Seit 10. Februar hat Microsoft ein Sicherheitsupdate für Exchange Server bereitgestellt, welches jeder Exchange 2000, Exchange 2003 und Exchange 2007 Betreiber so rasch als möglich einspielen sollte. Betroffen sind davon natürlich auch alle SBS Versionen, die ja bekanntlich auch Exchange enthalten.

image

Der Fix behebt zwei Sicherheitslücken. Die erste erlaubt das Ausführen von beliebigem Code mit den Rechten des Exchange Servers. Besonders gefährlich deshalb, weil der Angreifer nur eine E-Mail im RTF Format mit dem schädlichen Code an den Exchange Server versenden muss (winmail.dat). Da viele Exchange Server ja von außen erreichbar sind, ist es demnach besonders wichtig, hier so rasch als möglich den Patch einzuspielen (unser WSUS hat ihn bereits brav ausgerollt). Die zweite Sicherheitslücke betrifft die Möglichkeit einer DOS-Attacke über ein speziell angefertigtes MAPI-Kommando.

Hier der Link (in Englisch).

Wer das Update nicht über einen WSUS bekommt, hier der Link zu den jeweiligen Update Seiten:

Microsoft Exchange 2000 Server Service Pack 3 with the Update Rollup of August 2004 (KB959897)

Microsoft Exchange Server 2003 Service Pack 2 (KB959897)

Microsoft Exchange Server 2007 Service Pack 1 (KB959241)

Bitte einspielen!

Beitrag von Martina Grom