Updates für Exchange 2013

Support für Exchange 2013 ist am 11. Apr 2023 ausgelaufen. Es gibt keine Updates und Security Fixes mehr.
Offizieller Weg: Migration nach Exchange 2019 oder Exchange Online.

Exchange 2013 wurde im November 2012 "released". Auch für Exchange 2013 gibt es wie für die Vorgängerversionen E2010, Exchange 2007, Exchange 2003, Exchange 2000 und Exchange 5.5 Updates. Das Prinzip der Servicepacks (ca. alle 12-15 Monate) und Rollup Fixes (ca. 4-8 Wochen) wird auch hier weiter geführt.

Im Oktober 2018 wurde Exchange 2016 CU11 released. Für Exchange 2010/2007 gab es aber erstmals kein Update, da diese in der extended Phase nur noch Security Updates erhalten.

Übersicht der Versionen

Die Installation in einer Exchange 2010 Umgebung ist erst mit dem CU1 Update unterstützt.

Servicing Exchange 2013
http://blogs.technet.com/b/exchange/archive/2013/02/08/servicing-exchange-2013.aspx
Exchange 2013 wechselt von RU auf vierteljährliche CU. Rollup Fixes waren Komplettpakete, die alle vorherigen Rollup Fixes enthalten. Es ist also ausreichend immer das aktuelle Rollup Fix zu installieren. Ich lasse aber die früheren Beschreibungen aktiv, da die gelösten Probleme immer noch aktuell sind

Achtung 3rd Party
Das Exchange Servicepack und Rollup Fixes beendet Dienste und aktualisiert Dateien, die dazu natürlich nicht von jemand neu gestartet oder gesperrt sein dürfen. So verhindert ein laufender Virenscanner (z.B. ScanMail) den Austausch von Exchange DLLs.

Neue Updatestrategie: CU statt RU

Mit Exchange 2013 wird Microsoft ihre Updatestrategie wieder verändern und nur noch "Cumulative Updates" verteilen

• Es bleibt bei den CU Updates und Servicepacks aber nun wird jedes Update immer eine "Vollauslieferung" sein. Sie müssen also immer nur das letzte CU installieren, von denen es nun aber 4 pro Jahr geben soll.
• Sicherheitsupdates sollen dafür schneller als kleines Paket kommen.
• Rollup Fixes entfallen
  Die bisherigen Rollups hatten das Problem, dass z.B. sprachabhängige Daten nicht immer enthalten waren. So konnte OWA schon mal "gemischt" erscheinen. Bei CUs sind alle Sprachen drin.
• CUs sind "Vollinstallationen"
  Jedes CU Update ist immer eine Vollinstallation (ca. 1,3 GB). Sie können also neue Server gleich mit dem (fast) aktuellsten Stand installieren.
• Deinstallation des CU entfernt die Exchange Installation komplett.

Weitere Informationen können Sie dem Blogeintrag des Exchange-Team entnehmen.

• Servicing Exchange 2013
  http://blogs.technet.com/b/exchange/archive/2013/02/08/servicing-exchange-2013.aspx
• Installing Cumulative Updates für Exchange Server 2013
  http://exchangeserverpro.com/exchange-2013-installing-cumulative-Updates/
• 2938053 Third-party transport agents cannot be loaded correctly in Exchange Server 2013

Abhängigkeiten: .NET Framework und Powershell (WMF)

Achtung:
Die Windows Updates vom 10. Juni können Exchange außer Funktion setzen. Es gibt schon Updates für die Updates. Siehe auch
Issue with July Updates for Windows on an Exchange Server
https://blogs.technet.microsoft.com/exchange/2018/07/16/issue-with-july-updates-for-windows-on-an-exchange-server/
Advisory on July 2018 .NET Framework Updates
https://blogs.msdn.microsoft.com/dotnet/2018/07/20/advisory-on-july-2018-net-framework-updates/

Es gibt Abhängigkeiten von Exchange und dem .NET Framework. Für eine bestimmte Aktualisierung von .NET muss auch eine Mindestversion von Exchange installiert sein, Umgekehrt braucht auch Exchange natürlich eine Mindestversion des .NET-Framework.

“We have validated .NET Framework 4.7.2 on the previously released Exchange Server 2013 Cumulative Update 21 and are announcing .NET Framework support with Exchange Server 2013 Cumulative Update 21 as well.”
Quelle: https://blogs.technet.microsoft.com/exchange/2018/10/16/released-october-2018-quarterly-exchange-updates/

Beachten Sie auch die Beschreibungen zu NET-Framework auf Updates und .NET Framework

Die zuverlässigste Quelle ist die Installationsmatrix von Microsoft auf https://technet.microsoft.com/en-us/library/ff728623  welche nach Exchange Version die Interoperabilität zu .NET und WMF aufführt.

.Net 4.6.2 is included with Windows Server 2016. Customers deploying Exchange on Windows Server 2016 must use .Net 4.6.2 and Cumulative Update 3 or later. We plan to add support for .Net 4.6.2 on Windows Server 2012 or Windows Server 2012R2 in our December releases of Exchange Server 2016 and 2013. .Net 4.6.2 will be required for Exchange Server 2016 and 2013 on all supported operating systems in March 2017
Quelle: https://blogs.technet.microsoft.com/exchange/2016/09/20/released-september-2016-quarterly-exchange-updates/

März 2023 Security Update

Am 14. März 2023 hat Microsoft das nächste Security Update für Exchange Server 2013 CU23, Exchange Server 2016 CU23, Exchange Server 2019 CU11 and CU12 veröffentlicht. Es wurde die Sicherheitslücke CVE-2023-21707 und fünf weitere Fehler korrigiert. Das Security Update ist ein Re-release und korrigiert Probleme, die das Feb 2023 Update bei den Webservices eingeführt hatte. Ein Angriff ist nur als authentifizierter Benutzer möglich, was aber sie nicht in Sicherheit wiegen sollte. Bitte installieren Sie die Updates zeitnah und nutzen Sie den Exchange HealthChecker, um die Installation danach zu verifizieren.

• CVE-2023-21707 - Microsoft Exchange Server Remote Code Execution Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21707
• Released: March 2023 Exchange Server Security Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2023-exchange-server-security-updates/ba-p/3764224
• KB5024296 Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 14, 2023
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-14-2023-kb5024296-e13b0369-2102-4c95-bee2-456514630727
• You can’t access Toolbox on Exchange after enabling EnableSerializationDataSigning
  https://support.microsoft.com/en-us/topic/you-can-t-access-toolbox-on-exchange-after-enabling-enableserializationdatasigning-134ad7c6-5223-4f91-93c7-4f506d35b331
• EEMS stops responding after TLS endpoint certificate update
  https://support.microsoft.com/en-us/topic/-eems-stops-responding-after-tls-endpoint-certificate-update-47810987-eb7f-4c6a-9ef8-1c26aa0772a6
• Get-App and GetAppManifests fail and return an exception
  https://support.microsoft.com/en-us/topic/get-app-and-getappmanifests-fail-and-return-an-exception-7fde3780-744c-4ba7-8ef2-d65c893393a2
• EWS does not respond and returns an exception
  https://support.microsoft.com/en-us/topic/ews-does-not-respond-and-returns-an-exception-cf01ce54-6871-44c2-b856-5138fd1b2bb8
• An exception is returned while opening a template in the Exchange Toolbox
  https://support.microsoft.com/en-us/topic/an-exception-is-returned-while-opening-a-template-in-the-exchange-toolbox-71758e21-48f5-486b-a2d0-a47eb5acddfa

Die Downloads finden Sie hier. Beachten Sie, dass Sie das passende CU vorab installiert haben müssen.

2019 CU11 SU11 https://www.microsoft.com/en-us/download/details.aspx?id=105090
2019 CU12 SU7 https://www.microsoft.com/en-us/download/details.aspx?id=105089
2016CU23 SU7 https://www.microsoft.com/en-us/download/details.aspx?id=105091
2013 CU23 SU21 https://www.microsoft.com/en-us/download/details.aspx?id=105092

Feb 2023 Security Update

Die Updates für Exchange im Februar 2023 korrigieren vier CVE-Lücken und einige Bugs, z.B. dass einige Dienste seit dem Jan 2023 SU Updates nicht mehr automatisch starten.

• Released: February 2023 Exchange Server Security Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-february-2023-exchange-server-security-updates/ba-p/3741058
• KB5023038 Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: February 14, 2023
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-february-14-2023-kb5023038-2e60d338-dda3-46ed-aed1-4a8bbee87d23

Download
Exchange Server 2013 CU23 SU20 84MB 15.00.1497.047
https://www.microsoft.com/download/details.aspx?familyID=1b7a2ea2-c8af-4ea5-837a-e5a9fcc60bcd  (Last SU on April 11th 2023)

Hinweis: Der Support für Exchange 2013 läuft am 11. April aus.

Security Updates:

• CVE-2023-21707 – Microsoft Exchange Server Remote Code Execution Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21707
• CVE-2023-21706 – Microsoft Exchange Server Remote Code Execution Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21706
• CVE-2023-21710 – Microsoft Exchange Server Remote Code Execution Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21710
• CVE-2023-21529 – Microsoft Exchange Server Remote Code Execution Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21529

Bugfixes

• Export-UMPrompt fails with InvalidResponseException
  https://support.microsoft.com/en-us/topic/export-umprompt-fails-with-invalidresponseexception-af9fc20a-cd40-4154-a54c-cf47421e50b6
• Microsoft Exchange Transport service stops and returns Event ID 17018
  https://learn.microsoft.com/en-us/exchange/troubleshoot/mailflow/event-17018-msexchangetransport-service-stop
• Some Exchange services do not start automatically after installing January 2023 Security Update
  https://support.microsoft.com/help/5023353
• Data source returns incorrect checkpoint depth
  https://support.microsoft.com/en-us/topic/data-source-returns-incorrect-checkpoint-depth-e08156dd-86d3-4d7a-890f-316c72a06ed9
• Serialization fails while tried accessing Mailbox Searches in ECP
  https://support.microsoft.com/en-us/topic/serialization-fails-when-accessing-mailbox-searches-in-ecp-8098a189-94cc-4160-bad2-8a3eefdff476
• Transport delivery service mishandles iCAL events
  https://support.microsoft.com/en-us/topic/transport-delivery-service-mishandles-ical-events-2e004d6b-18c9-4d9d-b57b-fcaba9b07d3b

Und auch diesmal gibt es wohl wieder ein Problem, was erst durch das Feb 2023 SU dazugekommen ist.

• EWS web application pool stops after the February 2023 Security Update is installed
  https://support.microsoft.com/en-us/topic/ews-web-application-pool-stops-after-the-february-2023-security-update-is-installed-f7ead47c-2303-4132-963e-b66548017340

Weitere Links

• Neue Sicherheitsupdates für Exchange Server (Februar 2023)
  https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-februar-2023/

Januar 2023 Security Updates

Am 10. Januar hat Microsoft per Bog-Artikel ein Sicherheitsupdate für Exchange Server 2013 CU23, Exchange Server 2016 CU23, Exchange Server 2019 CU11 und CU12 veröffentlicht.

Achten Sie darauf, dass der Support für Exchange 2013 im April 2023 endet und das Security Update nicht mehr Exchange 2016 CU22 (Sep 21) aktualisiert.

Die Sicherheitslücken werden wohl noch nicht öffentlich ausgenutzt aber sollten dennoch zeitnah durch die Installation abgesichert werden. Weiterhin wurden die ein oder anderen Bugs gefixt und eine zusätzliche Absicherung der Exchange PowerShell eingebaut aber noch nicht per Default aktiviert.

