Síntomas
Existe una vulnerabilidad de seguridad en el paquete acumulativo de actualizaciones 13 para Windows Azure Pack (WAP) que hace que la inyección de script de ciertos símbolos omita las restricciones de la interfaz de usuario del portal. La interfaz de usuario del portal restringe ciertos símbolos, como los símbolos mayor que (<) y menor que (>) que son necesarios para la inyección de “<script>”.
Al reproducir una solicitud en Fiddler, las cadenas que contienen caracteres como < y > se pueden enviar como nombre de suscripción. El campo NombreDeSuscripción se puede configurar en cualquier cadena de hasta 128 caracteres. En este escenario, usted puede cargar y ejecutar varios scripts, como <script src=»https://code.jquery.com/jquery-1.10.2.min.js»> o <script>alert(document.cookie)</script>.
Para obtener más información sobre esta vulnerabilidad, consulte CVE-2018-8652, Vulnerabilidades y exposiciones comunes de Microsoft.
Solución
Información de descarga
Los paquetes de actualizaciones para Windows Azure Pack están disponibles a través de Microsoft Update o por descarga manual.
Microsoft Update
Esta actualización de seguridad está disponible a través de Windows Update. Al activar las actualizaciones automáticas, esta actualización de seguridad se descargará e instalará automáticamente. Para obtener más información sobre cómo obtener automáticamente las actualizaciones de seguridad, consulte Windows Update: P+F.
Descarga manual del paquete de actualizaciones
Vaya al siguiente sitio web para descargar manualmente el paquete de actualizaciones de seguridad del Catálogo de Microsoft Update:
Descargar ahora el paquete de actualizaciones de seguridad de Windows Azure Pack.
Información de instalación
Estas instrucciones de instalación son para los siguientes componentes Windows Azure Pack:
-
Sitio de tenant
-
API de tenant
-
API pública de tenant
-
Sitio de administración
-
API de administración
-
Autenticación
-
Autenticación de Windows
-
Uso
-
Supervisión
-
Microsoft SQL
-
MySQL
-
Galería de aplicaciones web
-
Sitio de configuración
-
Analizador de procedimientos recomendados
-
API de PowerShell
Para instalar los archivos de actualización .msi para cada componente de Windows Azure Pack, siga estos pasos:
-
Si el sistema actualmente es operacional (que maneja el tráfico del cliente), programe el tiempo de inactividad para los servidores de Azure. Windows Azure Pack actualmente no admite actualizaciones graduales.
-
Detenga o redirija el tráfico del cliente a sitios alternativos que considere satisfactorios.
-
Cree copias de seguridad de los equipos.
Notas-
Si utiliza máquinas virtuales, tome instantáneas del estado actual.
-
Si no utiliza máquinas virtuales, realice una copia de seguridad de las carpetas MgmtSvc-* en el directorio Inetpub en cada equipo que tenga instalado un componente de WAP.
-
Recopile información y archivos relacionados con sus certificados, encabezados host y cualquier cambio de puerto.
-
-
Si utiliza su propio tema para el sitio de tenant de Windows Azure Pack, consulte Cómo conservar un tema de Windows Azure Pack después de una actualización de Microsoft antes de ejecutar la actualización.
-
Instale la actualización mediante la ejecución de cada archivo .msi en el equipo en el que se está ejecutando el componente correspondiente. Por ejemplo, ejecute MgmtSvc-AdminAPI.msi en el equipo que está ejecutando el sitio “MgmtSvc-AdminAPI” en IIS.
-
Para cada nodo que esté bajo equilibrio de carga, ejecute las actualizaciones para los componentes en el siguiente orden:
-
Si utiliza los certificados autofirmados originales que se instalaron a través de WAP, la operación de actualización los reemplazará. Debe exportar el certificado nuevo e importarlo a los otros nodos que se encuentran bajo equilibrio de carga. Estos certificados tienen un patrón de nombres CN=MgmtSvc-* (autofirmado).
-
Actualice los servicios del proveedor de recursos (RP) (SQL Server, My SQL, SPF/VMM, sitios web) según sea necesario. Asegúrese de que se estén ejecutando los sitios del RP.
-
Actualice el sitio de la API de tenant, la API pública de tenant, los nodos de la API de administrador y los sitios de autenticación de administrador y de tenant.
-
Actualice los sitios de administrador y de tenant.
Los scripts para obtener las versiones de la base de datos y actualizar las bases de datos instaladas por MgmtSvc-PowerShellAPI.msi se almacenan en la siguiente ubicación:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
Si todos los componentes se actualizan y funcionan como se espera, puede abrir el tráfico a sus nodos actualizados. De lo contrario, consulte la sección “Instrucciones de reversión”.
Nota Si realiza la actualización desde un paquete acumulativo de actualizaciones que es igual o anterior al paquete acumulativo de actualizaciones 5 para Windows Azure Pack, siga estas instrucciones para actualizar la base de datos de WAP. -
Si se produce un problema y determina que se requiere una reversión, siga estos pasos:
-
Si las instantáneas están disponibles como se describe en la segunda nota en el paso 3 de la sección “Instrucciones de instalación”, aplique las instantáneas. Si no hay instantáneas, vaya al siguiente paso.
-
Use la copia de seguridad que se realizó como se describe en la primera y tercera nota en el paso 3 de la sección “Instrucciones de instalación” para restaurar sus bases de datos y equipos.
Nota No deje el sistema en un estado de actualización parcial. Realice operaciones de reversión en todos los equipos en los que se instaló Windows Azure Pack, incluso si la actualización falló en un solo nodo.
Le recomendamos que ejecute el analizador de procedimientos recomendados de Windows Azure Pack en cada nodo de Windows Azure Pack para asegurarse de que los elementos de configuración sean correctos. -
Abra el tráfico a sus nodos restaurados.