Sicherheitsupdaterollup 9.1 für Windows Azure Pack

Hinweis
Das in diesem Artikel beschriebene Update wurde durch ein neueres Updaterollup ersetzt. Wir empfehlen, das aktuellste Update zu installieren. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
3158609 Updaterollup 10 für Windows Azure Pack
Zusammenfassung
Dieser Artikel beschreibt die Sicherheitsprobleme, die in Updaterollup 9.1 für Windows Azure Pack (Dateiversion 3.32.8196.12) behoben werden. Zudem enthält er Installationsanweisungen für das Rollup.
In diesem Updaterollup behobene Probleme

Problem 1 – ZeroClipboard-Sicherheitsanfälligkeit durch websiteübergreifendes Skripting

Die WAP-Versionen vor Version 9.1 enthalten eine ZeroClipboard-Version (Version 1.1.7), die für websiteübergreifendes Skripting (XSS) anfällig ist. Sicherheitsupdaterollup 9.1 für WAP enthält die aktualisierte ZeroClipboard-Version 1.3.5, in der diese Sicherheitsanfälligkeit behoben ist. Nähere Informationen hierzu finden Sie hier.

Auswirkungen ZeroClipboard ist im Verwaltungs- und im Mandantenportal sowie im Mandantenauthentifizierungsdienst enthalten. Diese Sicherheitsanfälligkeiten kann über alle diese Dienste ausgenutzt werden. Dienstanbieter lassen für gewöhnlich nicht zu, dass Mandanten auf das Verwaltungsportal zugreifen. Das Mandantenportal und der Mandantenauthentifizierungsdienst sind jedoch in der Regel für Mandanten zugänglich. Beachten Sie, dass der Mandantenauthentifizierungsdienst in Produktionsbereitstellungen nicht unterstützt wird. Wenn ein Angriff erfolgreich ist, kann der Angreifer alle Prozesse ausführen, die ein WAP-Administrator oder -Mandant in der Anwendung ausführen kann. Der Angreifer kann diesen Bug auch für Angriffe auf den Browser oder die Arbeitsstation des Opfers oder zum Erstellen von oder zum Zugriff auf Mandantenressourcen (z. B. virtuelle Computer oder SQL Server) ausnutzen. Da auch der für die Verbundauthentifizierung verwendete Server anfällig ist, sind unter Umständen auch andere Angriffsmöglichkeiten verfügbar.

Problem 2 – Sicherheitsanfälligkeit im öffentlichen Mandanten-API-Dienst

In den WAP-Versionen vor Version 9.1 kann ein Angreifer, der aktiver Mandant ist, ein Zertifikat über den öffentlichen Mandanten-API-Dienst hochladen und diesen mit der Abonnement-ID des Zielmandanten verknüpfen. Dadurch erhält der Angreifer Zugriff auf die Ressourcen des Zielmandanten. Updaterollup 9.1 blockiert Angriffe dieser Art.

Auswirkungen Der Angreifer kann dies ausnutzen, um auf den öffentlichen API-Dienst für WAP-Mandanten zuzugreifen. Voraussetzung für einen erfolgreichen Angriff ist allerdings, dass der Angreifer die Abonnement-ID des Opfers kennt. Es ist mindestens ein mögliches Szenario denkbar, in dem der Angreifer Zugriff auf die Abonnement-ID erhält. Die Anwendung erlaubt Administratoren die Erstellung von Co-Admins. Wenn sich jemand als Co-Admin anmeldet, kann er die Abonnement-ID in Erfahrung bringen. Wenn der Co-Admin später entfernt wird, kann der Angriff ausgeführt werden.