• Released: January 2023 Exchange Server Security Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2023-exchange-server-security-updates/ba-p/3711808
• CVE-2023-21745 - Microsoft Exchange Server Spoofing Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21745
• CVE-2023-21761 - Microsoft Exchange Server Information Disclosure Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21761
• CVE-2023-21762 - Microsoft Exchange Server Spoofing Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21762
• CVE-2023-21763 - Microsoft Exchange Server Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21763
• CVE-2023-21764 - Microsoft Exchange Server Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21764
• 5022193 Description of the security update for Microsoft Exchange Server 2019: January 10, 2022 (KB5022193)
  https://support.microsoft.com/help/5022193
• 5022143 Description of the security update for Microsoft Exchange Server 2016: January 10, 2022 (KB5022143)
  https://support.microsoft.com/help/5022143
• 5022188 Description of the security update for Microsoft Exchange Server 2013: January 10, 2022 (KB5022188)
  https://support.microsoft.com/help/5022188
• Ex2019Fix: Store Worker Process stops and returns "System.NullReferenceExceptions" multiple times per day
  https://support.microsoft.com/de-de/topic/store-worker-process-stops-and-returns-system-nullreferenceexceptions-multiple-times-per-day-9a874401-3635-497a-9b23-4ad55a328417
• Ex2019/2016/2013New: Certificate signing of PowerShell serialization payload in Exchange Server
  https://support.microsoft.com/de-de/topic/certificate-signing-of-powershell-serialization-payload-in-exchange-server-90fbf219-b0dd-4b2c-8a68-9d73b3309eb1
• Ex2016Fix: Store Worker Process stops and returns "System.NullReferenceExceptions" multiple times per day
  https://support.microsoft.com/de-de/topic/store-worker-process-stops-and-returns-system-nullreferenceexceptions-multiple-times-per-day-9a874401-3635-497a-9b23-4ad55a328417
• Ex2016/2013Fix: Can't record or play in Exchange Unified Messaging
  https://support.microsoft.com/help/5022100
• Ex2016Fix: Exchange
  https://support.microsoft.com/de-de/topic/exchange-application-log-is-flooded-with-event-id-6010-8115a084-bb7a-420c-b3ce-8e77332b2705
• Extended Protection enabled in Exchange Server (KB5017260)
  https://support.microsoft.com/help/5017260

8. Nov 2022 Exchange Security Updates

Anfang Oktober wurde das erste mal der EEMS-Service genutzt, um eine Lücke temporär zu fixen. Am 8. Nov 2022 gibt es nun ein reguläres Security Update für Exchange 2013CU23, Exchange 2016CU22/CU23 und Exchange 2019CU11/CU12. Laut Beschreibung sichert das Updates die beiden Lücken CVE-2022-41040 und CVE-2022-41082 ab, so dass die Mitigation durch EEMS nicht mehr erforderlich ist.

Achtung: Mittlerweile gibt es einen Exploit, der die Lücke ausnutzt. Bitte umgehend Nov 2022 Security installieren, wenn noch nicht passiert
https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/

Auch mit dem Nov 2022 Update ist Extended Protection zusätzlich zu konfigurieren. Siehe Kommentar: Lukas Sassl Microsoft ‎Nov 10 2022 12:15 PM "@MicPluton it’s required to enable Extended Protection to address these vulnerabilities. Without Extended Protection turned on, the server is still vulnerable." https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045

• Released: November 2022 Exchange Server Security Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045
• Security Update Guide
  https://msrc.microsoft.com/update-guide/
• CVE-2022-41040
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
• CVE-2022-41082
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
• OWASSRF: CrowdStrike Identifies New Exploit Method for Exchange Bypassing ProxyNotShell Mitigations
  https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
• Jetzt patchen! Attacken auf Exchange Server im ProxyNotShell-Kontext gesichtet
  https://www.heise.de/news/Jetzt-patchen-Attacken-auf-Exchange-Server-im-ProxyNotShell-Kontext-gesichtet-7434860.html 

Download
Exchange Server 2013 CU23 (support Ende in April 2023)
Exchange Server 2016 CU22 and CU23
Exchange Server 2019 CU11 and CU12

9. Aug 2022 Exchange Security Updates

Anfang August 2022 wurden von Microsoft für Exchange 2013 CU23, 2016CU22/CU23 und 2019CU11/CU12 Updates veröffentlicht, um bekannte Sicherheitslöcher zu stopfen. Ältere CU-Stände werden nicht aktualisiert, d.h. sie sind gut beraten ihre Exchange Server auf einen unterstützten CU-Stand zu bringen und dann die Security Updates zu installieren. Wer schon auf der aktuellen Version sind, müssen Sie nach der Installation des Security Updates weder eine Schema-Erweiterung noch den Hybrid Configuration Wizard neu ausführen.

• Released: August 2022 Exchange Server Security Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2022-exchange-server-security-updates/ba-p/3593862
• Description of the security update for Microsoft Exchange Server 2019 and 2016: August 9, 2022 (KB5015322)
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-and-2016-august-9-2022-kb5015322-86c06afb-97df-4d8f-af88-818419db8481
• CVE-2022-21979 - Microsoft Exchange Information Disclosure Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21979
• CVE-2022-21980 - Microsoft Exchange Server Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21980
• CVE-2022-24477 - Microsoft Exchange Server Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24477
• CVE-2022-24516 - Microsoft Exchange Server Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24516
• CVE-2022-30134 - Microsoft Exchange Server Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30134
• CVE-2022-34692 - Microsoft Exchange Information Disclosure Vulnerability (nicht Ex2013)
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34692

Damit einige Schutzfunktionen aber auf Exchange Servern funktionieren, müssen Sie "Extended Protection" manuell aktivieren.

• Extended Protection enabled in Exchange Server (KB5017260)
  https://support.microsoft.com/help/5017260

Nebenbei korrigiert das Update noch zwei Fehler:

• Start-DatabaseAvailabilityGroup fails with BlockedDeserializeTypeException (KB5017261)
  https://support.microsoft.com/help/5017261
• E-Discovery search fails in Exchange Online (KB5017430)
  https://support.microsoft.com/help/5017430

Mai 2022 Security Update

Für Exchange 2016/2019 gibt es zwar nur noch im Frühjahr und Herbst ein größere Update aber Sicherheitslücken werden weiter monatlich geschlossen. Im Mail 2022 wurden Updates für Exchange 2013/2016/2019 released, welches folgende Lücke absichert:

• CVE-2022-21978 Microsoft Exchange Server Elevation of Privilege Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21978
• Released: May 2022 Exchange Server Security Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-may-2022-exchange-server-security-updates/ba-p/3301831

Mit einem Rating von 8.2 scheint sie hoch, aber der Angreifer muss schon auf dem Server selbst mit entsprechenden Berechtigungen angemeldet sein, um über die Lücke sich mehr Berechtigungen zu beschaffen. Das Update korrigiert aber noch ein paar andere kleinere Probleme:

• Exchange Service Host service fails after installing March 2022 security update (KB5013118)
• New-DatabaseAvailabilityGroupNetwork and Set-DatabaseAvailabilityGroupNetwork fail with error 0xe0434352 (Update: the -Subnets parameter is still not fixed)
• The UM Voicemail greetings function stops working and returns error 0xe0434352.
• Unable to send mails through EAS and Get-EmailAddressPolicy fails with Microsoft.Exchange.Diagnostics.BlockedDeserializeTypeException after installing Security Update KB5008631 for Exchange 2019

Laut Blog-Artikel müssen Sie nach der Installation manuell ein Schema-Updates durchführen, da ein Security Update generell nicht macht. Details dazu finden Sie im BlogPost von Microsoft.

8. Mrz 2022 Sicherheitsupdate

In Exchange 2013, 2016 und 2019 wurden zwei weitere Sicherheitslöcher gefunden und gefixt. Sie haben zwar nicht das Potential von Hafnium aber erlauben, dass authentifizierte Benutzer mehr Rechte erhalten, als sie haben sollten. Da wir nie sicher sein können, dass nicht doch ein Angreifer per Phishing schon im Besitz von gültigen Anmeldedaten sind, sollten Sie die Updates zügig installieren.

Beachten Sie auch immer die Release Notes, denn einige der Fehler haben mich erwischt, z.B. Dienste wurden nicht mehr von disabled auf Autostart gestellt. Bei einer DAG war es der "HostControllerService" für den Suchindex. Denken Sie auch daran, das MSP als Administrator zu starten.

• Released: March 2022 Exchange Server Security Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2022-exchange-server-security-updates/ba-p/3247586
• Description of the security update for Microsoft Exchange Server 2013: March 8, 2022 (KB5010324)
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2013-march-8-2022-kb5010324-1cc1891e-5be1-4ee1-abad-3f3acbb82f9c
• 5012925 RFC certificate timestamp validation in Exchange Server 2013
  https://support.microsoft.com/help/5012925
• CVE-2022-23277 | Microsoft Exchange Server Remote Code Execution Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23277

Download Exchange Server 2013 Cumulative Update 23 Security Update 14 (KB5010324)
https://www.microsoft.com/download/details.aspx?familyid=ad904d7c-3c77-4585-a534-9f1505ad1ec4

11. Jan 2022 Sicherheitsupdate

Einen Monat später als erwartet, hat Microsoft am 11. Jan 2022 für Exchange 2013, 2016 und 2019 Sicherheitsupdates veröffentlicht, die allesamt kritische "Remote Code Execution"-Lücken fixen, die aber wohl nicht anonym aus dem Internet ausnutzbar sind. Dennoch sollten Sie zügig agieren, denn Angreifer können schon intern auf solche Lücken warten, um an mehr Berechtigungen zu gelangen.

• CVE-2022-21846 | Microsoft Exchange Server Remote Code Execution Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21846
• CVE-2022-21855 | Microsoft Exchange Server Remote Code Execution Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21855
• CVE-2022-21969 | Microsoft Exchange Server Remote Code Execution Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21969

Passend dazu gibt es von Microsoft einen KB-Artikel zu den Updates und einen Blog-Post

• Released: January 2022 Exchange Server Security Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2022-exchange-server-security-updates/ba-p/3050699
• Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: January 11, 2022 (KB5008631)
  https://support.microsoft.com/de-de/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-january-11-2022-kb5008631-2ee4d1f3-8341-4a4d-86be-4b73bc944f1b

Auf beiden Artikel sind die Link zu den Downloadquellen enthalten. Das Updates müssen sie nur auf Servern installieren aber nicht auf Systemen, auf denen "nur" die Exchange AdminTools installiert sind. Auch der HCW muss nicht erneut ausgeführt werden. Allerdings "fixen" diese Updates nicht die Probleme des Exchange Y2K22 Bug. Der MalwareScanner kann auch mit den Security Updates weiterhin nichts mit Patternversionen 220101xxxx anfangen.

Es häufen sich Berichte, dass die Securityupdates nach dem Update die Exchange Webdienste (OWA/ECP/EWS) nicht mehr gehen, auf Windows 2012R2 ReFS-Volumes nicht gemountet werden oder DCs durchbooten. Wobei ich die beiden letzten Fälle eher auf die zeitgleich veröffentlichten Windows Updates schieben würde.

9. Nov 2021 Sicherheitsupdate

Am 9. Nov wurde wieder ein Update für Exchange 2016 CU21/22, Exchange 2019 CU10/11 und Exchange 2013 CU23 . Ältere Versionen von Exchange oder Updates-Stände bleiben ungepatched. Sie sollten also zusehen, dass Sie schnellstens auf diesen Level kommen und dann das Update installieren.

