitsupdates für Februar 2013: CVEs & Downloads im Überblick
Microsoft stellt für alle Versionen bis auf 2019 nur ein Update für das aktuellste CU bereit. Diese stopfen folgende CVEs:
Wie gewohnt haben wir die Downloadlinks für alle Serverversionen zusammengetragen. Hier können Admins das Update für ihr jeweiliges System herunterladen:
Exchange Server Updates: Häufige Fragen
- Vorherige Sicherheitsupdates nicht eingespielt? Wie immer sind diese kumulativ, das heißt, aufbauend und somit unabhängig voneinander. Einfach dieses Update einspielen und alle vorherigen Lücken sind ebenso gestopft. Etwa auch die Updates für die Zero-Day-Lücke aus September 2022 („ProxyNotShell“).
- Derzeit laufende CU-Version nicht dabei? Dann muss der Exchange Server vorher auf den neuesten CU-Stand gebracht werden.
- Überprüfen, ob alles geklappt hat? Mit dem HealthChecker Script von Microsoft kann geprüft werden, ob alle Updates erfolgreich eingespielt werden.
Eingefleischte Admins wissen schon Bescheid, aber nur als Erinnerung die Updates für den Windows Server selbst nicht zu vergessen. Diese stehen mit dem heutigen Patchday wie gewohnt im Windows Update zur Verfügung. Backup, Kaffee, Geduld und angekündigte Downtime sollten ebenfalls Part des Update-Vorgangs sein.