Vorzeitiges CU1, CU12, CU22 für Exchange 2019 / 2016 / 2013 wegen Security, Rollup für Version 2010

    Logo für ExchangeMicrosoft veröffent­lichte die für März ge­planten kumu­lativen Updates für Exchange 2012 bis 2019 bereits jetzt, um damit zwei Sicher­heits­probleme (CVE-2019-0686 und CVE-2019-0724) zu beheben. Es geht dabei um Push-Benach­richtigungen und AD-Berech­tigungen für Exchange-Server, wenn Shared Permissions verwendet werden.

    Die normaler­weise zum Ende eines Quartals erscheinenden kumulativen Updates beseitigen zwei Schwach­stellen, die in KB4490059 und KB4490059 beschrieben sind. Beim ersten reduziert Microsoft die Rechte, die ein Exchange-Server im Active Directory bei Verwendung von Shared Permissions erhält.

    Keine Umstellung auf Split Permissions nötig

    Dieses Berechtigungs­modell erlaubt es Exchange-Admins beispiels­weise, Benutzer­konten einzurichten und diese für den Empfang von E-Mails zu konfigurieren. Bei Split Permissions gibt es eine striktere Trennung zwischen den Aufgaben eines AD- und Exchange-Administrators.

    Nachdem das mit den Updates adressierte Rechte­problem nur bei Shared Permissions existiert, wäre der Wechsel auf das Modell mit getrennten Berechtigungen ebenfalls eine Option. Dafür gibt es Microsoft zufolge aber keine Veranlassung, beide Varianten werden weiterhin unterstützt.

    Geringere AD-Berechtigungen für Exchange

    Die kumulativen Updates für Exchange 2013 bis 2019 passen die Berechtigungen im AD an, wenn man das CU-Setup mit dem Parameter /PrepareAD aufruft. Setzt man mehrere Versionen des Messaging-Systems parallel ein, dann nutzt man für diesen Zweck nur das Setup der höchsten Produkt­version.

    In Forests mit mehreren Domänen muss man danach das Setup für jede weitere Domain mit dem Schalter /PrepareDomain ausführen. Beim ersten Aufruf mit /PrepareAD führt die Routine automatisch /PrepareDomain aus.

    Rollup 26 für Exchange 2010 SP3

    Anwender von Exchange 2010 müssen dagegen die im KB4490059 beschriebene Prozedur manuell durch­laufen. Das gleichzeitig mit den CUs veröffentlichte Rollup behebt nur das zweite Problem, nämlich das mit den Exchange Web Services (EWS) Push-Benach­richtigungen.

    Wenn diese zum Client gesendet werden, dann enthielten sie bisher die NTLM-Information, mit der eine Anmeldung im Namen des Servers möglich wäre, auf dem Exchange läuft. Sie wurde benutzt, um eine authen­tifizierte Antwort des Clients zu ermöglichen. Microsoft stuft das Problem als kritisch ein.

    Angeblich kein Verlust an Funktionen

    Das daher erforderliche Einspielen des jeweiligen kumulativen Updates bzw. des Rollup 26 für Exchange 2010 soll aber zu keinen funktionalen Einschränkungen führen. Microsoft hat dazu gängige Clients wie Outlook Mac, Skype for Business oder native Mail-Apps für iOS gestestet.

    Das Exchange-Blog empfiehlt, nach dem Anwenden des kumulativen Updates das Passwort für die Exchange-Server sicherheits­halber zurück­zusetzen. Diesem Zweck dient das PowerShell-Cmdlet Reset-ComputerMachinePassword.

    Neues Cmdlet für Exchange 2019

    Das CU1 für Exchange 2019 enthält zudem ein neues Cmdlet, mit dem sich ältere Authenti­fizierungs­verfahren wir NTLM pro Benutzer deaktivieren lassen. Damit erhält Exchange 2019 Funktionen, wie sie in Office 365 bereits existieren. Eine entsprechende Dokumentation dazu soll es in Kürze geben.

    Vor der Installation ist darauf zu achten, dass die Visual C++ 2012 Runtime vor der Ausführung von CU12 bzw. CU22 auf der Edge-Rolle vorhanden ist. Außerdem sollte auf dem jeweiligen Server die Execuction Policy für PowerShell auf Unristricted gesetzt werden.

    Verfügbakeit

    Mit Exchange 2019 ging Microsoft dazu über, das kumulative Update nur mehr über das Volume Licensing Server Center (VLSC) und MSDN zur Verfügung zu stellen. Alle anderen Updates sind über folgende Seiten zu beziehen:

    Keine Kommentare