Die Lücke wird mit einem CVE-Score von 8.8 bewertet und daher nur "Important" und nicht "critical". Dennoch empfiehlt Microsoft die sofortige Installation.

We are aware of limited targeted attacks in the wild using one of vulnerabilities (CVE-2021-42321), which is a post-authentication vulnerability in Exchange 2016 and 2019. Our recommendation is to install these updates immediately to protect your environment.
Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169

Die Lücke CVE-2021-42321 kann nur nach erfolgreicher Authentifizierung ausgenutzt werden. Aber wer kann heute schon sicher sein, dass Angreifer nicht schon mit Benutzerdaten warten?

• Released: November 2021 Exchange Server Security Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169
• Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: November 9, 2021 (KB5007409)
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-november-9-2021-kb5007409-7e1f235a-d41b-4a76-bcc4-3db90cd161e7
• CVE-2021-41349 | Microsoft Exchange Server Spoofing Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-41349
• CVE-2021-42305 | Microsoft Exchange Server Spoofing Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42305
• CVE-2021-42321 Microsoft Exchange Server Remote Code Execution Vulnerability
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
• Security Update Severity Rating System
  https://www.microsoft.com/en-us/msrc/security-update-severity-rating-system

Wenn Sie das Update nicht über Windows Updates installieren, dann achten Sie bei der manuellen Installation auf die Ausführung als Administrator.
Aufgrund eines Windows Updates Fehlers, sollten Sie bei Exchange 2013 die Installation aber manuell durchführen bis zum Fix des Windows Update Dienst.

Download Exchange Server 2013 Cumulative Update 23 Security Update 12 (KB5007409)
https://www.microsoft.com/download/details.aspx?familyid=8ef4e237-7007-4e30-9525-75ae6e66bb41

12. Okt 2021 Sicherheitsupdate

Das vorherige Sicherheitsupdate war grade mal 14 Tage draußen, als Microsoft schon wieder ein Update für die offiziell unterstützen CU-Versionen von Exchange 2013-2019 nachschiebt. Sie sehen schon, dass sie auch beim CU-Stand nicht zu lange zurückliegen sollten.

• Released: October 2021 Exchange Server Security Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2021-exchange-server-security-updates/ba-p/2838287
• Description of the security update for Microsoft Exchange Server 2013: October 12, 2021 (KB5007011)
  https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2013-october-12-2021-kb5007011-909b6c6e-9e90-433f-9bee-01e34b413c91
• CVE-2021-26427 | Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Remotecodeausführung
  https://msrc.microsoft.com/update-guide/de-de/vulnerability/CVE-2021-26427

Allerdings stopft bei Exchange 2013 das Update nur eine Lücke und addiert die Build-Version in den HTTP-Header, was eine Inventarisierung und Kontrolle der Version erleichtert.

Sicherheitsupdate für Exchange Server 2013 CU23
https://www.microsoft.com/en-us/download/details.aspx?id=103548

Achtung bei der manuellen Installation. Starten Sie die MSP immer als Administrator (UAC beachten), sonst ist die Installation nicht fehlerfrei.

Exchange 2013 benötigen zusätzlich ein Schema Update

13. Jul 21 SecurityUpdate

Siehe dazu die gesonderte Seite Patchday Jul 2021.

2. März 2021 SecUpdate

Am 2. März hat Microsoft gleich mehrere Exploits in Exchange gemeldet, die auch aktiv ausgenutzt werden und daher die möglichst sofortige Installation der bereitgestellten Updates empfohlen. Microsoft hat die Korrekturen u.a. per Windows Update für Exchange 2010-2019 bereitgestellt. Details finden Sie auf:

• Hafnium: Exploit
• KB5000871 https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
• Released: March 2021 Exchange Server Security Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
• HAFNIUM targeting Exchange Servers with 0-day exploits
  https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ 
• MSRCBlog
  https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server
• CVE-Links
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412

13. Okt 2020 CVE-2020-16969 Security Update

Quasi wenige Stunden vor Auslaufen des Exchange 2013 Supports hat Microsoft noch ein Security Update ausgeliefert. Die Schwachstelle betrifft auch Exchange 2016 (Patch gibt es nur für CU17/18) und Exchange 2019 (Patch für CU6/CU7). Für Exchange 2010 und früher gibt es keine Updates mehr aber sie könnten genauso betroffen sein.

• CVE-2020-16969 | Microsoft Exchange Information Disclosure Vulnerability
  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16969
  Auf der Seite sind auch die DownloadLinks
• Exchange Server: Neue Sicherheitsupdates (Oktober 2020)
  https://www.frankysweb.de/exchange-server-neue-sicherheitsupdates-oktober-2020/amp/
• OCTOBER SECURITY UPDATE FOR EXCHANGE 2013, 2016 AND 2019
  https://jaapwesselius.com/tag/cve-2020-16969/

11. Feb 2020 Security Update

Zwei Sicherheitslücken haben Microsoft am 11. Feb dazu gebracht für alle Exchange Version 2010 bis 2019 und für verschiedenen CUs/RUs entsprechende Sicherheitsupdates zu veröffentlichen. Die Fehler sind

• CVE-2020-0692 | Microsoft Exchange Server Elevation of Privilege Vulnerability
  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0692
  Über eine Lücke in EWS könnte ein Angreifer eine "Impersonation"-Attacke starten und auf Inhalte von anderen Postfächern zugreifen. Exchange 2010 ist aber nicht betroffen
• CVE-2020-0688 | Microsoft Exchange Memory Corruption Vulnerability
  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0688
• 4536987 Description of the security update for Microsoft Exchange Server 2019 and 2016: February 11, 2020
  https://support.microsoft.com/en-us/help/4536987/security-update-for-exchange-server-2019-and-2016

Beide Lücken wurden am 11. Feb noch nicht öffentlich bekannt und auch nicht ausgenutzt. Sie sind als "1 - Exploitation More Likely" eingestuft. Angreifer werden aber sicher nun die Änderungen im Code analysieren um die Schwachstelle zu finden. Sie sollten daher zeitnah die Updates einspielen. Nutzen Sie den Download für die bei ihnen installierte Version:

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
https://www.microsoft.com/download/details.aspx?familyid=4d072d3e-153e-4a5a-859e-ad054fe24107
Microsoft Exchange Server 2013 Cumulative Update 23
https://www.microsoft.com/download/details.aspx?familyid=ddba43d0-f66d-410d-a421-bb26e45d64b7
Microsoft Exchange Server 2016 Cumulative Update 14
https://www.microsoft.com/download/details.aspx?familyid=5ae7346b-f59c-415d-b576-e50f6b493a23
Microsoft Exchange Server 2016 Cumulative Update 15
https://www.microsoft.com/download/details.aspx?familyid=a4bd9a4e-56f4-42c2-b0d7-fffe52c5dbe5
Microsoft Exchange Server 2019 Cumulative Update 3
https://www.microsoft.com/download/details.aspx?familyid=dec0d147-8b43-4fee-94cb-ed43ed1226ad
Microsoft Exchange Server 2019 Cumulative Update 4
https://www.microsoft.com/download/details.aspx?familyid=6f5e2305-f1dc-4ce9-97c5-4d6fc1b87a24

Es gibt keine Updates für ältere Versionen. Microsoft supportet nur das aktuelle und das vorherige CU.

12. Nov 2019 Security Update

Am 12. Nov hat Microsoft für alle noch im Support stehenden Exchange Versionen ein Sicherheits-Update veröffentlicht, welches Sie zügig installieren sollten.

• Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: November 12, 2019
  https://support.microsoft.com/en-us/help/4523171/security-update-for-exchange-server-2019-2016-and-2013
• CVE-2019-1373 | Microsoft Exchange Remote Code Execution Vulnerability
  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1373

Ein Angreifer kann aufgrund einer nicht abgesicherten Verarbeitung von per PowerShell übergebenen Daten beliebigen Code unter dem angemeldeten Benutzer ausführen. Allerdings muss der Angreifer dazu per PowerShell auf den Exchange Server zugreifen können, was eigentlich nur für Administratoren aus dem internen Netzwerk möglich sein sollte. Dennoch sollten Sie nicht lange warten. Hier der Download-Link:

Security Update For Exchange Server 2013 CU23 (KB4523171)
https://www.microsoft.com/en-us/download/details.aspx?id=100485

Exchange 2013 CU 23

Exchange 2010 wird zwar ab Feb 202 keine Updates mehr bekommen. Für Exchange 2013 gilt dies noch nicht. Am 11. Jun 2019 hat Microsoft für beide Versionen und Update bereit gestellt, welches ein TLS-Problem mit dem Office 365 Connector löst:

Das CU23 unterstützt auch NET 4.8 Unterstützung

• Cumulative Update 23 for Exchange Server 2013
  https://support.microsoft.com/en-us/help/4489622/cumulative-update-23-for-exchange-server-2013
• 4502131 "TLS negotiation failed with error UnknownCredentials" error after updating TLSCertificateName on Office 365 send connector in Exchange Server 2013 hybrid environment
• 4503028 Description of the security update for Microsoft Exchange Server 2013 and 2010: June 11, 2019

Download (1,6 GB)
https://www.microsoft.com/en-us/download/details.aspx?id=58392

Exchange 2013 CU22 KB4487563

Mitte April hat Microsoft ein weiteres Security Update für Exchange 2010 bis 2019 veröffentlicht.

• Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: April 9, 2019
  https://support.microsoft.com/en-us/help/4487563/description-of-the-security-update-for-microsoft-exchange-server
• CVE-2019-0817: Microsoft Exchange Spoofing Vulnerability
  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0817
• CVE-2019-0858: Microsoft Exchange Spoofing Vulnerability
  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0858
• Neue Sicherheitsupdates für Exchange Server (Alle Versionen)
  https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-alle-versionen/
• Net 4.7.2 auch supported und Voraussetzung für Update auf CU23
  Also am besten danach gleich mit installieren.
  Released: October 2018 Quarterly Exchange Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2018-quarterly-exchange-updates/ba-p/608455

Security Update For Exchange Server 2013 CU22 (KB4487563)
https://www.microsoft.com/en-us/download/details.aspx?id=58199

Exchange 2013 CU22

Aufgrund einer Lücke in EWS und erweiterten Rechten ist das CU22 sehr zeitnah nachgeliefert worden Siehe dazu die gesonderte Seite.

• Exchange Fail Jan 2019 - CVE-2018-8581

Exchange Security Update Jan 2019

Laut Beschreibung reicht eine entsprechend formatierte Mail, dass Exchange den Code als System User ausführt. Zwar ist der Fehler noch nicht veröffentlich und es gibt am 11.jan auch noch keine Angriffe aber wir können sicher sein, dass die bösen Jungs nun die Änderungen im Patch untersuchen um die Lücke auszunutzen. Betroffen ist Exchange 2016 und 2019 und es gibt nur für die folgenden Versionen ein entsprechendes Update

• Microsoft Exchange Server 2019 RTM
• Microsoft Exchange Server 2016 Cumulative Update 10
• Microsoft Exchange Server 2016 Cumulative Update 11

Spätestens jetzt sollten Sie wirklich erkennen, wie wichtig ein halbwegs aktueller Patchstand ist, um so kleine Security Updates zeitnah installieren zu können.

