Microsoft Exchange Server: Sicherheitsupdates für Januar 2023 betreffen fünf Lücken
Es ist schon wieder der zweite Dienstag des Monats – der Microsoft Patchday, unter anderem auch für Microsoft Exchange Server. Hierbei erhalten die Server-Versionen 2013, 2016 und 2019 wieder ihre aktuellen Sicherheitspatches. In dieser Ausgabe geht es um fünf Sicherheitslücken, laut Microsoft aber keine davon kritisch.
Alle zwei Monate veröffentlicht Microsoft für ihre Exchange Server On-Premises neue Updates. Diese erhalten in den meisten Fällen Sicherheitsupdates zu neuen CVEs. Der Microsoft Windows Server wird davon unabhängig jeden Monat, am zweiten Dienstag des Monats aktualisiert. Admins sollten also nicht nur folgende Exchange-Updates einspielen, sondern auch ihren Windows Server auf Aktualisierungen in Windows Update prüfen.
Hinweis an dieser Stelle: Das Support-Ende von Exchange Server 2013 naht. Ab 11. April 2023 wird es keinen Support und keine Updates für das Produkt mehr geben. Exchange Server 2016 und 2019 haben ihr (extended) Supportende am 14. Oktober 2025.
Zum Abschnitt springen
Exchange Server Updates für Januar: Die CVE-Auflistung
Mit dieser Sicherheitsaktualisierung stopfen die Entwickler folgende CVEs für alle drei Server-Versionen Exchange Server 2013, 2016 und 2019:
- CVE-2023-21745 (wichtig)
- CVE-2023-21762 (wichtig)
- CVE-2023-21761 (wichtig)
- CVE-2023-21764 (wichtig)
- CVE-2023-21763 (wichtig)
Auch wenn es laut Microsoft keine Indizien auf eine Ausnutzung der Lücken auf Systemen gibt, sollten die Updates schnellstmöglich eingespielt werden. Dies kann sich mit der Veröffentlichung von Sicherheitsupdates wie üblich schnell ändern, da die Angriffe nun interessanter werden.
Sicherheitspatches für Exchange 2013, 2016 und 2019: Downloadlinks
Backups erstellen (und vorher testen!), genügend Zeit einplanen und die Nutzer über die Downtime informieren – sollte man wie gewöhnlich ebenso nicht vergessen. Wir sparen Euch Zeit und listen hier direkt die Downloadlinks:
Häufige Fragen:
- Vorherige Sicherheitsupdates nicht eingespielt? Wie immer sind diese kumulativ, das heißt, aufbauend und somit unabhängig voneinander. Einfach dieses Update einspielen und alle vorherigen Lücken sind ebenso gestopft. Etwa auch die Updates für die Zero-Day-Lücke aus September 2022 („ProxyNotShell“).
- Derzeit laufende CU-Version nicht dabei? Dann muss der Exchange Server vorher auf den neuesten CU-Stand gebracht werden.
- Überprüfen, ob alles geklappt hat? Mit dem HealthChecker Script von Microsoft kann geprüft werden, ob alle Updates erfolgreich eingespielt werden.
Sicherheitsupdate kann zu OWA-Bug führen
Wie das Unternehmen im Exchange Blog außerdem wissen lässt, gibt es mit der Sicherheitsaktualisierung für diesen Monat ein „Known Issue“. Sobald das Update nämlich auf einem Exchange Server 2016 oder 2019 installiert ist, werden Webseitenvorschauen für in OWA eingefügte URLs nicht richtig gerendert. Dieser Fehler soll im nächsten Update behoben werden.