Poprawki wrzesień-październik dla Exchange

Dużo ostatnio pracuję i mam lekkie opóźnienie z publikowaniem treści na blogu. Niestety, taki mamy klimat. Ale muszę wspomnieć o poprawkach do Exchange jakie Microsoft wydał we wrześniu i październiku.  28 września opublikowane zostały poprawki Cumulative Updates dla Exchange 2019 i dla Exchange 2016. Pisałem już wcześniej, że Microsoft, ze względu na koniec podstawowego wsparcia dla Exchange 2016 miał zakończyć publikowanie CU dla tej wersji systemu, jednak zgodnie ze starym powiedzieniem "Nigdy nie mów nigdy", musiał zmienić zdanie. Tegoroczny wysyp podatności w Exchange i próby ich opanowania skutkowały kilkoma decyzjami - w czerwcu została wprowadzona integracja z interface'm AMSI systemu operacyjnego, na tyle istotna, że niezbędny był pakiet CU21 (pisałem o tym na tym blogu), a we wrześniu Microsoft dodał do architektury Exchange dodatkową usługę, która ma za zadanie ułatwiać ochronę przed krytycznymi podatnościami - Microsoft Exchange Emergency Mitigation Service, o którym zespół produktowy pisał szczegółowo na swoim blogu. Po marcowym trzęsieniu ziemi z potężną dziurą w zabezpieczeniach Exchange, Microsoft udostępnił dodatkowe narzędzie EOMT (Exchange On-premises Mitigation Tool). Teraz zostało ono dodane jako dodatkowy serwis do usług Exchange, więc konieczny był kolejny pakiet przebudowujący całościowo binaria Exchange.

Warto również wspomnieć, że od wrześniowych pakietów poprawek Microsoft wprowadził opcjonalnie wysyłanie danych diagnostycznych z działania systemu, dlatego też zmieniła się zgoda, którą udzielamy w trakcie instalacji CU. Skutkuje to istotną zmianą w trakcie instalacji z linii komend - zamiast przełącznika /IAcceptExchangeServerLicenseTerms mamy do wyboru dwa alternatywne przełączniki:

/IAcceptExchangeServerLicenseTerms_DiagnosticDataON

/IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF

Jak można się domyślać, używając pierwszego przełącznika zgadzamy się na warunki licencyjne i wysyłanie danych diagnostycznych do Microsoftu, drugi przełącznik nie zezwala na wysyłanie takich danych.

Więcej informacji znajdziecie na blogu zespołu produktowego. A tutaj znajdziecie pakiety aktualizacji:

• Exchange Server 2019 Cumulative Update 11 (KB5005334), VLSC Download, Download
• Exchange Server 2016 Cumulative Update 22 (KB5005333), Download, UM Lang Packs

Niecałe dwa tygodnie po wydaniu CU pojawiły się dodatkowo pakiety poprawek bezpieczeństwa, również dla wersji Exchange 2013. Poprawki te adresują podatności opisane w poniższych biuletynach bezpieczeństwa:

• CVE-2021-26427 (Remote Code Execution)
• CVE-2021-41350 (Spoofing)
• CVE-2021-41348 (Elevation of Privilege)
• CVE-2021-34453 (Denial of Service)

Należy pamiętać o tym, że poprawki są udostępnione tylko dla dwóch najnowszych wersji CU. Więc najpierw należy zaktualizować CU do wymaganej wersji. Więcej szczegółów można znaleźć na blogu zespołu produktowego. Stąd można pobrać odpowiednie wersje poprawek:

• Exchange Server 2013 CU23 (dla Exchange 2013 może być potrzebne rozszerzenie schematu /prepareschema.)
• Exchange Server 2016 CU21 oraz CU22
• Exchange Server 2019 CU10 oraz CU11