Paquete acumulativo seguridad 9.1 para Windows Azure

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3146301
Aviso
La actualización que describe este artículo se ha reemplazado por un paquete acumulativo de actualizaciones más reciente. Recomendamos que instale la actualización más reciente. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
3158609 Paquete acumulativo de actualizaciones 10 para Windows Azure Pack
Resumen
Este artículo describe los problemas de seguridad que se corrigen en Update Rollup 9.1 para Windows Azure Pack (versión de archivo 3.32.8196.12). También contiene las instrucciones de instalación para el paquete acumulativo de actualizaciones.
Problemas corregidos en este paquete acumulativo de actualizaciones

Problema 1: Vulnerabilidad secuencias de comandos entre sitios de ZeroClipboard

Las versiones anteriores a la 9.1 de WAP incluyen una versión de ZeroClipboard (v 1.1.7) que es vulnerable a cross-site scripting (XSS). El paquete de actualizaciones de seguridad 9.1 para WAP incluye ZeroClipboard actualizada la versión 1.3.5, que resuelve esta vulnerabilidad. Puede encontrar detalles acerca de él aquí.

Impacto ZeroClipboard se encuentra en los portales de administración de inquilinos y en el servicio de autenticación de clientes. Esta vulnerabilidad se puede aprovechar en todos estos servicios. Un proveedor de servicio normalmente mantendrá el portal de administración inaccesible por los inquilinos, pero el portal de inquilinos y el servicio de autenticación de inquilinos normalmente están disponibles para los inquilinos. Tenga en cuenta que el servicio de autenticación de inquilinos no se admite en implementaciones de producción. Si un ataque tiene éxito, el adversario puede ejecutar cualquier cosa que un administrador WAP o usuario inquilino puede ejecutar en la aplicación. El adversario podría también generar este error y atacar el explorador o la estación de trabajo de la víctima, o crear o tener acceso a recursos de inquilinos (como máquinas virtuales o de SQL Server). Dado que el servidor de autenticación federados también es vulnerable, también pueden estar disponibles otras opciones de ataque.

Problema 2: vulnerabilidad de servicio de la API pública de inquilinos

En las versiones anteriores a la 9.1 de WAP, un atacante active inquilinos puede cargar un certificado a través del servicio de la API pública de inquilinos y asociarla con identificador de suscripción. del inquilino de destino Esto permite al atacante tener acceso a los recursos del inquilino de destino. El paquete acumulativo de actualizaciones 9.1 bloquea este ataque.

Impacto Un adversario puede utilizarla para tener acceso a los inquilinos WAP service API pública. Sin embargo, para ello, el atacante debe conocer el subscriptionId de la víctima. Hay al menos un escenario posible para un adversario obtener acceso a la subscriptionId. La aplicación permite a los administradores crear administradores de co. Cuando un usuario inicia una sesión como co-admin, que lleguen a conocer la subscriptionId. Si posteriormente se quita este co-admin, pueden realizar el ataque.

Instrucciones de instalación

Estas instrucciones de instalación son para los siguientes componentes de Windows Azure Pack:
  • Sitio de inquilinos
  • API de inquilinos
  • API pública de inquilinos
  • Sitio de administración
  • API de administración
  • Autenticación de
  • Autenticación de Windows
  • Uso
  • Supervisión
  • Microsoft SQL
  • MySQL
  • Galería de aplicación web
  • Sitio de configuración
  • Best Practices Analyzer
  • API de PowerShell
Para instalar los archivos .msi de actualización para cada componente de paquete de Windows Azure (WAP), siga estos pasos:
  1. Si el sistema está actualmente en funcionamiento programación (controlando el tráfico de cliente), el tiempo de inactividad de los servidores de Azure Pack. El paquete de Windows Azure actualmente no admite actualizaciones sucesivas.
  2. Detener o redirigir el tráfico de cliente a sitios que considere satisfactorio.
  3. Crear imágenes de copia de seguridad de los servidores web y las bases de datos de SQL Server.

    Notas:
    • Si está usando máquinas virtuales, realice instantáneas de su estado actual.
    • Si no utiliza las máquinas virtuales, realice una copia de seguridad de cada MgmtSvc-* carpeta del directorio Inetpub en cada equipo que tiene instalado un componente WAP.
    • Recopilar información y archivos relacionados con los certificados, encabezados de host y los cambios de puerto.
  4. Si está utilizando su propio tema para el sitio de Windows Azure Pack inquilinos, siga estas instrucciones para conservar los cambios de tema antes de ejecutar la actualización.
  5. Realice la actualización ejecutando cada archivo .msi en el equipo donde se ejecuta el componente correspondiente. Por ejemplo, ejecute el AdminAPI.msi de MgmtSvc en el equipo que está ejecutando el sitio de "MgmtSvc-AdminAPI" en los servicios de Internet Information Server (IIS).
  6. Para cada nodo en equilibrio de la carga, ejecute las actualizaciones para los componentes en el orden siguiente:
    1. Si utiliza los certificados autofirmados originales instalados por WAP, la operación de actualización reemplaza. Tiene que exportar el nuevo certificado e importar los demás nodos en Equilibrio de la carga. Estos certificados tienen un CN = MgmtSvc-* modelo de nomenclatura (autofirmado).
    2. Actualice los servicios de proveedor de recursos (RP) (SQL Server, My SQL, SPF/VMM y sitios web) según sea necesario. Asegúrese de que se están ejecutando los sitios RP.
    3. Actualice el sitio de inquilinos API, API pública de inquilinos, nodos de API de administrador y administrador y arrendatario sitios de autenticación.
    4. Actualice los sitios Administrador y arrendatario.
  7. Las secuencias de comandos para obtener versiones de base de datos y actualizar bases de datos instaladas por el PowerShellAPI.msi de MgmtSvc se almacenan en la siguiente ubicación:
    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
  8. Si se actualizan todos los componentes y funciona como se esperaba, puede abrir el tráfico a los nodos actualizados. En caso contrario, consulte la "Instrucciones ROLLBACK.
Nota: Si es actualización de un paquete acumulativo que es igual a o mayor que Paquete acumulativo de actualizaciones 5 para Windows Azure Pack, siga Estas instrucciones Para actualizar la base de datos WAP.

Instrucciones ROLLBACK

Si se produce un problema y comprobar que es necesaria una operación de deshacer, siga estos pasos:
  1. Si las instantáneas están disponibles desde la segunda nota en el paso 3 el "Instrucciones de instalación"sección, las instantáneas se aplican. Si hay no hay instantáneas, vaya al paso siguiente.
  2. Utilice la copia de seguridad que se ha tomado en la primera y tercera nota en el paso 3 en el "Instrucciones de instalación"sección para restaurar bases de datos y equipos.

    Nota: No deje el sistema en un estado parcialmente actualizado. Realizar operaciones de reversión en todos los equipos en que se instaló el paquete de Windows Azure, incluso si la actualización falló en un nodo.

    Recomienda Windows Azure Pack Best Practice Analyzer se ejecuta en cada nodo de Windows Azure Pack para asegurarse de que los elementos de configuración son correctos.
  3. Abra el tráfico a los nodos restaurados.

Instrucciones de descarga

Paquetes de actualización para el paquete de Windows Azure están disponibles desde Microsoft Update o mediante descarga manual.

Microsoft Update

Para obtener e instalar un paquete de actualización desde Microsoft Update, siga estos pasos en un equipo que tiene instalado un componente aplicable:
  1. Haga clic en Inicio y a continuación haga clic en Panel de control.
  2. En el Panel de Control, haga doble clic en Windows Update.
  3. En la ventana de Windows Update, haga clic en Comprobar en línea para las actualizaciones desde Microsoft Update.
  4. Haga clic en Actualizaciones importantes.
  5. Seleccione los paquetes de Acumulativo de actualizaciones que desea instalar y, a continuación, haga clic en Aceptar.
  6. Seleccione Instalar actualizaciones para instalar los paquetes de actualización seleccionada.

Descarga manual de los paquetes de actualización

Visite el siguiente sitio web para descargar manualmente los paquetes de actualización desde el catálogo de Microsoft Update:

Archivos actualizados en este paquete

Archivos modificadosVersión
MgmtSvc-SQLServer.msi3.32.8196.12
MgmtSvc-TenantAPI.msi3.32.8196.12
MgmtSvc-TenantPublicAPI.msi3.32.8196.12
MgmtSvc-TenantSite.msi3.32.8196.12
MgmtSvc-Usage.msi3.32.8196.12
MgmtSvc-WebAppGallery.msi3.32.8196.12
MgmtSvc-WindowsAuthSite.msi3.32.8196.12
MgmtSvc-AdminAPI.msi3.32.8196.12
MgmtSvc-AdminSite.msi3.32.8196.12
MgmtSvc-AuthSite.msi3.32.8196.12
MgmtSvc-Bpa.msi3.32.8196.12
MgmtSvc-ConfigSite.msi3.32.8196.12
MgmtSvc-Monitoring.msi3.32.8196.12
MgmtSvc-MySQL.msi3.32.8196.12
MgmtSvc-PowerShellAPI.msi3.32.8196.12

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3146301 - Última revisión: 07/03/2016 11:06:00 - Revisión: 2.0

Microsoft System Center 2012 R2, Windows Azure Pack

  • kbsurveynew kbfix kbbug kbexpertiseinter kbsecbulletin kbsecvulnerability atdownload kbsecurity kbmt KB3146301 KbMtes
Comentarios