Microsoft Lync Server
Header

Actualización de seguridad para Lync Server 2010 (KB2963286) y 2013 (KB2963288)

junio 11th, 2014 | Posted by Santiago Buitrago in Sin categoría

Microsoft ha liberado un actualización de seguridad para Lync Server 2010 (KB2963286)  y 2013 (KB2963288), aquí tenéis la información oficial:

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Lync Server. La vulnerabilidad podría permitir la divulgación de información si un usuario intenta unirse a una reunión de Lync haciendo clic en una dirección URL de reunión especialmente diseñada.
Esta actualización de seguridad se considera importante para las ediciones compatibles de Microsoft Lync Server 2010 y Microsoft Lync Server 2013. Para obtener más información, vea la sección Software afectado y no afectado.
La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que Microsoft Lync Server trata el contenido y realiza su saneamiento. Para obtener más información acerca de la vulnerabilidad, vea la subsección Preguntas más frecuentes (P+F) de la vulnerabilidad específica más adelante en este boletín.
Recomendación. La mayoría de los clientes tiene habilitada la actualización automática y no debe realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.
Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualización a la primera oportunidad con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update.
Y aquí tenéis los enlaces de descarga:
Nombres de archivo de actualización de seguridad
Para Microsoft Lync Server 2010 (2963286):
WebComponents.msp
Para Microsoft Lync Server 2013 (2963288):
WebComponents.msp
Parámetros de instalación
Requisito de reinicio
Esta actualización no requiere reinicio. El programa instalador detiene los servicios necesarios, aplica la actualización y los reinicia. Sin embargo, si los servicios necesarios no pueden detenerse por algún motivo, o si algún archivo necesario está en uso, será preciso reiniciar el sistema. Si se presenta este comportamiento, aparecerá un mensaje que aconseja reiniciar el sistema.
Información sobre la eliminación
Use el elemento Agregar o quitar programas, que se encuentra en el Panel de control.
Información sobre archivos
Para Microsoft Lync Server 2010:
 
Para Microsoft Lync Server 2013:
Comprobación de las claves del Registro
Para Microsoft Lync Server 2010:
HKEY_LOCAL_MACHINE\Software\Microsoft\Real-Time Communications\{2A65AB9C-57AD-4EC6-BD4E-BD61A7C583B3}
Version = 4.0.7577.231
Para Microsoft Lync Server 2013:
HKEY_LOCAL_MACHINE\Software\Microsoft\Real-Time Communications\{2A65AB9C-57AD-4EC6-BD4E-BD61A7C583B3}
Version = 5.0.8308.603

Software Afectado y no Afectado

Sistema operativo
Repercusión de seguridad máxima
Clasificación de gravedad acumulada
Actualizaciones reemplazadas
Microsoft Lync Server
Microsoft Lync Server 2010 [1]
(Web Components Server)
(2963286)
Divulgación de información
Importante
Ninguna
Microsoft Lync Server 2013 [1]
(Web Components Server)
(2963288)
Divulgación de información
Importante
2827754 en MS13-041

 

 

 

Ahora tocará actualizar cuanto antes nuestros servidores Front-END, que son a los que afecta esta vulnerabilidad, el proceso es muy simple, únicamente debéis descargaros el fichero de la acualización y ejecutarlo en los servidores correspondientes. En la documentación de esta vulnerabilidad se expone que la actualización llegará mediante Windows Update (importantísimo tener las actualizaciones al dia como podéis apreciar), sino la tendréis que descargar y actualizar manualmente:

Lync_update_Patch_WebServices.png

Para este artículo me la he descargado de forma manual para que veáis el proceso, pero básicamente es ejecutar el instalador: WebComponents.msp

Lync_update_Patch_WebServices1.png

Pulsamos en Actualizar y esperamos a que finalice el proceso

Lync_update_Patch_WebServices2.png

Y pulsamos en Finalizar

Lync_update_Patch_WebServices4.png

Si ahora abrimos el registro del servidor de Lync y nos vamos a la clave HKEY_LOCAL_MACHINE\Software\Microsoft\Real-Time Communications\{2A65AB9C-57AD-4EC6-BD4E-BD61A7C583B3}, podemos ver que ya está en la versión actualizada: 5.0.8308.603

Lync_update_Patch_WebServices5.png

Ahora bien, si ejecutáis el LyncServerUpdateInstaller.exe veréis que tenéis el resto de actualizaciones acumulativas para Lync Server 2010 y 2013, en este caso os muestro las de Lync Server 2013:

Lync_update_Patch_WebServices6.png

Pero este proceso de actualización requerirá una parada de los servicios de los Front-END y por tanto si queremos/debemos hacerlo en producción y no interrumpir el servicio, debemos hacerlo en cada Front-END de forma separada, de uno en uno.

Espero que os sea de utilidad!!!

 

 

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *