17 listopada 2022

Poprawki do Exchange albo ich brak

Trochę czasu minęło od ostatniego postu na temat Exchange'a i poprawek do niego. Trochę się działo, a moje codzienne zajęcia dosyć mocno odsunęły się od poczty elektronicznej. W ostatnich miesiącach Microsoft skupił się na wydawaniu co miesiąc poprawek bezpieczeństwa na pojawiające się kolejne (niestety) mniej lub bardziej krytyczne zagrożenia. Miesiąc temu wykryto krytyczne podatności (tzw. zero-day) CVE-2022-41040 oraz CVE-2022-41082), na którą nie udało się przygotować od razu poprawki, zamiast tego opublikowano tylko informację o obejściu problemu, poprawka pojawiła się dopiero kilka dni temu. Poniżej linki do pbrania:

Więcej informacji można znaleźć na blogu zespołu produktowego - Released: November 2022 Exchange Server Security Updates.

Teraz Microsoft ogłosił, że w tym roku nie będzie kolejnego pakietu poprawek skumulowanych, ze względu na zbyt krótki czas, jaki pozostał do końca roku. No cóż, z jednej strony jest to prawda, opublikowaną w zeszłym tygodniu poprawkę większość firm pewnie będzie wdrażać dopiero w nadchodzących tygodniach, a w grudniu ze względu na zamknięcie roku i święta lepiej nie wdrażać zbyt dużych zmian. Z drugiej strony może po prostu nie mieli pomysłu na kolejne usprawnienia?  Biorąc pod uwagę, że Cumulative Update (nomen omen o numerze 13) przysługuje tylko Exchange 2019 (bo pozostałe wersje już dostają tylko poprawki bezpieczeństwa), zespół produktowy chyba bardziej skoncentrował się na łataniu podatności i rozwoju usług chmurowych. Firmy posiadające Exchange 2013 powinny również zastanowić się, czy kupować nowe licencje i aktualizować do Exchange 2019, czy też migrować do chmury.