Correctif de sécurité cumulatif 9.1 pour Windows Azure Pack


La mise à jour décrite dans cet article a été remplacée par un nouveau correctif cumulatif. Nous vous conseillons d'installer la mise à jour la plus récente. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
3158609 Correctif cumulatif 10 pour Windows Azure Pack

Résumé

Cet article décrit les problèmes de sécurité résolus dans le Correctif cumulatif 9.1 pour Windows Azure Pack (fichier version 3.32.8196.12). Il contient également les instructions d'installation pour le correctif cumulatif.

Problèmes résolus dans ce correctif cumulatif

Problème 1 - Vulnérabilité de script de site à site ZeroClipboard

Les versions antérieures à la 9.1 de WAP comprennent une version de ZeroClipboard (v 1.1.7) vulnérable au script de site à site (XSS). Le correctif de sécurité cumulatif 9.1 pour WAP comprend la version 1.3.5 de ZeroClipboard mise à jour, ce qui résout cette vulnérabilité. Vous trouverez plus d'informations à ce sujet ici.

Impact ZeroClipboard se trouve sur les portails de l'administrateur et du client, ainsi que dans le service d'authentification des clients. Cette vulnérabilité peut être exploitée sur tous ces services. Un fournisseur de services empêche généralement les clients d'accéder au portail de l'administrateur, mais le portail du client et le service d'authentification du client sont habituellement à la disposition des clients. N'oubliez pas que le service d'authentification du client n'est pas pris en charge dans les déploiements de production. Si une attaque réussit, l'adversaire peut exécuter tout ce qu'un administrateur WAP ou l'utilisateur d'un client peut exécuter dans l'application. L'adversaire peut également exploiter ce bogue et attaquer le navigateur ou le poste de travail de la victime, ou encore créer des ressources sur le client ou y accéder (par exemple des machines virtuelle ou SQL Server). Le serveur d'authentification fédérée étant également vulnérable, d'autres options d'attaque peuvent également être disponibles.

Problème 2 - Vulnérabilité du service API public du client

Dans les versions antérieures à la 9.1 de WAP, un attaquant de client actif peut télécharger un certificat par l'intermédiaire du service API public du client et l'associer à un ID d'abonnement du client cible. Il pourrait ainsi accéder aux ressources du client cible. Le correctif cumulatif 9.1 bloque ce type d'attaque.

Impact Un adversaire peut l'utiliser pour accéder au service API public du client de WAP. Toutefois, pour ce faire, l'attaquant doit connaître le subscriptionId de la victime. Il existe au moins un scénario possible pour un adversaire, qui lui permettrait d'accéder au subscriptionId. L'application permet aux administrateurs de créer des co-administrateurs. Lorsqu'un utilisateur se connecte en tant que co-administrateur, il connaît le subscriptionId. Si ce co-administrateur est supprimé ultérieurement, il peut exécuter l'attaque.
Instructions d'installation
Instructions de restauration

Instructions relatives au téléchargement

Les packages de mise à jour pour Windows Azure Pack sont disponibles depuis Microsoft Update ou en téléchargement manuel.

Microsoft Update

Pour obtenir et installer un package de mise à jour depuis Microsoft Update, procédez comme suit sur un ordinateur sur lequel un composant applicable est installé :
  1. Cliquez sur Démarrer, puis sur Panneau de configuration.
  2. Dans le Panneau de configuration, double-cliquez sur Windows Update.
  3. Dans la fenêtre Windows Update, cliquez sur Vérifier en ligne la disponibilité de mises à jour en provenance de Microsoft Update.
  4. Cliquez sur Des mises à jour importantes sont disponibles.
  5. Sélectionnez les packages Correctif cumulatif que vous souhaitez installer, puis cliquez sur OK.
  6. Sélectionnez Installer les mises à jour pour installer les packages de mise à jour sélectionnés.

Téléchargement manuel des packages de mise à jour

Rendez-vous sur les sites web suivants pour télécharger manuellement les packages de mise à jour à partir du Catalogue Microsoft Update :
Fichiers mis à jour dans ce correctif cumulatif
Propriétés

ID d'article : 3146301 - Dernière mise à jour : 27 juin 2016 - Révision : 1

Commentaires