1813566

Microsoft zieht fehlerhaftes Exchange-Update zurück

15.08.2013 | 14:57 Uhr |

Das beim Patch Day am Dienstag veröffentlichte Sicherheits-Update für Exchange 2013 verursacht gravierende Probleme und wird daher einstweilen nicht weiter verteilt. Exchange 2007 und 2010 sind nicht betroffen.

Beim Patch Day am 13. August  hat Microsoft unter anderem Sicherheits-Updates für Exchange 2007, 2010 und 2013 bereit gestellt, die als kritisch eingestufte Sicherheitslücken schließen sollen. Doch bereits einige Stunden nach der Veröffentlichung sind Fehler im Update für Exchange 2013 offenbar geworden. Der Suchdienst für Mailboxen wird umbenannt und der Inhaltsindex funktioniert nicht mehr. Microsoft hat daher die Verteilung des Updates für Exchange 2013 vorläufig eingestellt. Exchange 2007 und 2010 betreffen diese Probleme nicht.

Wie Ross Smith im Exchange Blog einräumen muss, ist Microsofts Qualitätssicherung das das fragliche Update durch die Maschen geschlüpft – es wurde vor der Veröffentlichung nicht wie sonst üblich ausgiebig getestet. Wer das Sicherheits-Update 2874216 für Exchange bereits installiert hat, soll der Anleitung im KB-Artikel 2879739 folgen, um wieder eine funktionierende Exchange-Installationen zu erhalten. In dem Artikel sind zwei dazu nötige Registry-Änderungen beschrieben.

Wie Problem entsteht, beschreibt Ross Smith so: nach der ursprünglichen Exchange-Installation (.msi-Installation) werden in einem weiteren Konfigurationsschritt Registry-Einträge vorgenommen und der Dienstname wird verändert. Bei der fehlerhaften Patch-Installation (.msp) werden die Werte der Registry-Einträge sowie der Dienstname auf die Ursprungseinstellungen unmittelbar nach der Erstinstallation zurück gesetzt. Somit läuft nicht mehr der Dienst für die vormals funktionierende Exchange-Installation, sondern ein Dienst mit einem anderen Namen ("Host-Controller-Dienst für Exchange").

Die mit dem Security Bulletin MS13-061 adressierten Schwachstellen gehen auf eine durch Microsoft lizenzierte, für Exchange angepasste Fassung des Datenkonverters Oracle Outside In zurück. Oracle hat bereits vor einem Jahr Sicherheitsmeldungen zu diesen Lücken veröffentlicht. Microsoft setzt die Fehlerbeseitigung seitdem schrittweise um.

0 Kommentare zu diesem Artikel
1813566