Sicherheitsupdaterollup 9.1 für Windows Azure Pack


Das in diesem Artikel beschriebene Update wurde durch ein neueres Updaterollup ersetzt. Wir empfehlen, das aktuellste Update zu installieren. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
3158609 Updaterollup 10 für Windows Azure Pack

Zusammenfassung

Dieser Artikel beschreibt die Sicherheitsprobleme, die in Updaterollup 9.1 für Windows Azure Pack (Dateiversion 3.32.8196.12) behoben werden. Zudem enthält er Installationsanweisungen für das Rollup.

In diesem Updaterollup behobene Probleme

Problem 1 – ZeroClipboard-Sicherheitsanfälligkeit durch websiteübergreifendes Skripting

Die WAP-Versionen vor Version 9.1 enthalten eine ZeroClipboard-Version (Version 1.1.7), die für websiteübergreifendes Skripting (XSS) anfällig ist. Sicherheitsupdaterollup 9.1 für WAP enthält die aktualisierte ZeroClipboard-Version 1.3.5, in der diese Sicherheitsanfälligkeit behoben ist. Nähere Informationen hierzu finden Sie hier.

Auswirkungen ZeroClipboard ist im Verwaltungs- und im Mandantenportal sowie im Mandantenauthentifizierungsdienst enthalten. Diese Sicherheitsanfälligkeiten kann über alle diese Dienste ausgenutzt werden. Dienstanbieter lassen für gewöhnlich nicht zu, dass Mandanten auf das Verwaltungsportal zugreifen. Das Mandantenportal und der Mandantenauthentifizierungsdienst sind jedoch in der Regel für Mandanten zugänglich. Beachten Sie, dass der Mandantenauthentifizierungsdienst in Produktionsbereitstellungen nicht unterstützt wird. Wenn ein Angriff erfolgreich ist, kann der Angreifer alle Prozesse ausführen, die ein WAP-Administrator oder -Mandant in der Anwendung ausführen kann. Der Angreifer kann diesen Bug auch für Angriffe auf den Browser oder die Arbeitsstation des Opfers oder zum Erstellen von oder zum Zugriff auf Mandantenressourcen (z. B. virtuelle Computer oder SQL Server) ausnutzen. Da auch der für die Verbundauthentifizierung verwendete Server anfällig ist, sind unter Umständen auch andere Angriffsmöglichkeiten verfügbar.

Problem 2 – Sicherheitsanfälligkeit im öffentlichen Mandanten-API-Dienst

In den WAP-Versionen vor Version 9.1 kann ein Angreifer, der aktiver Mandant ist, ein Zertifikat über den öffentlichen Mandanten-API-Dienst hochladen und diesen mit der Abonnement-ID des Zielmandanten verknüpfen. Dadurch erhält der Angreifer Zugriff auf die Ressourcen des Zielmandanten. Updaterollup 9.1 blockiert Angriffe dieser Art.

Auswirkungen Der Angreifer kann dies ausnutzen, um auf den öffentlichen API-Dienst für WAP-Mandanten zuzugreifen. Voraussetzung für einen erfolgreichen Angriff ist allerdings, dass der Angreifer die Abonnement-ID des Opfers kennt. Es ist mindestens ein mögliches Szenario denkbar, in dem der Angreifer Zugriff auf die Abonnement-ID erhält. Die Anwendung erlaubt Administratoren die Erstellung von Co-Admins. Wenn sich jemand als Co-Admin anmeldet, kann er die Abonnement-ID in Erfahrung bringen. Wenn der Co-Admin später entfernt wird, kann der Angriff ausgeführt werden.
Installationsanweisungen
Rollback-Anweisungen

Anweisungen zum Download

Die Updatepakete für Windows Azure Pack sind über Microsoft Update erhältlich und können manuell heruntergeladen werden.

Microsoft Update

Um ein Updatepaket über Microsoft Update zu beziehen und zu installieren, führen Sie die folgenden Schritte auf einem Computer aus, auf dem die betreffende Komponente installiert ist:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung.
  2. Doppelklicken Sie in der Systemsteuerung auf Windows Update.
  3. Klicken Sie im Fenster „Windows Update“ auf Online nach Updates aus Microsoft Update suchen.
  4. Klicken Sie auf Es sind wichtige Updates verfügbar.
  5. Wählen Sie die Updaterollup-Pakete aus, die Sie installieren möchten, und klicken Sie dann auf OK.
  6. Wählen Sie Updates installieren aus, um die ausgewählten Updatepakete zu installieren.

Manuelles Herunterladen der Updatepakete

Besuchen Sie die folgende Website, um die Updatepakete manuell aus dem Microsoft Update-Katalog herunterzuladen:
In diesem Updaterollup aktualisierte Dateien
Eigenschaften

Artikelnummer: 3146301 – Letzte Überarbeitung: 27.06.2016 – Revision: 1

Feedback