如何將Exchange 2010 CU15更新到CU26 - 解決CVE安全漏洞

第一部分：CU26解決的問題

微軟的 Exchange 先前被爆出存在×××F漏洞，漏洞編號為：CVE-2018-8581。此 CVE 可造成以下兩個***方案：

***方案一：***者利用此漏洞，在擁有目標網絡一個郵箱權限的情況下接管網絡內任何人的收件箱，造成嚴重的信息泄露。

***方案二：***者可利用此漏洞直接控制目標網絡內的Windows 域進而控制域內所有 Windows 機器。

微軟官方數月前發布了緩解措施嘗試修復“***方案一”，360 A-TEAM 評估后發現該緩解措施存在問題（該問題隨后被分配了新的漏洞編號 CVE-2019-0686），并將該問題與“***方案二”（此***方案隨后被分配了漏洞編號 CVE-2019-0724）一同提交至微軟官方 SRC。近日，微軟官方發布了新的安全補丁，用于完全修復 CVE-2018-8581、CVE-2019-0686、CVE-2019-0724，并在其官方文檔中獨家致謝 360 A-TEAM。

https://mp.weixin.qq.com/s/A138Bn5KLklRlb-Z_vodyg

今天，微軟如期發布了之前Exchange安全漏洞CVE-2018-8581的安全更新。在這個更新中，產品組經過完善的評估測試之后，決定對EWS Push Notification功能進行架構調整，禁用了服務器發起時的身份驗證，僅允許匿名驗證。如果大家有使用EWS Push notification的應用，請注意測試一下。更多關于此次補丁更新的注意事項請參考官方BLOG文章：

https://blogs.technet.microsoft.com/exchange/2019/02/12/released-february-2019-quarterly-exchange-updates/

第二部分：下面是安裝CU26的具體步驟

首先下載并拷貝CU補丁到Exchange 2010服務器上。Exchange 2010我在POC環境中的安裝順序為：先CAS+HUB、再MBX；先主站點、再災備站點。

https://support.microsoft.com/zh-cn/help/4487052/update-rollup-26-for-exchange-server-2010-service-pack-3

下面三個鏈接是針對Exchange 2013/2016/2019的

https://support.microsoft.com/zh-cn/help/4345836/cumulative-update-22-for-exchange-server-2013

https://support.microsoft.com/zh-cn/help/4471392/cumulative-update-12-for-exchange-server-2016

https://support.microsoft.com/zh-cn/help/4471391/cumulative-update-1-for-exchange-server-2019

下載完成后，將補丁拷貝到POC環境，按住鍵盤shift鍵，右鍵補丁選擇“復制為路徑“，如圖。

然后以管理員身份打開CMD，粘貼路徑并回車執行，如圖。

選擇Next，如圖。

選擇接受許可條款，如圖。

繼續選擇Next，如圖。

開始安裝，如圖。

安裝完成，提示需要重啟系統，如圖。

當所有CU安裝完成后，需要檢查如下項目是否正常（基本檢查）：

0）查看版本號是否正確；

第一種方式是打開exchange本地的powershell，運行下圖的命令查看

第二種方式是在EMS中查看所有服務器的版本

Get-ExchangeServer | Sort-Object Name | ForEach{ Invoke-Command -ComputerName $_.Name -ScriptBlock { Get-Command ExSetup.exe | ForEach{$_.FileVersionInfo } } } | Format-Table -Auto

關于exchange 2010各個CU版本對應的版本號信息可以參考：

Exchange Server 內部版本號和發行日期 | Microsoft Docs https://docs.microsoft.com/zh-cn/Exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019

1）打開services.msc查看本地exchange服務是否正常（注意表單服務）；

2）查看前端IIS服務是否正常；

3）查看OWA、outlook、手機郵箱收發和配置是否正常；

4）查看后端DAG復制狀態、數據庫掛載狀態、隊列狀態等；

5）查看群集狀態、PAM、見證等；

6）查看事件查看器，確保沒有新的error產生；

第三部分：遇到的問題

1）后端安裝CU26的時候，提示先安裝C++ 2013

下載地址：https://www.microsoft.com/zh-CN/download/details.aspx?id=40784

更多內容，請關注作者的微信公眾號