Tento článek popisuje aktualizace byla nahrazena novější kumulativní aktualizace. Doporučujeme nainstalovat nejnovější aktualizace. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
3158609 kumulativní aktualizace 10 pro systém Windows Azure Pack
Souhrn
Tento článek popisuje problémy se zabezpečením, které jsou opraveny v kumulativní 9.1 aktualizace pro systém Windows Azure Pack (verze souboru 3.32.8196.12). Obsahuje také pokyny pro zahrnutí.
Problémy vyřešené v této kumulativní aktualizaci
Problém 1 - ZeroClipboard chyba zabezpečení skriptování mezi servery
WAP verze pre 9.1 patří verze ZeroClipboard (v 1.1.7), že je ohrožena skriptování mezi servery (XSS). Kumulativní aktualizace zabezpečení 9.1 pro WAP zahrnuje ZeroClipboard aktualizovanou verzi 1.3.5, která řeší tuto chybu zabezpečení. Podrobnosti o něm najdete zde. Vliv ZeroClipboard se nachází v Admin a nájemce portály a služby ověřování klienta. Tato chyba může být zneužita na tyto služby. Poskytovatel metadat bude zpravidla udržují portálu pro správce nepřístupné nájemníky, ale portál klienta a ověření klienta služby jsou obvykle k dispozici pro nájemníky. Uvědomte si, že ověřování klienta služby není podporována v produkční nasazení. Pokud je útok úspěšný, adversary cokoli, co se WAP správce nebo uživatel klienta lze spustit v aplikaci spustit. Adversary může také stavět tuto chybu a útoku prohlížeč nebo pracovní stanice oběti, nebo vytvořit nebo získat přístup k prostředkům klienta (například virtuální počítače nebo serveru SQL Server). Vzhledem k tomu, že je také ohrožena federovaného ověřování serveru, může být k dispozici další možnosti útoku.
Problém 2 - Chyba zabezpečení služby klienta veřejné rozhraní API
Ve verzích WAP pre 9.1 útočník aktivního klienta odeslat certifikát prostřednictvím veřejné rozhraní API klienta služby a přidružit ID klienta cílového odběru. To umožní útočníkovi získat přístup k prostředkům klienta cíl. Aktualizace kumulativní 9.1 bloky takového útoku.
Vliv Ohromně to můžete použít pro přístup k veřejné rozhraní API služby WAP nájemce. K tomu je, ale útočník musí znát subscriptionId oběti. Existuje alespoň jeden ze zpùsobù ohromně k získání přístupu k subscriptionId. Aplikace umožňuje správci vytvořit co admins. Pokud se někdo přihlásí jako co-admin, dostanou vědět subscriptionId. Pokud toto co admin je později odebrána, mohou provádět útok.Tyto pokyny jsou určeny pro následující součásti systému Windows Azure Pack:
-
Web klienta
-
Rozhraní API klienta
-
Veřejné rozhraní API klienta
-
Správa webu
-
Správa API
-
Ověřování
-
Ověřování systému Windows
-
Použití
-
Sledování
-
Microsoft SQL
-
MySQL
-
Galerie webových aplikací
-
Konfigurace webu
-
Analyzátor osvědčených postupů
-
Rozhraní API prostředí PowerShell
Chcete-li nainstalovat aktualizaci souborů MSI pro každou součást Windows Azure Pack (WAP), postupujte takto:
-
Pokud je systém aktuálně operační plán (zpracování provozu zákazníka), výpadek serverů Azure Pack. Windows Azure Pack aktuálně nepodporuje postupné inovace.
-
Zastavit nebo přesměrovat provoz zákazníka pro weby, které považujete za dostatečné.
-
Vytvořte záložní bitové kopie webových serverů a databází serveru SQL Server.
Poznámky-
Pokud používáte virtuální počítače, pořizovat snímky o jejich aktuálním stavu.
-
Pokud nepoužíváte VMs, provést zálohu všech MgmtSvc-* složky v adresáři Inetpub v každém počítači, který má nainstalované součásti WAP.
-
Shromažďovat informace a soubory, které souvisí s certifikáty, hlavičky hostitele a portu změny.