Security Update For Exchange Server 2013 CU21 (KB4471389)
https://www.microsoft.com/en-us/download/details.aspx?id=57760

• Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: January 8, 2019
  https://support.microsoft.com/en-us/help/4471389/description-of-the-security-update-for-microsoft-exchange-server-2019
• CVE-2019-0586 | Microsoft Exchange Memory Corruption Vulnerability
  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0586
• MITRE CVE-2019-0586
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0586

Im Schatten dieses Updates wird noch eine weitere Lücke gestopft, bei der per PowerShell ein Zugriff auf Kalender möglich ist. Dieses Problem betrifft zusätzlich noch

• Microsoft Exchange Server 2013 Cumulative Update 21
• Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 25

Die Beschreibung finden Sie hier

• 4468742 Security Update Information Disclosure Important
• CVE-2019-0588 | Microsoft Exchange Information Disclosure Vulnerability
  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0588

Exchange 2013 CU21

Nach drei Monaten, genau am 12. Jun 2018 hat Microsoft das CU21 für Exchange 2013 zusammen mit Updates für Exchange 2016 und 2010 released:

Achtung
Exchange 2013 ist im April 2018 in den Extended Support gegangen und die folgenden Updates werden nur noch Security Updates enthalten. CU21 ist das letzte geplante Update und Mindestvoraussetzung für die nun ggfls. folgenden Security Updates.

Exchange 2013 CU21 Download (ca. 2 GB)
https://www.microsoft.com/de-DE/download/details.aspx?id=57069
UM Lang Pack https://www.microsoft.com/en-us/download/details.aspx?id=57066

Visual C++ Redistributable Packages for Visual Studio 2013
https://www.microsoft.com/en-us/download/details.aspx?id=40784
Für die Installation erforderliche Voraussetzungen, genauso wie NET 4.7.1

Die Änderungen hat Microsoft in einem KB-Artikel und Blog-Beitrag dokumentiert:

• Cumulative Update 21 for Exchange Server 2013
  https://support.microsoft.com/en-us/help/4099855/cumulative-update-21-for-exchange-server-2013
• Released: June 2018 Quarterly Exchange Updates
  https://blogs.technet.microsoft.com/exchange/2018/06/19/released-june-2018-quarterly-exchange-updates/

Aus meiner Sicht sind folgende Punkte besonders erwähnenswert:

• NET 4.7.1 Framework erforderlich
  https://support.microsoft.com/kb/4033342
  Die meisten werden das Update vermutlich schon mit CU9 bereits installiert haben. Nun ist es verpflichtend. Sie müssen also vorher NET 4.7.1 installieren. Das bedeutet aber, dass Sie offiziell vorher auch zumindest CU19 installieren müssen, ehe Sie auf NET 4.7.1 installieren dürfen. Siehe auch Exchange Updates und .NET Service Pack.
• Net 4.7.2 auch supported und Voraussetzung für Update auf CU23
  Also am besten danach gleich mit installieren.
  Released: October 2018 Quarterly Exchange Updates
  https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2018-quarterly-exchange-updates/ba-p/608455
• VC++ 2013 Runtime
  https://www.microsoft.com/download/details.aspx?id=40784

Folgende Updates sind enthalten:

• 4133605 Cmdlets to create or modify a remote shared mailbox in an On-Premises Exchange environment
• 4133604 User can't log on to a POP/IMAP account by using NTLM authentication in Exchange Server 2013
• 4133618 Unexpected error occurs when running the Get-DatabaseAvailabilityGroupNetwork cmdlet in Exchange Server 2013
• 4133620 “HTTP 500 due to ADReferralException” when a User tries to view detail properties of mailboxes in a child domain in Exchange Server
• 4058473 An Office 365 primary mailbox User cannot be assigned full access permissions for an On-Premises mailbox in Exchange Server
• 4094167 The MSExchangeRPC service crashes with a System.NullReferenceException exception in Exchange Server 2013
• 4095974 “System.InvalidOperationException” occurs when the "Enable-MailPublicFolder" cmdlet is run against a public folder in Exchange Server
• 4092041 Description of the security update for Microsoft Exchange Server 2013 and 2016: May 8, 2018
• 4294205 POP3 services intermittently stop in an Exchange Server 2013 environment
• 4294204 Changing "IsOutOfService" to "False" in an earlier Exchange Server version does not immediately update in a later Exchange Server environment

Exchange 2013 CU20

Mitte März 2018 hat Microsoft mit dem CZU20 für Exchange 2013 turnurgemäß ein neues Vollupdate ausgeliefert. Es unterstützt ebenfalls NEt 4.7.1 aber auch 4.6.1. Erst das nächste CU21 wird NET 4.7.1 voraussetzen. Sie können aber dennoch jetzt schon NET. 4.7.1 installieren. Auch der TLS 1.2 Support war überfällig.

Kumulatives Update 20 für Exchange Server 2013 (KB4055221) 1,6 GB
https://www.microsoft.com/de-de/download/details.aspx?id=56717
UM Language packs https://www.microsoft.com/en-us/download/details.aspx?id=56716

• Released: March 2018 Quarterly Exchange Updates
  https://blogs.technet.microsoft.com/exchange/2018/03/20/released-march-2018-quarterly-exchange-updates/
• Cumulative Update 20 for Exchange Server 2013
  https://support.microsoft.com/en-us/help/4055221/cumulative-update-20-for-exchange-server-2013
  Liste mit allen enthaltenen Updates

Exchange 2013 CU19

Kurz vor Weihnachten 2017 hat Microsoft im 3 Monats-Zyklus neben Updates für Exchange 2016 und 2010 auch Exchange 2013 auf CU19 angehoben. Wichtigste Änderung ist der .NET 4.7.1 Support und einige andere Updates und Fixes.

Cumulative Update 19 for Exchange Server 2013 (KB4037224)
http://www.microsoft.com/en-us/download/details.aspx?id=56362
Exchange Server 2013 CU19 UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=56364 

Hinweis:
Wenn Sie sich an die Support-Vorgaben aus Redmond halten, sollten Sie schon mindestens CU17 oder CU16 installiert haben, welches NET.4.6.2 voraussetzt. Dann ist ein Update auf CU18 mit nachfolgemdem NET 4.7.1 Update problemlos. Wenn Sie aber noch auf CU15 oder älter sind, dann müssen Sie über den Zwischenschritt CU16 + NET 4.6.1 gehen.

Hier die entsprechenden weiterführenden Links:

• Cumulative Update 19 for Exchange Server 2013
  https://support.microsoft.com/en-us/help/4037224/cumulative-update-19-for-exchange-server-2013 
• Released: December 2017 Quarterly Exchange Updates
  https://blogs.technet.microsoft.com/exchange/2017/12/19/released-december-2017-quarterly-exchange-updates/
• 4046316 MAPI over HTTP can't remove client sessions timely if using OAuth and the resource has a master account in Exchange Server 2013
• 4046205 W3wp high CPU usage in Exchange Server 2013
• 4046182 Event ID 4999 or 1007 if diagnostics service crashes repeatedly in Exchange Server 2013
• 4056329 Can't access EWS from Outlook/OWA add-ins via makeEwsRequestAsync in Exchange Server 2016 and Exchange Server 2013
• 4045655 Description of the security update for Microsoft Exchange: December 12, 2017
• Exchange 2013: Stolperstein beim Update einer alten Version auf das aktuelle CU
  https://www.frankysweb.de/exchange-2013-stolperstein-beim-update-einer-alten-version-auf-das-aktuelle-cu/
• Upgrade Paths for CU’s & .NET
  https://eightwone.com/2017/12/21/upgrade-paths-for-cus-net/

Exchange 2013 CU18

Drei Monate nach dem CU17 wird CU18 released. Es bringt immer noch nicht den NET 4.7.0 Support. Stattdessen wird man wohl später gleich auf NET 4.7.1 gehen.

Bitte installieren sie NICHT .NET Framework 4.7 oder neuer. Es ist nicht mit CU7 freigegeben

Download http://www.microsoft.com/downloads/details.aspx?FamilyID=e0125452-a610-447c-a932-8f44c6c813eb
UM Lang Packs http://www.microsoft.com/downloads/details.aspx?FamilyID=6c11f427-c900-4284-a1d7-19998a43ebd3

• KB4018115 Cumulative Update 18 for Exchange Server 2013
  https://support.microsoft.com/en-us/help/4022631/cumulative-update-18-for-exchange-server-2013
• Released: September 2017 Quarterly Exchange Updates
  https://blogs.technet.microsoft.com/exchange/2017/09/19/released-september-2017-quarterly-exchange-updates/ 
• KB4040755 New health monitoring mailbox for databases is created when Health Manager Service is restarted in Exchange Server 2013
  https://support.microsoft.com/en-us/help/4040755
• KB4040121 You receive a corrupted attachment if email is sent from Outlook that connects to Exchange Server in cache mode
  https://support.microsoft.com/en-us/help/4040121
• KB4040120 Synchronization may fail when you use the OAuth protocol for authorization through EAS in Exchange Server 2013
  https://support.microsoft.com/en-us/help/4040120

Security Update 6. Juli 2017

Außer der normalen CU-Reihe hat Microsoft ein Security Update veröffentlicht, welches für Exchange 2013 SP1 als auch Exchange 2013 CU 16 verfügbar ist. Das Update dürfte in Exchange 2013 CU17 daher schon enthalten sind.

Security Update For Exchange Server 2013 SP1 (KB4018588)
https://www.microsoft.com/de-DE/download/details.aspx?id=55590

Security Update For Exchange Server 2013 CU16 (KB4018588)
https://www.microsoft.com/de-DE/download/details.aspx?id=55589

Weitere Links:

• KB4018588 Hinweise zum Sicherheitsupdate für Microsoft Exchange: Dienstag, 11. Juli 2017
• 20170711 Informationen zur Bereitstellung von Sicherheitsupdates: Dienstag, 11. Juli 2017
  https://support.microsoft.com/de-de/help/20170711/security-update-deployment-information-july-11-2017
• CVE-2017-8559 | Microsoft Exchange Cross-Site Scripting Vulnerability
  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8559
• CVE-2017-8560 | Microsoft Exchange Cross-Site Scripting Vulnerability
  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8560
• CVE-2017-8521 | Scripting Engine Memory Corruption Vulnerability
  https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8521

Exchange 2013 CU17

Ende Jun 2017 hat Microsoft zusammen mit einem Update für Exchange 2016 ein CU veröffentlicht. Für Exchange 2010 und älter gibt es aber keine Updates mehr. Wie üblich ist auch dies eine "Vollinstallation". Sie sollten also keine vorherige Version installieren, sondern direkt mit dieser Version einsteigen. Achten Sie darauf, dass auch die Voraussetzungen, z.B. das passende .NET Framework, erfüllt sind.

Kumulatives Update 17 für Exchange Server 2013 (KB3197044) (1,6GB)
https://www.microsoft.com/de-DE/download/details.aspx?id=55519

Folgende Neuerungen sind enthalten:

• KB4024652 Repeated IMAP SEARCH BODY requests may not return newly delivered messages in Exchange Server
• KB4024651 The "MessageRetrievalMimeFormat" setting isn't honored for plain text-only email messages in IMAP in Exchange Server
• KB4024650 Emoji is displayed as question marks in iOS clients in an Exchange Server environment
• KB4024647 "The property is too long" error when you update the "Department" field of User mailbox in Exchange Server 2013
• KB4024646 "Insufficient access rights" error when you run setup.exe as member of "Delegated Setup" group in Exchange Server 2013

Exchange 2013 CU16

Am 20. März 2017 hat Microsoft zeitgleich zum Exchange 2016 CU5 auch das CU16 für Exchange 2013 released. Neben einigen Fixes ist der Wechsel auf das .NET Framework 4.6.2 der wesentliche Aspekt hierbei. Für dieses CU16 ist Net 4.6.2 eine zwingende Voraussetzung. Für CU15 war es noch optional. CU14 konnte noch nicht mit 4.6.2 genutzt werden. Damit haben wir wie mit Exchange 2016 den besonderen Fall, dass ein direktes Update auf CU16 niciht möglich ist. Sie müssen erst CU15 installieren und dann erst .NET 4.6.2 zu installieren.

