Problembeschreibung
In Updaterollup 13 für Windows Azure Pack (WAP) besteht eine Sicherheitsanfälligkeit, die bei der Skripteinschleusung bestimmter Symbole das Umgehen der Einschränkungen der Portalbenutzeroberfläche bewirkt. Die Portalbenutzeroberfläche schließt bestimmte Symbole wie beispielsweise das Größer-als-Symbol (<) und das Kleiner-als-Symbol (>) aus, die für die <script>-Einschleusung erforderlich sind.
Durch die erneute Ausführung einer Anforderung in Fiddler können Zeichenfolgen, die Zeichen wie beispielsweise < und > enthalten, als Abonnementname gesendet werden. Für das Feld SubscriptionName kann eine beliebige Zeichenfolge mit maximal 128 Zeichen festgelegt werden. In diesem Szenario können Sie verschiedene Skripts laden und ausführen, wie beispielsweise <script src="https://code.jquery.com/jquery-1.10.2.min.js"> oder <script>alert(document.cookie)</script>.
Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter Microsoft Common Vulnerabilities and Exposures CVE-2018-8652.
Lösung
Informationen zum Download
Updatepakete für Windows Azure Pack sind über Microsoft Update oder zum manuellen Herunterladen verfügbar.
Microsoft Update
Dieses Sicherheitsupdate ist über Windows Update erhältlich. Wenn Sie die automatische Aktualisierung einschalten, wird dieses Sicherheitsupdate heruntergeladen und automatisch installiert. Weitere Informationen zum automatischen Abrufen von Sicherheitsupdates finden Sie unter Windows Update: FAQ.
Manuelles Herunterladen des Updatepakets
Besuchen Sie die folgende Website, um das Sicherheitsupdatepaket manuell aus dem Microsoft Update-Katalog herunterzuladen:
Laden Sie das Windows Azure Pack-Sicherheitsupdatepaket jetzt herunter.
Informationen zur Installation
Diese Installationsanweisungen gelten für die folgenden Windows Azure Pack-Komponenten:
-
Mandantenwebsite
-
Mandanten-API
-
Öffentliche Mandanten-API
-
Verwaltungswebsite
-
Verwaltungs-API
-
Authentifizierung
-
Windows-Authentifizierung
-
Verwendung
-
Überwachung
-
Microsoft SQL
-
MySQL
-
Web App Gallery
-
Konfigurationswebsite
-
Best Practices Analyzer
-
PowerShell-API
Gehen Sie wie folgt vor, um die MSI-Updatedateien für die einzelnen Windows Azure Pack-Komponenten zu installieren:
-
Wenn das System aktuell betriebsbereit ist (und Kundendatenverkehr verarbeitet), planen Sie Downtime für die Azure-Server ein. Das Windows Azure Pack unterstützt derzeit keine parallelen Upgrades.
-
Beenden Sie Kundendatenverkehr, oder leiten Sie ihn an alternative Websites um, die Sie als zufriedenstellend betrachten.
-
Erstellen Sie Sicherungskopien der Computer.
Hinweise-
Erstellen Sie Momentaufnahmen des aktuellen Zustands, falls Sie virtuelle Computer verwenden.
-
Wenn Sie keine virtuellen Computer verwenden, erstellen Sie eine Sicherungskopie jedes Ordners MgmtSvc-* im Verzeichnis Inetpub auf jedem Computer, auf dem eine WAP-Komponente installiert ist.
-
Erfassen Sie Informationen und Dateien im Zusammenhang mit Ihren Zertifikaten, Hostheadern und Portänderungen.
-
-
Wenn Sie Ihr eigenes Design für die Windows Azure Pack-Mandantenwebsite verwenden, sollten Sie den Artikel Beibehalten eines Windows Azure Pack-Designs nach einem Microsoft-Upgrade lesen, bevor Sie das Update ausführen.
-
Installieren Sie das Update, indem Sie die verschiedenen MSI-Dateien auf dem Computer ausführen, auf dem die entsprechende Komponente ausgeführt wird. Führen Sie beispielsweise „MgmtSvc-AdminAPI.msi“ auf dem Computer aus, auf dem die Website „MgmtSvc-AdminAPI“ in IIS ausgeführt wird.
-
Führen Sie für jeden Knoten mit Lastenausgleich die Updates für Komponenten in der folgenden Reihenfolge aus:
-
Wenn Sie die ursprünglichen selbstsignierten Zertifikate verwenden, die von WAP installiert wurden, werden sie durch den Updatevorgang ersetzt. Sie müssen das neue Zertifikat exportieren und in den anderen Knoten mit Lastenausgleich importieren. Diese Zertifikate weisen das Benennungsmuster CN=MgmtSvc-* (selbstsigniert) auf.
-
Aktualisieren Sie bei Bedarf Ressourcenanbieterservices (SQL Server, My SQL, SPF/VMM, Websites). Stellen Sie außerdem sicher, dass die Ressourcenanbieterwebsites ausgeführt werden.
-
Aktualisieren Sie die Mandanten-API-Website, die öffentliche Mandanten-API, Verwaltungs-API-Knoten sowie die Verwaltungs- und Mandantenauthentifizierungswebsites.
-
Aktualisieren Sie die Administrator- und Mandantenwebsites.
Die Skripts zum Abrufen von Datenbankversionen und Aktualisieren von Datenbanken, die durch „MgmtSvc-PowerShellAPI.msi“ installiert werden, finden Sie im folgenden Speicherort:
C:\Programme\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
Wenn alle Komponenten aktualisiert wurden und erwartungsgemäß funktionieren, können Sie Ihre aktualisierten Knoten für den Datenverkehr öffnen. Lesen Sie andernfalls den Abschnitt „Rollbackanweisungen“.
Hinweis Wenn Sie ein Update für einen Updaterollup durchführen, der maximal Updaterollup 5 für Windows Azure Pack entspricht, befolgen Sie diese Anweisungen zum Aktualisieren der WAP-Datenbank. -
Gehen Sie wie folgt vor, wenn ein Problem auftritt und Sie ein Rollback als notwendig betrachten:
-
Wenn wie im zweiten Hinweis von Schritt 3 im Abschnitt „Installationsanweisungen“ beschrieben Momentaufnahmen verfügbar sind, dann wenden Sie diese Momentaufnahmen an. Wenn keine Momentaufnahmen vorhanden sind, fahren Sie mit dem nächsten Schritt fort.
-
Stellen Sie mithilfe der Sicherungskopie, die Sie wie im ersten und dritten Hinweis von Schritt 3 im Abschnitt „Installationsanweisungen“ beschrieben erstellt haben, Ihre Datenbanken und Computer wieder her.
Hinweis Belassen Sie das System nicht in einem teilweise aktualisierten Zustand. Führen Sie Rollbackvorgänge auf allen Computern aus, auf denen Windows Azure Pack installiert wurde, selbst wenn das Update nur auf einem Knoten fehlgeschlagen ist.
Es wird empfohlen, Windows Azure Pack Best Practice Analyzer auf jedem Windows Azure Pack-Knoten auszuführen, um sicherzustellen, dass die Konfigurationselemente korrekt sind. -
Öffnen Sie Ihre wiederhergestellten Knoten für den Datenverkehr.