-
-
Pokud používáte vlastní motiv pro web Windows Azure Pack klienta, postupujte podle následujících pokynů k zachování změny motivu před spuštěním aktualizace.
-
Aktualizace spuštěním každý soubor MSI na počítači, na kterém je spuštěna odpovídající součást. Například spusťte MgmtSvc-AdminAPI.msi v počítači se systémem "MgmtSvc-AdminAPI" webu v Internetová informační služba (IIS).
-
Pro každý uzel v rámci služby Vyrovnávání zatížení spuštění aktualizace pro součásti v následujícím pořadí:
-
Pokud používáte původní certifikáty podepsané samy sebou, které byly nainstalovány pomocí WAP, nahradí je operace aktualizace. Máte nový certifikát exportovat a importovat do jiných uzlů v rámci služby Vyrovnávání zatížení. Tyto certifikáty jsou propojené sítě = MgmtSvc-* (podepsaný) vzor pro pojmenování.
-
Podle potřeby aktualizujte zdroj zprostředkovatele (RP) služby (SQL Server, My SQL, SPF/VMM, weby). Ujistěte se, zda jsou spuštěny na serverech RP.
-
Aktualizujte web rozhraní API klienta, veřejné rozhraní API klienta, rozhraní API Správce uzlů a servery ověřování klienta a správce.
-
Aktualizace klienta a správce webů.
-
-
Skripty pro získání verze databáze a aktualizace databáze nainstalována podle MgmtSvc-PowerShellAPI.msi jsou uloženy v následujícím umístění:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
Pokud jsou aktualizovány všechny součásti a funguje podle očekávání, můžete otevřít provoz na uzly aktualizované. Jinak naleznete v části "Pokyny k vrácení zpět".
Poznámka: Jestliže aktualizujete z kumulativní aktualizace, která je rovna nebo starší než kumulativní aktualizace 5 pro systém Windows Azure Pack, postupujte podle tyto pokyny Chcete-li aktualizovat databázi WAP.
Pokud došlo k problému a ověřte, že je nezbytné vrácení zpět, postupujte takto:
-
Pokud snímky jsou k dispozici z druhé poznámky v kroku 3 v části "instalace pokyny", použijte snímky. Pokud nejsou k dispozici žádné snímky, přejděte k dalšímu kroku.
-
Pomocí zálohy, která byla provedena v první a třetí Poznámka: v kroku 3 v části "instalace pokyny" obnovení databáze a počítačů. Poznámka: Nenechávejte v částečně aktualizovaný stav systému. Proveďte operace vrácení změn ve všech počítačích, ve kterých byla nainstalována Windows Azure Pack, i v případě, že aktualizace se nezdařila v jednom uzlu. Doporučeno V každém uzlu Windows Azure Pack a ujistěte se, zda jsou správné položky konfigurace spuštění Windows Azure Pack Best Practice Analyzer.
-
Otevřete přenos obnovené uzly.
Pokyny ke staženíBalíčky aktualizací pro systém Windows Azure Pack jsou k dispozici z webu Microsoft Update nebo pomocí ruční stahování.
Web Microsoft UpdateChcete-li získat a nainstalovat balíček aktualizace z webu Microsoft Update, postupujte takto v počítači, který má nainstalovanou komponentu použitelné:
-
Klepněte na tlačítko Start a na příkaz Ovládací panely.
-
V okně Ovládací panely poklepejte na položku Windows Update.
-
V okně Windows Update klepněte na tlačítko Zkontrolovat Online aktualizace z webu Microsoft Update.
-
Klepněte na tlačítko důležité aktualizace jsou k dispozici.
-
Vyberte balíčky Kumulativních aktualizací , které chcete nainstalovat a klepněte na tlačítko OK.
-
Vyberte aktualizace k instalaci balíčků vybrané aktualizace.
Ruční stažení aktualizace balíčkůPřejděte na následující web a ručně stáhnout balíčky aktualizací z katalogu služby Microsoft Update:
Soubory, které jsou změněny |
Verze |
---|---|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
MgmtSvc-Usage.msi |
3.32.8196.12 |
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
MgmtSvc-Bpa.msi |
3.32.8196.12 |
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
MgmtSvc-MySQL.msi |
3.32.8196.12 |
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |