Microsoft випускає оновлення безпеки Exchange Server за червень 2026 року

Microsoft випустила оновлення безпеки (SU) для вразливостей, виявлених у:

• Версія підписки на сервер Exchange (SE)
• Exchange Server 2019
• Exchange Server 2016

Оновлення безпеки SU доступні для таких конкретних версій Exchange Server:

• Біржа SE RTM
• Exchange Server 2019 CU14 та CU15 (для доступу організація повинна бути зареєстрована у програмі ESU періоду 2)
• Exchange Server 2016 CU23 (для доступу організація повинна бути зареєстрована в програмі ESU періоду 2)

Червневі SU 2026 року вирішують вразливості, які відповідально повідомили партнери Microsoft з безпеки та виявлені через внутрішні процеси Microsoft та CVE-2026-42897, про які ми оголосили: Адресування вразливості Exchange Server травень 2026 року CVE-2026-42897 | Microsoft Community Hub.

Ці вразливості впливають на сервер Exchange. Клієнти Exchange Online вже захищені від вразливостей, які усувають ці SU, і їм не потрібно нічого робити, окрім оновлення серверів Exchange або робочих станцій інструментів управління Exchange у своєму середовищі.

Більше інформації про конкретні CVE можна знайти в Посібнику з оновлення безпеки (фільтруйте за «Server Software» у розділі «Сімейство продуктів для Exchange SE» та «ESU» у розділі «Сімейство продуктів для Exchange 2016 та 2019»).

Оновлення для забезпечення подальшої функціонування послуг з пом'якшення надзвичайних ситуацій (EM) та функцій

Через зміни на стороні обслуговування Exchange Emergency Mitigation (EM) та Exchange Flighting не зможуть використовувати конфігураційні файли, опубліковані в липні 2026 року або пізніше, якщо Exchange не буде оновлений до червня 2026 року (або пізніше). Усі вже завантажені та застосовані заходи продовжать працювати, але сервери не зможуть використовувати нові заходи з липня 2026 року, якщо не буде встановлено оновлення. Будь ласка, див. «Пом'якшення обміну та рейсні послуги невдалі через помилку «Невідомий емітент» для отримання додаткової інформації.

Заходи пом'якшення для CVE-2026-42897 після встановлення

У рамках наших постійних зусиль щодо посилення безпеки та захисту в різних середовищах ми продовжуємо вдосконалювати наші захисти від атак scripting між сайтами. Рекомендуємо клієнтам підтримувати свої заходи пом'якшення CVE-2026-42897. Цей захід забезпечує додатковий рівень захисту та допомагає забезпечити безперервний захист у міру появи нових покращень. Додаткові оновлення будуть опубліковані по мірі їх появи.

Встановлення оновлення червня 2026 року не видаляє автоматично показники CVE-2026-42897, які вже були застосовані. Тому, якщо ви вирішите зняти засоби після встановлення, вам слід:

Якщо заходи пом'якшення застосовувалися за допомогою сервісу Exchange Emergency Mitigation (EM):

1. Заблокуйте повторне застосування пом'якшення M2.1.0. Через нашу рекомендацію зберегти заходи пом'якшення для CVE-2026-42897, ми наразі не оновлюємо його, щоб він не застосовувався до серверів, оновлених до червня 2026 року. Тому наразі потрібно спочатку заблокувати повторне застосування пом'якшення.
2. Прибрати правила пом'якшення наслідків IIS M2.

Якщо зменшення наслідків застосовувалося за допомогою завантажуваного скрипта EOMT https://aka.ms/UnifiedEOMT:

1. Скасуйте заходи пом'якшення наслідків.

Оновлення Exchange 2016 та 2019 років доступні лише через програму ESU Period 2

Exchange Server 2016 та 2019 більше не підтримуються. Лише клієнти, які зареєструвалися у програмі Extended Security Update Period Two (ESU), мають право отримувати оновлення безпеки Exchange Server 2016 та 2019, які виходили з травня по жовтень 2026 року.

Якщо ви не є учасником програми ESU Period 2, оновіть до Exchange Server Subscription Edition (SE), щоб отримувати останні оновлення безпеки.

Якщо ви вже придбали ESU Period 2 і вам потрібна інформація про доступ до останніх оновлень безпеки, будь ласка, зв'яжіться з нами, надіславши електронного листа на ExchangeandSfBServerESUInquiry@service.microsoft.com.

