Shrnutí
V rámci kontroly zabezpečení jsme zjistili, že privátní klíč uložený Microsoftem, který se používá k odemknutí privilegovaného koncového bodu služby Azure Stack Hub pro build Azure Stack Hub 2002, nebyl správně zabezpečený. Další šetření nenašlo žádné důkazy o zneužití soukromého klíče. Microsoft poskytuje tuto opravu hotfix, která obměně veřejného klíče používaného pro tento privilegovaný koncový bod podporuje odemčení sekvence.
Chcete-li použít tento privátní klíč, musí být splněny následující podmínky:
-
Pro zařízení Azure Stack Hub musíte mít přihlašovací údaje správce cloudu.
-
Musíte mít síťové připojení k IP adresě privilegovaného koncového bodu služby Azure Stack Hub. Všimněte si, že tyto IP adresy jsou v izolované síti infrastruktury. Při standardním nasazení by tyto adresy nepoužívaly IP adresy směrovatelné na internet, takže koncové body jsou přístupné jenom z vaší interní sítě nebo sítě pro správu.
-
Privátní klíč musíte použít ke zpracování tokenu podpory odpovědi na výzvu a použít ho k odemknutí privilegovaného koncového bodu. Podobá se scénáři podpory přímo s Microsoftem, jak je popsáno v článku o službě Azure Stack Hub s použitím privilegovaného koncového bodu ve službě Azure Stack Hub.
Tato oprava hotfix obměna veřejného klíče používaného k odemknutí privilegovaného koncového bodu služby Azure Stack Hub pro Azure Stack Hub 2002 a zahrnuje všechny předchozí opravy hotfix 2002. Důrazně doporučujeme nainstalovat tuto opravu hotfix co nejdříve.
Opravy zahrnuté v předchozích verzích oprav hotfix
-
Vylepšená spolehlivost sítě SDN na fyzických uzlech
-
Opravili jsme problém, kdy se virtuální podsíť nevyčisťovala, pokud se tunel přesunul na jiný virtuální počítač GW a pak se odstranila virtuální síť.
-
Opravili jsme problém, který mohl způsobit selhání registrace a obměny interních tajných kódů.
-
Přidání nastavení specifického pro paměť do nastavení výpisu stavu systému
-
Oprava problému s zneplatněním popisovače SMB aktivovaným událostí ESENT 59 v TableServeru
-
Opravili jsme problém, který ovlivnil spolehlivost stahování následných aktualizací.
-
Vyšší spolehlivost instalace balíčku NuGet po neočekávaném selhání.
-
Opravili jsme problém, kdy se ověření rozevíracího seznamu předplatného nezdařilo, když uživatel má oprávnění k zápisu jen RG.
-
Opravili jsme problém, kdy při stahování velkých položek došlo k problému se stránkou pro stažení objektu blob.
-
Opravili jsme problém, kdy se obnovila konfigurace doby uchovávání odstraněných účtů úložiště.
-
Vylepšená stabilita síťového adaptéru
-
Zvýšené uchovávání protokolů síťového adaptéru pro podporu diagnostiky
-
Opravili jsme problém, kdy stahování z Marketplace mohlo selhat kvůli chybě ověření certifikátu.
-
Zahrňte certifikát identity zprostředkovatele nasazení do obměny interního tajného klíče.
-
Opravili jsme rozhraní WMI úložiště Windows pro udržování odezvy volání, aby se zlepšila spolehlivost operací správy úložiště.
-
Přidání monitorování stavu TPM pro fyzické hostitele
-
Restartováním virtuálních počítačů SQL zmírníte potenciální problém s přístupem k databázi, který má vliv na přístup k portálu.
-
Vyšší spolehlivost objektů blob úložiště a služby Table Service
-
Opravili jsme problém, kdy vytváření VMSS se skladovou položku Standard_DS2_v2 prostřednictvím uživatelského rozhraní vždy selhalo.
-
Vylepšení aktualizace konfigurace
-
Opravili jsme nevracení výčtu KVS v DiskRP, aby se zlepšila spolehlivost operací disku.
-
Znovu povolili možnost generovat výpisy stavu systému hostitele a aktivovat chybové ukončení NMI kvůli zablokování.
-
Byla vyřešena chyba zabezpečení serveru DNS popsaná v CVE-2020-1350.
-
Změny, které vyřešily nestabilitu clusteru.
-
Vylepšená spolehlivost vytváření koncových bodů JEA
-
Opravili jsme chybu, která způsobovala odblokování souběžného vytváření virtuálních počítačů v dávkách o velikosti 20 nebo vyšší.
-
Vylepšili jsme spolehlivost a stabilitu portálu a přidali možnost monitorování pro restartování hostitelské služby, pokud dojde k výpadkům.
-
Vyřešili jsme problém, kdy během aktualizace nedošlo k pozastavení některých upozornění.
-
Vylepšená diagnostika chyb v prostředcích DSC
-
Vylepšili jsme chybovou zprávu vygenerovanou neočekávanou chybou ve skriptu nasazení holých počítačů.
-
Přidali jsme odolnost při operacích opravy fyzických uzlů.
-
Opravili jsme chybu kódu, která někdy způsobovala, že aplikace HRP SF není v pořádku. Opravili jsme také chybu kódu, která zabránila pozastavení výstrah během aktualizace.
-
Přidání odolnosti k kódu pro vytváření imagí, když cílová cesta neočekávaně neexistuje.
-
Přidali jsme rozhraní pro vyčištění disku pro virtuální počítače ERCS a zajistili jeho spuštění před pokusem o instalaci nového obsahu na tyto virtuální počítače.
-
Vylepšená kontrola kvora pro opravu uzlu Service Fabric v cestě automatické nápravy.
-
Vylepšená logika při přecháznutí uzlů clusteru zpět do režimu online ve výjimečných případech, kdy je vnější zásah umístí do neočekávaného stavu.
-
Vylepšená odolnost kódu modulu, aby se zajistilo, že překlepy v případě, že se k přidání a odebrání uzlů použijí ruční akce, nezpůsobí v konfiguraci ECE neočekávaný stav.
-
Přidání kontroly stavu pro detekci operací opravy virtuálních počítačů nebo fyzických uzlů, které zůstaly v částečně dokončeném stavu z předchozích relací podpory.
-
Vylepšené protokolování diagnostiky pro instalaci obsahu z balíčků NuGet během orchestrace aktualizací
-
Opravili jsme selhání obměny interních tajných kódů pro zákazníky, kteří používají AAD jako systém identit a blokují odchozí připojení k internetu služby ERCS.
-
Zvýšil se výchozí časový limit Test-AzureStack pro AzsScenarios na 45 minut.
-
Vylepšili jsme spolehlivost aktualizací HealthAgentu.
-
Opravili jsme problém, kdy se během nápravných akcí neaktivovala oprava virtuálních počítačů ERCS.
-
Aktualizace hostitele byla odolná vůči problémům způsobeným tichým selháním při čištění zastaralých souborů virtuálních počítačů infrastruktury.
-
Přidali jsme preventivní opravu chyb analýzy nástroje certutil při použití náhodně generovaných hesel.
-
Před aktualizací modulu jsme přidali řadu kontrol stavu, aby bylo možné neúspěšným operacím správy povolit pokračování v provozu s původní verzí kódu orchestrace.
-
Opravili jsme selhání zálohování služby ACS při prvním dokončení zálohování služby ACSSettingsService.
-
Upgradovali jste úroveň chování farmy služby Azure Stack AD FS na verzi 4. Služba Azure Stack Hubs nasazená s verzí 1908 nebo novější už je na verzi 4.
-
Vyšší spolehlivost procesu aktualizace hostitele.
-
Opravili jsme problém s obnovením certifikátu, který mohl způsobovat selhání obměny interního tajného klíče.
-
Opravili jsme novou výstrahu synchronizace časového serveru, která opravila problém, kdy nesprávně rozpoznala problém se synchronizací času při zadání zdroje času s příznakem 0x8.
-
Opravili jsme chybu omezení ověřování, ke které došlo při použití nového rozhraní automatického shromažďování protokolů, a zjistila se.
-
https://login.windows.net/ jako neplatný koncový bod Azure AD.
-
Opravili jsme problém, který bránil použití automatického zálohování SQL prostřednictvím rozšíření SQLIaaSExtension.
-
Byla opravena výstraha použitá v Test-AzureStack při ověřování certifikátů síťového adaptéru.
-
Upgradovali jste úroveň chování farmy služby Azure Stack AD FS na verzi 4. Služba Azure Stack Hubs nasazená s verzí 1908 nebo novější už je na verzi 4.
-
Vyšší spolehlivost procesu aktualizace hostitele.
-
Opravili jsme problém s obnovením certifikátu, který mohl způsobovat selhání obměny interního tajného klíče.
-
Omezené triggery upozornění, aby se zabránilo zbytečným proaktivním kolekcím protokolů.
-
Vyšší spolehlivost upgradu úložiště díky eliminaci časového limitu volání rozhraní WMI služby Windows Health Service
Informace o opravě hotfix
Chcete-li nainstalovat tuto opravu hotfix, musíte mít verzi 1.2002.0.35 nebo novější.
Důležité Jak je uvedeno v poznámkách k verzi pro aktualizaci 2002, ujistěte se, že odkazujete na kontrolní seznam aktivit aktualizace pro spuštění test-AzureStack (se zadanými parametry) a vyřešte všechny nalezené provozní problémy, včetně všech upozornění a selhání. Zkontrolujte také aktivní výstrahy a vyřešte všechny, které vyžadují akci.
Informace o souborech
Stáhněte si následující soubory. Potom postupujte podle pokynů na stránce Použít aktualizace ve službě Azure Stack na webu Microsoft Learn a nainstalujte tuto aktualizaci do služby Azure Stack.
Více informací
Prostředky pro aktualizaci služby Azure Stack Hub
Správa aktualizací ve službě Azure Stack – přehled
Použití aktualizací ve službě Azure Stack
Monitorování aktualizací ve službě Azure Stack pomocí privilegovaného koncového bodu