Download Exchange 2013 CU16 (1,6GB )
https://www.microsoft.com/en-us/download/details.aspx?id=54931
Exchange UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=54933

Für die Installation habe ich speziell für Exchange 2016 einen Update-Guide geschrieben.

Ex2016 Update Checkliste

Dieser ist leicht abgewandelt aber auch für Exchange 2013 verwendbar.

• 4012112 Cumulative Update 16 for Exchange Server 2013
  https://support.microsoft.com/en-us/help/4012112/cumulative-update-16-for-exchange-server-2013
• KB4013606 Search fails on Exchange Server 2016 or Exchange Server 2013
• Exchange 2013 CU16 and Exchange 2016 CU5 .NET Framework Requirement
  https://blogs.technet.microsoft.com/rmilne/2017/03/27/exchange-2013-cu16-and-exchange-2016-cu5-net-framework-requirement/
• Exchange 2013 CU16 Released
  https://blogs.technet.microsoft.com/rmilne/2017/03/23/exchange-2013-cu16-released/

Exchange 2013 CU15

Während es für Exchange 2007 und 2010 am 12. Dez nur noch Zeitzonen-Updates gab, ist bei Exchange 2013 und erst recht bei Exchange 2016 die Entwicklung noch voll aktiv. Die wesentlichen Änderungen sind:

• Support für NET 4.6.2
  Auf der sicheren Seite sind sie, wenn Sie das Exchange Update zuerst installieren und dann .NET aktualisieren. Hinweis: Die Updates im März 2017 werden 4.6.2 sogar voraussetzen
• Windows Media Foundation statt Desktop Experience
  Bislang hat das Exchange Setup das komplette Desktop Experience Feature benötigt, was mehr Patche nach sich gezogen hat. Seit diesem Update reichen die Windows Media Foundation und Desktop Experience kann deinstalliert werden. Das Setup deinstalliert dies aber nicht. Hier müssen Sie manuell aktiv werden.
• Bugfix bei Öffentlichen Ordnern
  Ein Fehler in dem vorherigen CU führte dazu, dass nicht alle Inhalte in öffentlichen Ordner korrekt indexiert wurden (Siehe KB3202691). Dies ist nun wieder behoben. Allerdings müssen Sie die Public Folder Postfächer dazu einmal in eine andere Datenbank verschieben.

Die Tatsache, dass diese Liste de wichtigen Änderungen sowohl für Exchange 2013 als auch 2016 gilt, zeigt wie nahe die beiden Produkte noch miteinander verwoben und versandt sind.

Exchange 2013 SP3 CU15
https://www.microsoft.com/en-us/download/details.aspx?id=54451
UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=54454

• Released: December 2016 Quarterly Exchange Updates
  https://blogs.technet.microsoft.com/exchange/2016/12/13/released-december-2016-quarterly-exchange-updates/
• 3197044 Cumulative Update 15 for Exchange Server 2013
• KB 3198092 Update optimizes how HTML tags in an email message are evaluated in an Exchange Server 2013 environment
  KB 3198046 FIX: The UM mailbox policy is not honored when UM call answering rules setting is set to False in an Exchange Server 2013 environment
  KB 3195995 FIX: Event ID 4999 with MSExchangerepl.exe crash in Exchange Server 2013
  KB 3208886 Send As permission of a linked mailbox is granted to a User in the wrong forest in Exchange Server 2013
  KB 3188315 Messages are stuck in outbox when additional mailboxes are configured in Outlook on Exchange Server 2013
  KB 3202691 Public folders indexing doesn't work correctly after you apply latest cumulative updates for Exchange Server
  KB 3203039 PostalAddressIndex property isn't returning the correct value in Exchange Server 2013
  KB 3198043 Shadow OAB downloads don't complete in Exchange Server 2013
  KB 3208885 Microsoft.Exchange.Store.Worker.exe process crashes after mailbox is disabled in Exchange Server 2013
  KB 3201966 MSExchangeOWAAppPool application pool consumes excessive memory on restart in Exchange Server 2013
  KB 3209041 FIX: An ActiveSync device becomes unresponsive until the sync process is complete in an Exchange Server environment
  KB 3209013 FIX: The LegacyDN of a User is displayed incorrectly in the From field in the Sent Items folder on an ActiveSync device
  KB 3209018 FIX: Results exported through the eDiscovery PST Export Tool never finishes in an Exchange Server environment
  KB 3199519 Inconsistent search results when email body contains both English and non-English characters in Exchange Server 2013
  KB 3211326 "ConversionFailedException" error when emails are sent on the hour in Exchange Server 2013
  

Exchange 2013 CU14

Gerade mal 8 Tage nach dem Release eines Security Updates hat Microsoft das nächste CU veröffentlicht, welches alle anderen vorhergehenden Updates ersetzt.

• Released: September 2016 Quarterly Exchange Updates
  https://blogs.technet.microsoft.com/exchange/2016/09/20/released-september-2016-quarterly-exchange-updates/

Exchange 2013 CU14
http://www.microsoft.com/downloads/details.aspx?FamilyID=0429fd4f-190d-406b-8613-8794d4fd2589
Exchange Server 2013 CU14 UM Language Packs https://www.microsoft.com/en-us/download/details.aspx?id=53836

Achtung: Das CU14 enthält KEINE Schema Änderungen aber könnte RBAC-Rechte aktualisieren

• KB3177670 Cumulative Update 14 for Exchange Server 2013
• KB 3132513 "The Delegates settings were not saved correctly" when you try to add a User to Exchange Server 2013 from Microsoft Outlook
• KB 3172017 "NotFound Export failed with error type: 'NotFound'" error occurs when you perform an eDiscovery search in Exchange Server 2013
• KB 3176377 Links to access Exchange items in SharePoint eDiscovery search result fail with an HTTP error 500 in Exchange Server
• KB 3176540 OWA error reporting responds with a HTTP error 500 in OwaSerializationException
• KB 3176873 Can't create a new profile or connect to Exchange Server 2013 when an organization contains many address lists
• KB 3061079 RPC Client Access service crashes and Event 4999 is logged in Exchange Server 2013
• KB 3134918 An IRM-protected message sent to an external contact isn't returned in a search or discovery results when journaling is implemented in an Exchange Server 2013 environment
• KB 3190887 Upgrading Exchange Server causes the server to go offline unexpectedly

Exchange 2013 CU13 Security Update MS16-106

Die Sicherheitslücken in MS16-016 haben wohl Microsoft dazu gebracht, für alle aktuell noch gepflegten Exchange Versionen (2007,2010,2013 und 2016) ein Update außer der Reihe zu veröffentlichen. Es werden nur die Komponenten mit dem Update gefixt. Der Download ist also weit kleiner als eine Vollinstallation eines CU

Security Update For Exchange Server 2013 CU13 (KB3184736)
https://www.microsoft.com/en-US/download/details.aspx?id=53675

• MS16-016
  http://technet.microsoft.com/en-us/security/Bulletin/MS16-108

Exchange 2013 CU13

Viel Abstand war nun nicht zwischen dem Security Update und dem knapp eine Woche später folgendem CU13, welches eine Vollinstallation ist. Aber so kann es passieren, wenn die normale Entwicklungspfade kurzfristig von einem Sicherheitsupdate eingeholt werden. Das CU2 enthält auch das MS16-079 Security Update.

Download (1,6 GB) Server
https://www.microsoft.com/en-us/download/details.aspx?id=52967
Exchange Server 2013 CU13 UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=52965

Achtung:
Exchange 2013CU13 bringt neue RBAC Definitionen mit. Führen Sie als Enterprise Admin vorher ein "Setup /PrepareAD" durch, wenn die Exchange Administratoren keine Berechtigungen dazu haben.

• Unterstützung für .NET 4.6.1
  Beachten Sie aber erforderliche Hotfixes
  • Windows Server 2008/2008R2 – KB3146716
  • Windows Server 2012 – KB3146714
  • Windows Server 2012R2 – KB3146715
• SHA-2 Support für selbst erstellte Zertifikate
• Ein Bug bei der Migration von öffentlichen Ordnern wurde gefixt
  KB3161916 Data loss may occur during public folder migration to Exchange 2013, Exchange 2016, or Exchange Online
• Released: June 2016 Quarterly Exchange Updates
  https://blogs.technet.microsoft.com/exchange/2016/06/21/released-june-2016-quarterly-exchange-updates/ 
• 3135743 Cumulative Update 13 for Exchange Server 2013
• KB 3164701 Can't create a new send connector in Exchange Control Panel in Exchange Server 2013
• KB 3164700 Write scope in EAC on a role group reverts to default scope in Exchange Server 2013
• KB 3164359 Stop error and restart triggered by ServerOneCopyInternalMonitorForceReboot responder in Exchange Server 2013
• KB 3163186 "Repair Update" message after you send a meeting invitation to a distribution list in Exchange Server 2013
• KB 3163173 NDR after you accept or decline a meeting request in Exchange 2013
• KB 3163039 Email message body is garbled when Simplified Chinese characters are included on BCC line in an Exchange Server environment
• KB 3162964 Items are held unnecessarily in the DiscoveryHold folder in Exchange Server 2013
• KB 3162957 "Invalid search filter" error when you use the "UM Mailbox Policy" filter in Exchange Server 2013
• KB 3162934 Test-ExchangeSearch cmdlet fails without parameters or with the -MailboxDatabase parameter in Exchange Server 2013
• KB 3162933 Outlook client remains disconnected after the mailbox is migrated to Exchange Server 2013
• KB 3162772 Accepted or declined messages for a forwarded meeting are sent to the forwarder in Exchange Server 2013
• KB 3160935 Public folder forwarding rule doesn't work after migration to Exchange Server 2013
• KB 3150799 IMAP with NTLM fails if a User's UPN and primary SMTP address don't match in Exchange Server 2013
• KB 3150036 The EdgeTransport process crashes on an Exchange Server 2013 server that has the Edge Server role installed
• KB 3149767 "System.FormatException" error is logged in Event Viewer when Exchange Server 2013 runs on a French operating system
• KB 3142157 Exchange Server Health Management Worker process restarts frequently in Exchange Server 2013
• KB 3140102 OWA application pool crashes with KeyNotFound exception in Exchange Server 2013
• KB 3129946 Update to support the AutoReseed feature in a DAG environment that's BitLocker-enabled in Exchange Server 2013
• KB 3126723 Retention policy doesn't work on the In-Place Archive mailbox in Exchange Server
• KB 2661294 Email address policy doesn't generate addresses of recipients in Exchange Server 2010 or Exchange Server 2013

Security Update MS16-079

Eine Lücke im zugekauften Module "OutSideIn" von Oracle sorgt für eine Update-Welle für Exchange 2007 bis 2016 mit unterschiedlichen Patchständen.