Встановлення оновлень

Доступні такі шляхи оновлення:

• Проведіть інвентаризацію ваших серверів Exchange, щоб визначити, які оновлення потрібні, за допомогою скрипта Exchange Server Health Checker. Запуск цього скрипту покаже, чи відстає якийсь із ваших серверів Exchange з оновленнями (CU, SU або ручними діями).
• Встановіть останній CU. Використовуйте Майстер оновлення Exchange, щоб вибрати поточний CU та CU призначення, щоб отримати маршрут.
• Після встановлення оновлення запустіть перевірку здоров'я, щоб побачити, чи потрібні подальші дії.
• Після завершення налаштування, будь ласка, перезавантажте сервер і перевірте, чи всі сервіси Exchange працюють коректно. Якщо деякі сервіси перебувають у відключеному стані, це означає, що щось перервало встановлення оновлення.
• Якщо під час або після встановлення Exchange Server виникнуть помилки, запустіть скрипт SetupAssist. Якщо після оновлень щось працює некоректно, дивіться розділ Ремонт невдалих кумулятивних установок Exchange та оновлення безпеки. Також, будь ласка, зверніть увагу на помилку «File Version» при спробі встановити оновлення Exchange Server.

Поширені запитання

Коли були опубліковані заходи пом'якшення CVE-2026-42897, було зафіксовано кілька відомих проблем. Чи розглядає CVE-2026-42897 (червень 2026 SU) ці питання?
Так, коли SU буде встановлено в червні 2026 року і система усунення буде виправлена, відомі проблеми також мають бути вирішені. Але майте на увазі, що заходи усунення несправностей не видаляються автоматично після встановлення SU (і ми рекомендуємо тримати їх увімкненими деякий час).

Якщо ми оновимо деякі сервери, але не зможемо оновити інші, чи зможуть сервери, які не отримують оновлення, підтримувати захист CVE-2026-42897? Чи можу я оновити деякі сервери і все одно використовувати заходи пом'якшення?
Ви можете й надалі використовувати ці заходи на серверах, які не можна оновити до червневого SU 2026 року (або новішого). Однак зверніть увагу, що відомі питання, пов'язані з заходами пом'якшення наслідків, і надалі стосуватимуться цих серверів. Крім того, після застосування цього оновлення інтеграція Office Online Server (OOS) з Exchange Server може не працювати як очікувалося, доки всі сервери Exchange у вашій організації не будуть оновлені.

Ми оновили наші сервери до червня 2026 року (або новішого), але все ще маємо проблеми з відомими проблемами, спричиненими заходами з усунення наслідків. Чому так?
Встановлення оновлення червня 2026 року (або пізніше) не знімає автоматично ці заходи. Будь ласка, дивіться пост вище. Наразі ми рекомендуємо зберегти заходи пом'якшення наслідків, але їх можна скасувати відповідно до наведеного вище пункту.

Наша організація працює в гібридному режимі з Exchange Online. Чи потрібно нам щось робити?
Exchange Online вже безпечний, але цей SU має бути встановлений на ваших серверах Exchange, навіть якщо вони використовуються лише для управління. Якщо ви змінюєте сертифікат автентифікації після встановлення SU, потрібно перезапустити Майстер Гібридної Конфігурації.

Останній SU/HU, який ми встановлювали, був кілька місяців тому. Чи потрібно мені встановлювати всі SU, щоб встановити останню версію?
SU накопичуються. Якщо ви використовуєте CU, підтримуваний SU, не потрібно встановлювати всі SU чи HU по порядку; Просто встановіть останній SU. Будь ласка, перегляньте цей блог для отримання додаткової інформації.

Чи потрібно мені встановлювати SU на всі сервери Exchange у моїй організації? А як щодо машин із «лише інструментами керування»?
Наша рекомендація — встановити SU на всі сервери Exchange, а також на всі сервери та робочі станції з Exchange Management Tools, щоб забезпечити сумісність між інструментами управління, клієнтами та серверами. Якщо ви намагаєтеся оновити інструменти управління Exchange у середовищі без запущених серверів Exchange, будь ласка, ознайомтеся з цим.

Наша організація не має ESU періоду 2 2016 та 2019 років. Як ми можемо отримувати останні оновлення для Exchange 2016 або 2019?
Оскільки Exchange 2016 та 2019 більше не підтримуються, лише клієнти, які зареєструвалися в програмі ESU періоду 2 (яка триває з травня по жовтень 2026 року), можуть отримувати оновлення Exchange 2016 або 2019, опубліковані після травня 2026 року. Для всіх інших клієнтів, які досі користуються Exchange 2016 або 2019, ми рекомендуємо якнайшвидше оновити вашу компанію до Exchange SE.

Інші новини