Installationsanweisungen

Diese Installationsanweisungen gelten für die folgenden Windows Azure Pack-Komponenten:
  • Mandantenwebsite
  • Mandanten-API
  • Öffentliche Mandanten-API
  • Verwaltungswebsite
  • Verwaltungs-API
  • Authentifizierung
  • Windows-Authentifizierung
  • Verwendung
  • Überwachung
  • Microsoft SQL
  • MySQL
  • Web Application Gallery
  • Konfigurationswebsite
  • Best Practices Analyzer
  • PowerShell-API
Gehen Sie wie folgt vor, um die MSI-Dateien des Updates für jede WAP-Komponente (Windows Azure Pack) zu installieren:
  1. Wenn das System derzeit in Betrieb ist (Kundendatenverkehr verarbeitet), planen Sie Ausfallzeiten für die Azure-Pack-Server ein. Parallele Updates werden vom Windows Azure Pack derzeit nicht unterstützt.
  2. Sie müssen den Kundendatenverkehr anhalten und an Websites umleiten, die Ihrer Meinung nach zufriedenstellend sind.
  3. Erstellen Sie Sicherungs-Images der Webserver und SQL Server-Datenbanken.

    Hinweise
    • Wenn Sie virtuelle Computer verwenden, erfassen Sie deren aktuellen Zustand in Momentaufnahmen.
    • Wenn Sie VMs verwenden, erstellen Sie auf jedem Computer, auf dem eine WAP-Komponente installiert ist, im Ordner „Inetpub“ eine Sicherungskopie des jeweiligen Ordners „MgmtSvc-*“.
    • Sammeln Sie Informationen und Dateien, die sich auf Ihre Zertifikate, Hostheader und Portänderungen beziehen.
  4. Wenn Sie auf der Windows Azure Pack-Mandantenwebsite ein eigenes Design verwenden, befolgen Sie diese Anweisungen, um Ihre Designänderungen zu speichern, bevor Sie das Update ausführen.
  5. Führen Sie das Update aus, indem Sie die einzelnen MSI-Dateien jeweils auf dem Computer starten, auf dem die betreffende Komponente ausgeführt wird. Führen Sie z. B. die Datei „MgmtSvc-AdminAPI.msi“ auf dem Computer aus, auf dem die Website „MgmtSvc-AdminAPI“ in Internet Information Services (IIS) ausgeführt wird.
  6. Führen Sie für jeden Knoten unter „Lastenausgleich“ die Updates für die Komponenten in der folgenden Reihenfolge aus:
    1. Wenn Sie die ursprünglichen von WAP installierten selbstsignierten Zertifikate verwenden, werden diese durch den Aktualisierungsvorgang ersetzt. Sie müssen das neue Zertifikat exportieren und in die anderen Knoten unter „Lastenausgleich“ importieren. Diese Zertifikate werden nach dem Muster CN=MgmtSvc-* (Selbstsigniert) benannt.
    2. Aktualisieren Sie bei Bedarf die Ressourcenanbieterdienste (SQL Server, My SQL, SPF/VMM, Websites). Stellen Sie sicher, dass die Websites der Ressourcenanbieter ausgeführt werden.
    3. Aktualisieren Sie die Mandanten-API-Website, die Knoten für die öffentliche Mandanten-API und die Verwaltungs-API sowie die Verwaltungswebsite und die Mandantenauthentifizierungswebsite.
    4. Aktualisieren Sie die Administrator- und Mandantenwebsites.
  7. Skripts zum Abrufen der Datenbankversionen und Aktualisieren der Datenbanken werden von „MgmtSvc-PowerShellAPI.msi“ am folgenden Speicherort abgelegt:
    C:\Programme\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
  8. Wenn alle Komponenten aktualisiert wurden und erwartungsgemäß funktionieren, können Sie die aktualisierten Knoten für den Datenverkehr öffnen. Andernfalls wechseln Sie zum Abschnitt „Rollback-Anweisungen“.
Hinweis Wenn Sie die Aktualisierung mit einem Updaterollup durchführen, das Updaterollup 5 für Windows Azure Pack entspricht oder älter ist, befolgen Sie diese Anweisungen zum Aktualisieren der WAP-Datenbank.