Aktuell über Windows Update oder Update Catalog
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3150501
Die CAB-Datei können Sie entpacken und erhalten dann das MSP-File

• Microsoft Security Bulletin MS16-079 - Important
  https://technet.microsoft.com/library/security/MS16-079
• 3160339 MS16-079: Security Update for Microsoft Exchange: June 14, 2016 
• 3150501 MS16-079: Description of the security Update for Exchange Server 2016 and Exchange Server 2013: June 14, 2016

Exchange 2013 CU12

Parallel mit Update für Exchange 2007, 2010 und 2016 wurde das CU12 für Exchange 2013 released.

• 3108023 Cumulative Update 12 for Exchange Server 2013
• Released: March 2016 Quarterly Exchange Updates
  http://blogs.technet.com/b/exchange/archive/2016/03/15/released-march-2016-quarterly-exchange-updates.aspx

Achtung: Lesen Sie dem BLOG Artikel
Auf Windows 2012 kann ein .NET Update die Installation extrem verzögern.
Dieses Update ist noch nicht mit .NET 4.6.1 kompatibel
Diese Update enthält KEIN Schema Update aber RBAC Updates, die ggfls. vorab ausgeführt werden sollten
Die Powershell Execution Policy muss auf unrestricted stehen.

Download https://www.microsoft.com/en-us/download/details.aspx?id=51499  1,2 GB
UM Language Packs https://www.microsoft.com/en-us/download/details.aspx?id=51501  (120MB DE)

Im Gegensatz zu Exchange 2016 CU1 sind im Exchange 2013 CU12 deutlich mehr Fixes enthalten. Ob die alle schon in Exchange 20106 RTM drin sind ?

• KB 3143710 "Failed Search or Export" error occurs when an eDiscovery search in the Exchange Admin Center finishes
• KB 3138644 Messages are stuck in the Submission queue until NDRs are returned or the server is restarted
• KB 3137585 OAuth authentication fails in a proxy scenario between Exchange Server 2013 hybrid On-Premises and Office 365
• KB 3137581 An eDiscovery search of all mailboxes or some Distribution Groups fails when you use the Exchange Administration Center
• KB 3137390 "DeviceId cannot contain hyphens" warning occurs when you use the Exchange Management Shell or the Exchange Administration Center to remove the associations in Exchange Server
• KB 3137384 Error occurs when you remove an ActiveSync device in the Exchange Management Shell or from the Exchange Administration Center
• KB 3137383 CafeLocalProbe fails if the Health Mailbox UPN doesn’t match its Active Directory domain name
• KB 3137380 Both read receipts and Non-read receipts are generated when an email is read through IMAP or POP in Exchange Server 2013
• KB 3137377 MSExchange FrontEnd Transport service crashes when email messages are processed that contain a null "X-OriginatorOrg" message header
• KB 3136694 Calendar items are not synced correctly when you use Exchange ActiveSync on a mobile device
• KB 3136404 Searching by Furigana in Outlook's address book is unsuccessful in an Exchange Server 2013 environment
• KB 3135689 A custom SAP ODI URI is removed by ActiveSync from an email message in an Exchange Server environment
• KB 3135334 Cannot set Title in Exchange Admin Center (ECP) if it contains more than 64 characters
• KB 3135269 Event ID 4999 with MSExchangerepl.exe and MSExchangeDagMgmt.exe crash in Exchange Server 2013 environment
• KB 3135018 Cannot remove devices when the DeviceType property includes a forward slash
• KB 3134952 EdgeTransport.exe crashes when you view details of messages in the poison message queue
• KB 3134918 An IRM-protected message sent to an external contact isn't returned in a search or discovery results when journaling is implemented in an Exchange Server 2013 environment
• KB 3134894 The "Search-Mailbox" cmdlet together with the "Attachment" property keyword lists all items that contain the query string of "attachment"
• KB 3128706 HttpProxy overloads a downlevel Client Access Server in an Exchange Server 2013 co-existence environment
• KB3124248 Managed Availability responders fail because of invalid WindowsService names in an Exchange Server 2013 environment
• KB 3124242 Mailbox quota is not validated during migration to Exchange Server 2013 or Exchange Server 2016
• KB 3124064 Event ID 1009 is logged and no Health Manager alerts on failed content indexes during migration in Exchange Server 2013
• KB 3118902 Resource Booking Assistant doesn't Update the subject of a recurring meeting in Exchange Server 2013
• KB 3109539 Exchange Management Shell doesn't return the correct number of Exchange Server 2013 Enterprise CALs license
• KB 3108415 Logon for POP3 client disconnects randomly in an Exchange Server 2013 environment
• KB 3107989 A typical User could potentially change another User's inbox rules in an Exchange Server environment
• KB 3106236 The "Export-PublicFolderStatistics.ps1" cmdlet exports Russian (Cyrillic) characters as question marks
• KB 3098561 "Error executing child request for /owa/auth/errorFE.aspx" when you browse to /ECP in Exchange Server 2013
• KB 2992220 The time of an iCalendar meeting with recurrence is displayed incorrectly in Exchange Server 2013

Security Update

Am 8. Januar hat Microsoft ein Security Update für SP1, CU10 und CU11 heraus gebracht. Wer also CU9 und älter einsetzt

Security Update für Exchange Server 2013 SP1 (KB3124557)
https://www.microsoft.com/en-us/download/details.aspx?id=50424

Security Update für Exchange Server 2013 CU10 (KB3124557
https://www.microsoft.com/en-us/download/details.aspx?id=50423

Security Update für Exchange Server 2013 CU11 (KB3124557)
https://www.microsoft.com/en-us/download/details.aspx?id=50425

• 3124557 MS16-010: Security Update in Microsoft Exchange Server to address spoofing: January 12, 2016
• Security Update in Microsoft Exchange Server to Address Spoofing (3124557)
  https://technet.microsoft.com/library/security/MS16-010

Exchange 2013 CU11

Das erste Update nach dem Release von Exchange 2016 enthält eine ganze Menge an Updates und Bugfixes.

Released: December 2015 Quarterly Exchange Updates
http://blogs.technet.com/b/exchange/archive/2015/12/15/released-december-2015-quarterly-exchange-updates.aspx

Exchange Server 2013 Cumulative Update 11 (KB3099522)
https://www.microsoft.com/en-us/download/details.aspx?id=50366
http://www.microsoft.com/downloads/details.aspx?FamilyID=409c9996-a17d-4494-998f-c5e0f1ef3400

UM Language Pack
https://www.microsoft.com/en-us/download/details.aspx?id=50365

Ganz besonders möchte ich auf folgendes Update hinweisen:

• 3105760 Exchange Server 2016 mailbox server can be added to an Exchange Server 2013 DAG

In der Beta war es noch möglich, einen Exchange 2016 Server in eine Exchange 2013 DAG zu addieren und dann die Datenbanken über Replikation quasi umzuziehen anstatt eine neue DAG aufzubauen und Postfach für Postfach zu migrieren. Das Feature wird Microsoft in Office 365 natürlich besonders helfen.

Und dann gibt es natürlich die sonstigen nicht unkritischen Updates.

• 2968265 OWA cannot be accessed after you upgrade Exchange Server 2013
• 3048372 Exchange Calendar items are shifted incorrectly when some Windows DST Updates are applied
• 3068470 "Something went wrong" error in Outlook Web App and ECP in Exchange Server 2013
• 3076376 IMAP clients that use Kerberos authentication protocol keep being prompted für credentials in Exchange Server 2013
• 3088487 High IO write on storage in an Exchange Server 2013 environment that has Cumulative Update 8 installed
• 3088911 Inline attachments are sent as traditional when you smart forward an HTML email in an iOS device in Exchange Server 2013
• 3093866 The number of search results can't be more than 250 when you search email messages in Exchange Server 2013
• 3100519 Creating a meeting request outside the boundary will cause RBA not to process meetings
• 3105389 WSMan-InvalidShellID error occurs when you create remote PowerShell sessions in an Exchange Server 2013 environment
• 3105654 Cannot edit Inbox rules in Outlook Web App by using Chrome
• 3105685 MailboxDeliveryAvailability has been deprecated
• 3105690 Outlook clients that use MAPI over HTTP to connect to Microsoft Exchange Server 2013 mailboxes are intermittently disconnected
• 3106421 Very long URLs in an email message don't open in OWA in Internet Explorer
• 3106475 POP3 and IMAP4 are not supported to use TLS protocol 1.1 or 1.2 in Exchange Server 2013
• 3106613 Outlook Web Access shows partial contacts in an Exchange Server 2013 environment
• 3107174 Pages that use the People pop-up URL do not load correctly in Google Chrome when you access the Outlook Web App or the Exchange Server Administration Center
• 3107205 "The Custom error module does not recognize this error" error occurs when OWA web parts fail to load
• 3107291 An exception occurs when you run the Invoke-MonitoringProbe cmdlets to set probes für IMAP and POP3 in Exchange Server 2013
• 3107337 Migration of a mailbox from Exchange Server 2007 to Exchange Server 2013 is very slow
• 3107379 Parsing an attached document in an email message causes noderunner.exe to consume lots of CPU time in Exchange Server 2013
• 3107781 Exchange ActiveSync Device cannot keep messages für 30 days
• 3108011 Error message occurs in Outlook after you change a single instance of a recurring meeting by using an iOS device
• 3108345 "The app couldn't be downloaded" error occurs when you try to install an application from the Intranet in Exchange Server 2013
• 3120594 An appointment in the Outlook calendar does not Update to a meeting when attendees are added

Exchange 2013 CU10 (15.0.1130.7)

Am 14. Sep 2015 hat Microsoft zeitgleich zum Exchange 2010 Rollup 11 (KB3078674 ) ein weiteres Update für Exchange 2013 released. Der 3-Monats-Zyklus wird damit wieder einmal fast auf den Tag genau eingehalten. Auch dieses mal ist es wieder eine 1.6 Gigabyte Vollinstallation.

Cumulative Update 10 für Exchange Server 2013 (KB3078678)
http://www.microsoft.com/en-us/download/details.aspx?id=49044

UM Language Packs
http://www.microsoft.com/en-us/download/details.aspx?id=49045

Diese Version ist zugleich Mindestvoraussetzung für Exchange 2016:

The Updates released today are important pre-requisites für customers with existing Exchange deployments who will deploy Exchange Server 2016. Cumulative Update 10 is the minimum version of Exchange Server 2013 which will co-exist with Exchange Server 2016. Exchange Server 2010 Service Pack 3 Update Rollup 11, is the minimum version of Exchange Server 2010 which will be supported in a coexistence deployment with Exchange Server 2016. No earlier versions of Exchange will be supported co-existing with Exchange Server 2016.
Quelle: Released: September 2015 Quarterly Exchange Updates
http://blogs.technet.com/b/exchange/archive/2015/09/15/released-september-2015-quarterly-exchange-updates.aspx

• Released: September 2015 Quarterly Exchange Updates
  http://blogs.technet.com/b/exchange/archive/2015/09/15/released-september-2015-quarterly-exchange-updates.aspx
• KB 3087126 MS15-103: Description of the security Update für Exchange Server: September 8, 2015

Die komplette Liste der Updates befindet sich im KB-Artikel 3078678. Auf den ersten Blick sind abgesehen von MS12-103 keine weiteren "kritischen" Fehler gelöst aber

Exchange 2013 CU9 (15.0.1104.5)

Am 16. Juni, wenige Tage nach dem Update MS15-064 für CU8 wurde mit dem Exchange 2013 CU9 das nächste "große" Updatepaket von Microsoft bereit gestellt.

