Тази статия се описва актуализация е заменена от по-новите Сборен пакет за актуализация. Ние препоръчваме да инсталирате най-новата актуализация. За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:
3158609 Сборен пакет за актуализация 10 за Windows Azure пакет
Резюме
Тази статия описва проблеми в защитата, които са отстранени в Update Rollup 9.1 Windows Azure пакет (версия на файла 3.32.8196.12). Тя съдържа инструкции за инсталиране на Сборен пакет за актуализация.
Проблеми, които са отстранени в тази сборна актуализация
Проблем 1 - ZeroClipboard кръстосано site scripting уязвимост
Предварително 9.1 версии на WAP включват версия на ZeroClipboard (v 1.1.7) податлив на скриптове между различни сайтове (XSS). Защитата сборен 9.1 за WAP включва актуализиран ZeroClipboard версия 1.3.5, която отстранява тази уязвимост. Можете да намерите информация за това тук.
Ефект ZeroClipboard се намира в администратор и клиент портали и услугата за удостоверяване на клиент. Уязвимостта може да бъде използвана за всички тези услуги. Доставчик на услуги обикновено ще запази администраторския портал на недостъпни от наематели, но портала на клиент и услугата за удостоверяване на клиент се обикновено предоставят наематели. Имайте предвид, услугата на клиент за удостоверяване не се поддържа в производство разполагане. Ако атака е успешно, защото може да изпълни всичко, което WAP администратор или потребител клиент може да работи в приложението. Защото може също надграждат този бъг и атаки браузър или работна станция на жертва, създаване или достъп до ресурси за клиент (като виртуални машини или SQL Server). Тъй като сървърът външно удостоверяване е уязвими, други опции за атака може да бъде на разположение.
Проблем 2 - услугата за уязвимост при обществени API на клиент
В предварително 9.1 версии на WAP атакуващият активен клиент да качите сертификат чрез обществени API на клиент и да го асоциирате с цел клиент абонамента за самоличност. По този начин атакуващият достъп до целевия клиент ресурси. Update Rollup 9.1 блокове такава атака.
Ефект Защото това да използвате за достъп до WAP клиент обществени API на услугата. Обаче за да направите това, атакуващият трябва да знаете subscriptionId жертва. Има поне един сценарий за защото достъп до subscriptionId. Приложението позволява на администраторите да създават СО-администратори. Когато някой се регистрира като сътрудничество admin, те се знаят subscriptionId. Ако този co-администратор по-късно е премахнат, те могат да изпълняват атака.
Тези инструкции за инсталиране се за следните компоненти на Windows Azure пакет:
-
Клиентски сайт
-
Клиентско API
-
Обществени API на клиент
-
Администриране на сайт
-
Администриране на API
-
Удостоверяване
-
Удостоверяване за Windows
-
Използване на
-
Наблюдение
-
Microsoft SQL
-
MySQL
-
Галерия с уеб приложение
-
Конфигуриране на сайт
-
Най-добрите практики анализатор
-
API на PowerShell
За да инсталирате актуализацията .msi файлове за всеки компонент на Windows Azure пакет (WAP), изпълнете следните стъпки:
-
Ако системата е в момента оперативна (обработка на клиентски трафик), график престой Azure пакет сървъри. Windows Azure пакет в момента не поддържа камък подобрения.
-
Спрете или пренасочване на клиентски трафик към сайтове, които считате за задоволителна.
-
Създаване на резервно копие снимки на уеб сървъри и бази данни на SQL Server.
Бележки-
Ако използвате виртуални машини, се снимки на състоянието им.
-
Ако не използвате виртуални машини, да резервно копие на всеки MgmtSvc-* папка в директорията Inetpub на всеки компютър, който има инсталиран WAP компонент.
-
Събиране на информация и файлове, които са свързани с вашите сертификати, заглавки на хост и порт промените.