Rollback-Anweisungen

Wenn ein Fehler auftritt und Sie feststellen, dass ein Rollback notwendig ist, gehen Sie wie folgt vor:
  1. Wenn Momentaufnahmen (siehe zweiten Hinweis in Schritte 3 des Abschnitts „Installationsanweisungen“) verfügbar sind, wenden Sie diese Momentaufnahmen an. Sind keine Momentaufnahmen vorhanden, fahren Sie mit dem nächsten Schritt fort.
  2. Verwenden Sie die Sicherung, die Sie im ersten und dritten Hinweis in Schritt 3 des Abschnitts „Installationsanweisungen“ erstellt haben, zum Wiederherstellen Ihrer Datenbanken und Computer.

    Hinweis Lassen Sie das System nicht in einem teilweise aktualisierten Zustand. Führen Sie auch dann, wenn das Update nur auf einem Knoten fehlgeschlagen ist, auf allen Computern, auf denen Windows Azure Pack installiert wurde, Rollback-Vorgänge aus.

    Empfohlen Führen Sie Windows Azure Pack Best Practice Analyzer auf allen Windows Azure Pack-Knoten aus, um deren ordnungsgemäße Konfiguration sicherzustellen.
  3. Öffnen Sie die wiederhergestellten Knoten für den Datenverkehr.

Anweisungen zum Download

Die Updatepakete für Windows Azure Pack sind über Microsoft Update erhältlich und können manuell heruntergeladen werden.

Microsoft Update

Um ein Updatepaket über Microsoft Update zu beziehen und zu installieren, führen Sie die folgenden Schritte auf einem Computer aus, auf dem die betreffende Komponente installiert ist:
  1. Klicken Sie auf Start und anschließend auf Systemsteuerung.
  2. Doppelklicken Sie in der Systemsteuerung auf Windows Update.
  3. Klicken Sie im Fenster „Windows Update“ auf Online nach Updates aus Microsoft Update suchen.
  4. Klicken Sie auf Es sind wichtige Updates verfügbar.
  5. Wählen Sie die Updaterollup-Pakete aus, die Sie installieren möchten, und klicken Sie dann auf OK.
  6. Wählen Sie Updates installieren aus, um die ausgewählten Updatepakete zu installieren.

Manuelles Herunterladen der Updatepakete

Besuchen Sie die folgende Website, um die Updatepakete manuell aus dem Microsoft Update-Katalog herunterzuladen:

In diesem Updaterollup aktualisierte Dateien

Geänderte DateienVersion
MgmtSvc-SQLServer.msi3.32.8196.12
MgmtSvc-TenantAPI.msi3.32.8196.12
MgmtSvc-TenantPublicAPI.msi3.32.8196.12
MgmtSvc-TenantSite.msi3.32.8196.12
MgmtSvc-Usage.msi3.32.8196.12
MgmtSvc-WebAppGallery.msi3.32.8196.12
MgmtSvc-WindowsAuthSite.msi3.32.8196.12
MgmtSvc-AdminAPI.msi3.32.8196.12
MgmtSvc-AdminSite.msi3.32.8196.12
MgmtSvc-AuthSite.msi3.32.8196.12
MgmtSvc-Bpa.msi3.32.8196.12
MgmtSvc-ConfigSite.msi3.32.8196.12
MgmtSvc-Monitoring.msi3.32.8196.12
MgmtSvc-MySQL.msi3.32.8196.12
MgmtSvc-PowerShellAPI.msi3.32.8196.12
Eigenschaften

Artikelnummer: 3146301 – Letzte Überarbeitung: 06/27/2016 14:24:00 – Revision: 2.0

Microsoft System Center 2012 R2, Windows Azure Pack

  • kbsurveynew kbfix kbbug kbexpertiseinter kbsecbulletin kbsecvulnerability atdownload kbsecurity KB3146301
Feedback