Cumulative Update 9 für Exchange Server 2013 (KB3049849)
http://www.microsoft.com/en-us/download/details.aspx?id=47679

Exchange Server 2013 CU9 UM Language Packs
http://www.microsoft.com/en-us/download/details.aspx?id=47678

• Released: June 2015 Exchange Cumulative Update and Update Rollups
  http://blogs.technet.com/b/exchange/archive/2015/06/16/released-june-2015-exchange-cumulative-update-and-update-rollups.aspx
• What’s New in Exchange Server 2013
  http://technet.microsoft.com/library/jj150540(v=exchg.150).aspx
• Release Notes
  http://technet.microsoft.com/library/jj150489(v=exchg.150).aspx
• 3049849
• 981474 You receive error 1603 when you try to install the Exchange Server 2010 RU1
  FC: PowerShell Execution Policy muss auf "unresticted stehen"
• Exchange 2013 CU9 appears alongside roll-up Updates für Exchange 2007 SP3 and Exchange 2010 SP3
  http://windowsitpro.com/blog/exchange-2013-cu9-appears-alongside-roll-Updates-exchange-2007-sp3-and-exchange-2010-sp3

Die Liste der Bugs ist in folgenden KB-Artikeln weiter beschrieben.

• KB2023946 Web beacons can still be downloaded
• KB2988660 RBAC role assignment with custom write scope can fail
• KB3003978 Outlook messages can be displayed in an incorrect format
• KB3006849 Kerberos authentication not supported für IMAP4 clients
• KB3009631 Advanced find doesn’t work against the Sent Items folder
• KB3032153 Recurring events not adjusted für ActiveSync devices
• KB3049771 OWA login page takes longer than expected to time out
• KB3050825 Edge Transport crashes when PrioryQueueEnabled is set
• KB3050877 Sent As mail not saved in delegate mailbox
• KB3056045 Get-Contact doesn’t work für contacts from consumer domains
• KB3056817 Adding the “Let me select the message” feature für OWA
• KB3060825 Delivery service crashes when delivering message to a specific User
• KB3064393 Exchange doesn’t support IMAP4 ID and MOVE
• KB3068681 upgrading server causes RPCClientAccess to set EncryptionRequired to True even if set to false.

Exchange 2013 CU8 (15.00.1076.009)

Das nächste Update für Exchange 2013 ist draußen. Schon im Vorfeld wurde mächtig von Microsoft selbst gebloggt:

• OWA Forms Based Auth Logoff Changes in Exchange 2013 Cumulative Update 8 – And Good News für TMG Customers
  http://blogs.technet.com/b/exchange/archive/2015/01/12/owa-forms-based-auth-logoff-changes-in-exchange-2013-cumulative-update-8-and-good-news-for-tmg-customers.aspx
• 3035227 Android devices can't set up an Exchange account after you install Exchange Server 2010 SP3 RU9 or Exchange Server 2013 CU8
• 3030080 Cumulative Update 8 für Exchange Server 2013
• Announcing Cumulative Update 8 für Exchange Server 2013
  http://blogs.technet.com/b/exchange/archive/2015/03/17/announcing-cumulative-update-8-for-exchange-server-2013.aspx 

Über 19 KB-Artikel verweisen auf Updates und Fixes.

Cumulative Update 8 für Exchange Server 2013 (KB3030080)
http://www.microsoft.com/en-us/download/details.aspx?id=46373

Exchange Server 2013 CU8 UM Language Packs
http://www.microsoft.com/en-us/download/details.aspx?id=46375

Exchange 2013 CU7 (15.0.1044.25)

Anfang Dezember hat Microsoft das hoffentlich letzt Updates für Exchange 2013 im Jahr 2014 heraus gebracht. Das CU7 ist wie eine Vollinstallation mit 1,6 GB. Wichtigstes Update ist ein Security Update

• MS14-075 Vulnerabilities in Microsoft Exchange Server Could Allow Elevation of Privilege (3009712)
  https://technet.microsoft.com/library/security/ms14-075
• 2986485 Cumulative Update 7 für Exchange Server 2013
• 3009712 MS14-075: Vulnerabilities in Microsoft Exchange Server could allow elevation of privilege: December 9, 2014

Cumulative Update 7 für Exchange Server 2013 (KB2986485)
http://www.microsoft.com/en-US/download/details.aspx?id=45221
UM Language Packs http://www.microsoft.com/en-us/download/details.aspx?id=45215 

Zeitgleich gibt es auch ein Exchange 2007 SP3 RU15 und Exchange 2010 SP3 uR8 um die Security-Lücke zu fixen. Aber auch die allgemeine Fixliste von Exchange 2013 ist recht umfangreich:

• 3004235 Exchange Server meetings in Russian time zones as well as names of time zones are incorrect after October 26, 2014
• 3012655 New-MailboxImportRequest causes unreadable characters when you import an ANSI format .pst file of Russian language
• 3012652 CalendarProcessing cmdlet does not generate delegate permissions to universal security groups in Exchange Server 2013
• 3009631 Advanced Find against the Sent Items folder in Outlook returns no result in Exchange Server 2013
• 3009612 Outlook Web App shows organization details on the contact card beyond the scope of User ABP in Exchange Server 2013
• 3009291 Shared mailbox cannot be opened in Outlook in an Exchange Server 2013 environment that has multiple domains
• 3008453 Cannot edit or delete forms from the organizational forms library in Exchange Server 2013
• 3008438 User who is trying to Log on to Exchange Admin Console is logged in to OWA instead
• 3006672 Move request fails if the IsExcludedFromProvisioning option is true in Exchange Server 2013
• 3005391 Exchange Server 2013 Cumulative Update 5 breaks free|busy lookup from Exchange Online to Exchange Server 2007
• 3003986 RejectMessageReasonText in transport rule appears in the User section of a DSN in Exchange Server 2013
• 3001217 TLS 1.0 is hardcoded für SMTP traffic encryption in Exchange Server 2013
• 3001037 Distribution group cannot send email messages to a mail enabled public folder in an Exchange Server 2013 environment
• 2999031 A cross-forest mailbox move from Exchange Server 2007 to Exchange Server 2013 finishes with CompletedWithWarnings status
• 2998144 New-MoveRequest cmdlet with RemoteLegacy parameter cannot perform a cross-forest mailbox move
• 2988553 Add-ADPermission and Remove-ADPermission can be run outside the management scope in Exchange Server 2013
• 2981538 Exchange Control Panel crashes when you proxy from Exchange 2013 to Exchange 2010
• 3014051 Cannot migrate mailboxes in a multiple domains environment in Exchange Server 2013
• 3012986 ContentIndexRetryQueueSize value für a passive node never drops to zero in Exchange Server 2013 Cumulative Update 6
• 3004011 Sound alerts do not work in Outlook Web App when new email or calendar notification is received in Exchange Server 2013
• 3003580 Event ID 4999 and 4401 when the Microsoft Exchange Replication service crashes in Exchange Server 2013
• 3003518 "550 5.7.1" NDR when you send messages to external recipients in an Exchange Server 2013 hybrid environment
• 3003068 Cannot see online archive mailbox after you upgrade to Exchange Server 2013 Cumulative Update 6
• 3000944 Subfolders under the Deleted Items folder are not visible in Outlook in an Exchange Server 2013 environment
• 2997847 You cannot route ActiveSync traffic to Exchange 2007 mailboxes after you upgrade to Exchange 2013 CU6
• 2997355 Exchange Online mailboxes cannot be managed by using EAC after you deploy Exchange Server 2013 CU6
• 2997209 Exchange Server 2013 databases unexpectedly fail over in a co-existence environment with Exchange Server 2007
• 2995263 OAB cannot be rebuilt if the .flt file is larger than two GB in Exchange Server 2013
• 2994216 PublicFolderMoveRequest deletes all read or unread state in target mailbox für each User in Exchange Server 2013
• 2993871 Resource Booking Assistant crashes after you upgrade to Exchange Server 2013 Cumulative Update 5
• 2983216 Category setting on an item in Outlook jumps the selection to the top of the list in an Exchange Server 2013 environment
• 2931223 MAPI virtual directory is missing from Default Web Site node

Da kann man schon mal überlegen vor Weihnachten eine Patchrunde einzulegen.

Exchange 2013 CU6

Am 26.August wurde quasi Zeitgleich mit Exchange 2007 und 2010 ein neues Update für Exchange 2013 released. Es ist wieder eine 1,6 GB große Vollinstallation und es gibt auch neue UM-Language Packs

Download Cumulative Update 6 (1,6GB)
http://www.microsoft.com/en-US/download/details.aspx?id=44022
UM LangPack http://www.microsoft.com/en-us/download/details.aspx?id=44025 

Die Fixliste ist deutlich umfangreicher als bei Exchange 2010 und erst recht gegenüber Exchange 2007.

Denken Sie daran vorher erst wieder die UM-Language Packs zu entfernen, dann das Update einzuspielen und danach die neuen passsenden UM Language Packs wieder zu installieren:

Setup.com /AddUmLanguagePack:Name_des_UM_Sprachpakets /s: d:\MeinLokalerOrdner

• 2961810 Cumulative Update 6 für Exchange Server 2013
• Public Folder Updates in Exchange 2013 CU6: Improving Scale and More.
  http://blogs.technet.com/b/exchange/archive/2014/08/26/public-folder-Updates-in-cu6-improving-scale-and-more.aspx

Exchange 2013 CU5

Auch das CU5 ist eine 1,5 GB große Vollinstallation. Die korrigierten Bugs sind speziell beim CRM und Ex2007 Migrationen relevant. Aber auch einige "Schönheitsfehler" haben es in das CU5 geschafft.

• 2936880 Cumulative Update 5 für Exchange Server 2013

Cumulative Update 5 für Exchange Server 2013 (KB2936880)
http://www.microsoft.com/en-us/download/details.aspx?id=43103 

Exchange 2013 SP1 (CU4)

Rechtzeitig vor dem Karnevalswochenende veröffentlicht Microsoft eine Menge Updates für die verschiedenen Exchange Versionen. Die einen Narren sind auf der Straße und die anderen dann im Serverraum. Hier die Änderungen

• Unterstützung für Windows 2012R2
• Neu: SMIME-Unterstützung in OWA
• Neu: Commandlet Logging, d.h. Anzeige der von Administratoren ausgeführten PowerShell Befehle
• Neu: Es gibt wieder eine Edge-Rolle
• Neu: MAPI/HTTP (statt RPC/HTTP)
• Fix: Zugriff auf öffentliche Ordner seit RU3
  2918951 Users cannot access public folders after you upgrade to Exchange Server 2013 Cumulative Update 3

Und noch einige andere Bugs sind sicher auch mit gefixt worden.

Release Notes für Exchange 2013
http://technet.microsoft.com/en-us/library/jj150489(v=exchg.150).aspx

Das Exchange 2013 SP1 fixt insbesondere das Problem von Windows XP auf öffentlicher Ordner zuzugreifen.
2918951 Users cannot access public folders after you upgrade to Exchange Server 2013 Cumulative Update 3

Microsoft Exchange Server 2013 Service Pack 1 (SP1)
http://www.microsoft.com/en-us/download/details.aspx?id=41994
Wieder eine Vollinstallation mit allen Sprachen.

Achtung
Ein Update ist erforderlich, wenn Sie 3rd Party Transport Agenten nutzen
2938053 Third-party transport agents cannot be loaded correctly in Exchange Server 2013

• 2926248 Description of Exchange Server 2013 Service Pack 1
• 2938053 Third-party transport agents cannot be loaded correctly in Exchange Server 2013
• Exchange Support für Windows Server 2012 R2
  http://blogs.technet.com/b/rmilne/archive/2013/09/17/exchange-support-for-windows-server-2012-r2.aspx 
• Released: Exchange Server 2013 Service Pack 1
  http://blogs.technet.com/b/exchange/archive/2014/02/25/exchange-server-2013-service-pack-1-available.aspx 
• Exchange Server 2013 Service Pack 1 Coming in Early 2014
  http://blogs.technet.com/b/exchange/archive/2013/11/20/exchange-server-2013-service-pack-1-coming-in-early-2014.aspx

Exchange 2013 und MS13-105 für CU2 und CU3

Eine kritische Lücke in einer Komponente ist für Exchange 2013 ein Risiko. Ein böser Absender kann eine präparierte Mail versenden, die jemand in OWA öffnen und über die Vorschau den Exchange Server gefährden kann. Da CU3 erst sehr "frisch" ist, hat Microsoft dieses Update sowohl für CU2 als auch CU3 veröffentlicht. Allerdings hat es im Gegensatz zu Exchange 2010 und 2007 keine neue "CU-Nummer bekommen. Das dürfte damit zusammen hängen, dass es wirklich nur ein "Update" der relevanten Dateien beinhaltet und keine "Vollinstallation" ist.

• KB2880833 Security issue that is described in Security Bulletin MS13-105 is resolved by an Exchange Server Update
• Microsoft Security Bulletin MS13-105 - Critical Vulnerabilities in Microsoft Exchange Server Could Allow Remote Code Execution (2915705)
  http://technet.microsoft.com/en-us/security/bulletin/MS13-105

Security Update für Exchange Server 2013 CU2 (KB2880833)
http://www.microsoft.com/en-us/download/details.aspx?id=41487

Security Update für Exchange Server 2013 CU3 (KB2880833)
http://www.microsoft.com/en-us/download/details.aspx?id=41526

Exchange 2013 CU3

Microsoft hat sich diesmal etwas länger Zeit gelassen aber die Probleme mit dem Internet Explorer 11 und "OWA Premium" dürften mit dazu beigetragen haben, das CU3 noch im November zu veröffentlichen. Auch ein Problem beim Thema Backup wird gefixt aber auch neue Funktionen sind dazu gekommen

• Nutzung von Online Rights Management Server für On-Prem Umgebungen
• Verbesserte Gruppenverwaltung in der ECP
• Verbessertes Admin Audit Logging
• Windows 8.1/IE11 sind nicht mehr auf OWA Light beschränkt.

Weitere Informationen finden Sie auf:

• Released: Exchange Server 2013 Cumulative Update 3
  http://blogs.technet.com/b/exchange/archive/2013/11/25/released-exchange-server-2013-cumulative-update-3.aspx
• 2892464 Description of Cumulative Update 3 für Exchange Server 2013
  Etwas längere Liste mit sonstigen nun gelösten Problemen.

Aber es gibt auch erste Meldungen über "Probleme"

• 2911802 PublicFolders health set is "Unhealthy" after you install Exchange Server 2013 Cumulative Update 3
• WinXP Clients kommen nicht auf öffentliche Ordner (Bug ist Bestätigt:)
  Dieses Problem ist "bestätigt" und soll im nächsten Update gefixt sein.
  http://blog.jasonsherry.net/2013/11/25/exchange-2010-sp3-ru3-2013-cu3-released/
• Ansicht Kategorien ändert keine Ansicht mehr (Bug ist Bestätigt:)
  Sobald Sie Mails in der Ansicht "nach Kategorie" anzeigen lassen, wird die Anzeige nicht mehr aktualisiert, d-h- neue Mails erscheinen nicht mehr etc.
  http://blogs.technet.com/b/exchange/archive/2013/11/25/released-update-rollup-3-for-exchange-2010-service-pack-3.aspx

Man kann ein CU3 nicht „deinstallieren“, das kommt einer Deinstallation des Exchange Servers gleich.

ACHTUNG
RU3 macht eine Schemaerweiterung. Eine Verteilung per "Windows Update" kann dies nicht leisten. Sie sollten als manuell das Update herunterladen und das Schema erweitern oder zumindest auf dem ersten CAS-Server das Setup als Schema Admin ausführen.
Weiterhin nutzt das Setup wohl PowerShell und es kann zu Problemen kommen, wenn die Execution-Policy nicht auf "unrestricted" steht

Cumulative Update 3 für Exchange Server 2013 (KB2892464) (1,5GB !!)
http://www.microsoft.com/en-us/download/details.aspx?id=41175

Exchange Server 2013 CU3 UM Language Packs
http://www.microsoft.com/en-us/download/details.aspx?id=41176 

MS13-061 Exchange 2013 Security Update

Am 13. August hat Microsoft mit dem Windows Updates Zyklus auch ein Update für Exchange 2013 veröffentlicht, welches leider den Indexdienst von Exchange 2013 stört.

• MS13-061 Security Bulletin
  http://technet.microsoft.com/en-us/security/Bulletin/MS13-061
• Exchange 2013 Security Update MS13-061 Status Update
  http://blogs.technet.com/b/exchange/archive/2013/08/14/exchange-2013-security-update-ms13-061-status-update.aspx
• 2879739 Update 2874216 breaks the content index in Exchange Server 2013

Der KB-Artikel 2879739 beschreibt, wie Sie die Funktion wieder herstellen.

Exchange 2013 CU2

Leider ist es schon wieder erforderlich, das CU2 erneut zu veröffentlichen. Ein Fehler mit öffentlichen Ordner Rechten hat Microsoft dazu gebracht, das CU2 verändert erneut zu veröffentlichen
http://blogs.technet.com/b/exchange/archive/2013/07/29/now-available-updated-release-of-exchange-2013-rtm-cu2.aspx.

Am 9. Jul wurde ein Quartal nach dem CU1 das CU2 released. Microsoft scheint also seine 3-monatige Updatezyklen beizubehalten. Wie üblich gib es einige neue oder verbesserte Funktion und viele dokumentierte und weniger dokumentierte Fixes. Und hoffentlich weniger neue Bugs als CU1 gebracht hatte.

• 100 Datenbanken pro Server (statt 50)
  Auf Exchange Enterprise Servern können nun wieder wie bei Exchange 2010 bis zu 100 Postfachdatenbanken anglegt werden
• OWA-Redirection
  Wenn ein Client per OWA auf dem falschen CAS landet, dann kann Exchange 2013 CU2 den Client nun "still" auf den richtigen CAS weiter leiten.
• Managed Availibility
  Neue Zeiten für diverse Recover-Aktionen, die mittlerweile pro Gruppe und nicht mehr pro Server wirken

Und einige andere Dinge. Mehr Details gibt es im Exchange TeamBlog und den Release Notes, die Sie unbedingt vorher lesen sollten:

• Released: Exchange Server 2013 RTM Cumulative Update 2
  http://blogs.technet.com/b/exchange/archive/2013/07/09/released-exchange-server-2013-rtm-cumulative-update-2.aspx
• 2859928 Description of Cumulative Update 2 für Exchange Server 2013
  http://support.microsoft.com/kb/2859928

Cumulative Update 2 für Exchange Server 2013 (KB2859928)
http://www.microsoft.com/en-us/download/details.aspx?id=39609 (1,4 GB)

Achtung:
Outlook 2007/2010 können mit Exchange 2013 RU2 vielleicht nicht mehr das OAB herunter laden. Es steht gemeinerweise sogar in den Release Notes drin.

Outlook 2007 and Outlook 2010 clients may be unable to download the Offline Address Book. If the Offline Address Book (OAB) internal URL isn’t accessible from the Internet, Outlook 2007 and Outlook 2010 clients may be unable to download the OAB. To work around this issue für Outlook 2007 and Outlook 2010 clients, make the OAB internal URL accessible from the Internet. Outlook 2013 isn’t affected by this issue.“
http://technet.microsoft.com/en-us/library/jj150489(v=exchg.150).aspx

Das erinnert mich ein bisschen an die Probleme bei der Verbindung von zwei CAS-Servern zwecks Exchange 2007 Kalender Federation. Hier hat der CAS allerdings die InternalURL genutzt, was erst in einem späteren Update des Servers gefixt wurde. Hier muss aber eine Änderung der Autodiscover-Antwort ja von den älteren Clients falsch interpretiert werden-

Exchange 2013 CU1

Nach einer kurzen Verzögerung wurde das CU1 doch noch am 2 April released. Es ist, wie schon früher angekündigt, ein 1,3 GB großes "Vollpaket", mit dem eine bestehende Installation aktualisiert oder neu installiert werden kann. Am interessantesten ist wohl, dass damit nun endlich auch die Migration von Exchange 2010 nach Exchange 2013 erfolgen kann, zumindest sofern man schon Exchange 2010 SP3 installiert hat.

• Released: Exchange Server 2013 RTM Cumulative Update 1
  http://blogs.technet.com/b/exchange/archive/2013/04/02/released-exchange-server-2013-rtm-cumulative-update-1.aspx
• Release notes
  http://technet.microsoft.com/en-us/library/jj150489(v=exchg.150).aspx
• 2816900 Description of Cumulative Update 1 für Exchange Server 2013
• Exchange 2013 Help
  http://technet.microsoft.com/en-us/library/bb124558%28v=exchg.150%29.aspx
• Upgrade von Exchange 2013 auf das neueste kumulative Update (CU1)
  http://technet.microsoft.com/de-de/library/jj983803(v=exchg.150).aspx

Exchange 2013CU1
http://www.microsoft.com/en-us/download/details.aspx?id=38176
Sie müssen die knapp 1,4GB nur einmal herunterladen. Die Sprachauswahl ändert nur die Anzeige der Webseite aber die Downloaddatei ist gleich.

Microsoft Exchange Server 2013 Help
http://www.microsoft.com/en-us/download/details.aspx?id=35395

Neben vielen kleinen Verbesserungen wurden auch einige wichtige Funktionen eingebaut, z.B.

• Adress book Polices
  Diese sind erst mit Exchange 2010 SP2 überhaupt wieder in das Produkt gekommen und haben es erst mit dem CU auch in Exchange 2013 geschafft. Nun können Sie also auch Umgebungen migrieren, in denen Sie die Sichtbarkeit der Adressen separiert haben.
• Gruppenverwaltung durch Gruppen
  In Exchange 2007 und früher war es möglich, die Berechtigung zur Verwaltung von Gruppen an Gruppen zu delegieren. In Exchange 2010 und RBAC war dies nicht möglich. Es musste ein oder mehrere Manager als User direkt zugewiesen werden. Seit 2013CU1 können nun wieder Gruppen als "berechtigte Objekte" addiert werden

Eine vollständige Liste der Erweiterungen finden Sie in den Release Notes und u.a. http://blogs.technet.com/b/exchange/archive/2013/04/02/released-exchange-server-2013-rtm-cumulative-update-1.aspx

Weitere Links

Microsoft Consultant Exchange & Skype for Business (m/w)
Kommen Sie zu Net at Work. Wir haben spannende Projekte bei innovativen Kunden. Unser Team arbeitet kollegial und kooperativ – ständiger Austausch und Weiterbildung sind bei uns Standard.
https://www.netatwork.de/unternehmen/karriere/

• Service Pack
• 2938053 Third-party transport agents cannot be loaded correctly in Exchange Server 2013
• High Availability Changes in Exchange Server 2013 Cumulative Update 1
  http://blogs.technet.com/b/scottschnoll/archive/2013/04/02/high-availability-changes-in-exchange-server-2013-cumulative-update-1.aspx