-
-
Ако използвате собствена тема за Windows Azure пакет съответния сайт, следвайте тези инструкции, за да запазите промените тема преди да стартирате актуализацията.
-
Стартирайте актуализацията чрез изпълнение всеки .msi файл на компютъра, на който се изпълнява съответния компонент. Например изпълнете MgmtSvc AdminAPI.msi на компютъра, който се изпълнява "MgmtSvc AdminAPI" сайт в Internet Information Services (IIS).
-
За всеки възел под балансиране на натоварването стартирайте актуализации за компоненти в следния ред:
-
Ако използвате първоначалната сертификати, които са инсталирани от WAP, операцията на актуализация ще ги замени. Трябва да нов сертификат за експортиране и импортиране на други възли под балансиране на натоварването. Тези сертификати са CN = MgmtSvc-* (самоподписан) схема за именуване.
-
Актуализиране на доставчик на ресурси (RP) услуги (SQL Server, My SQL, SPF/VMM сайтове) при необходимост. Уверете се, че RP сайтове се изпълняват.
-
Актуализиране на клиент API сайт, обществени API на клиент, API за управление възли и администратор и клиент удостоверяване сайтове.
-
Актуализиране на администратор и клиент сайтове.
-
-
Скриптове, за да получите версии на базата данни и актуализиране на бази данни, инсталирани от MgmtSvc PowerShellAPI.msi се съхраняват в следното местоположение:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
Ако всички компоненти се актуализират и функционира нормално, можете да отворите трафик към вашата актуализирана възли. В противен случай вижте раздела "инструкции за възстановяване".
Забележка Ако актуализирате от сборния пакет за актуализация, която е равна или по-стари от актуализация Сборен пакет за актуализация 5 за Windows Azure пакет, следвайте тези инструкции , за да актуализира базата данни на WAP.
Ако възникне проблем и да се уверите, че възстановяването е необходимо, изпълнете следните стъпки:
-
Ако снимките са достъпни от втората Забележка в стъпка 3 в раздела "Инсталиране", приложете снимки. Ако няма никакви снимки, преминете към следващата стъпка.
-
Използвайте резервното копие, която е първият и третият бележка в стъпка 3 в раздела "Инсталиране" за възстановяване на бази данни и компютри.
Забележка: Не оставя системата частично актуализиран състояние. Извършване на операции на възстановяването на всички компютри, на който е инсталиран Windows Azure пакет, дори ако актуализацията не е един възел.
Препоръчва се Стартирайте Windows Azure пакет Best Practice Analyzer всеки пакет на Windows Azure възел да се уверите, че конфигурация елементи са правилни. -
Отворете трафик към вашата възстановените възли.
Инструкции за изтеглянеПакетите с актуализации за Windows Azure пакет се предлага от Microsoft Update или чрез ръчно изтегляне.
Microsoft UpdateЗа да получите и инсталирате пакет с актуализации от Microsoft Update, изпълнете следните стъпки на компютър с инсталиран приложим компонент:
-
Щракнете върху Старт и след това щракнете върху Контролен панел.
-
В контролния панел щракнете двукратно върху Windows Update.
-
В прозореца на Windows Update щракнете върху Онлайн проверка за актуализации от Microsoft Update.
-
Щракнете върху важните актуализации.
-
Изберете Актуализация пакети, които искате да инсталирате и след това щракнете върху OK.
-
Изберете Инсталиране на актуализации за инсталиране на пакетите с избраните актуализации.
Ръчно изтегляне на пакета за актуализацияПосетете следния уеб сайт за ръчно изтегляне на пакетите с актуализации от каталога на Microsoft Update:
|
Променени файлове |
Версия |
|---|---|
|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
|
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
|
MgmtSvc-Usage.msi |
3.32.8196.12 |
|
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
|
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
|
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
|
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-Bpa.msi |
3.32.8196.12 |
|
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
|
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
|
MgmtSvc-MySQL.msi |
3.32.8196.12 |
|
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |
