La mise à jour décrite dans cet article a été remplacée par un nouveau correctif cumulatif. Nous vous conseillons d'installer la mise à jour la plus récente. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

3158609 Correctif cumulatif 10 pour Windows Azure Pack

Résumé

Cet article décrit les problèmes de sécurité résolus dans le Correctif cumulatif 9.1 pour Windows Azure Pack (fichier version 3.32.8196.12). Il contient également les instructions d'installation pour le correctif cumulatif.

Problèmes résolus dans ce correctif cumulatif

Problème 1 - Vulnérabilité de script de site à site ZeroClipboard

Les versions antérieures à la 9.1 de WAP comprennent une version de ZeroClipboard (v 1.1.7) vulnérable au script de site à site (XSS). Le correctif de sécurité cumulatif 9.1 pour WAP comprend la version 1.3.5 de ZeroClipboard mise à jour, ce qui résout cette vulnérabilité. Vous trouverez plus d'informations à ce sujet ici.

Impact ZeroClipboard se trouve sur les portails de l'administrateur et du client, ainsi que dans le service d'authentification des clients. Cette vulnérabilité peut être exploitée sur tous ces services. Un fournisseur de services empêche généralement les clients d'accéder au portail de l'administrateur, mais le portail du client et le service d'authentification du client sont habituellement à la disposition des clients. N'oubliez pas que le service d'authentification du client n'est pas pris en charge dans les déploiements de production. Si une attaque réussit, l'adversaire peut exécuter tout ce qu'un administrateur WAP ou l'utilisateur d'un client peut exécuter dans l'application. L'adversaire peut également exploiter ce bogue et attaquer le navigateur ou le poste de travail de la victime, ou encore créer des ressources sur le client ou y accéder (par exemple des machines virtuelle ou SQL Server). Le serveur d'authentification fédérée étant également vulnérable, d'autres options d'attaque peuvent également être disponibles.

Problème 2 - Vulnérabilité du service API public du client

Dans les versions antérieures à la 9.1 de WAP, un attaquant de client actif peut télécharger un certificat par l'intermédiaire du service API public du client et l'associer à un ID d'abonnement du client cible. Il pourrait ainsi accéder aux ressources du client cible. Le correctif cumulatif 9.1 bloque ce type d'attaque.

Impact Un adversaire peut l'utiliser pour accéder au service API public du client de WAP. Toutefois, pour ce faire, l'attaquant doit connaître le subscriptionId de la victime. Il existe au moins un scénario possible pour un adversaire, qui lui permettrait d'accéder au subscriptionId. L'application permet aux administrateurs de créer des co-administrateurs. Lorsqu'un utilisateur se connecte en tant que co-administrateur, il connaît le subscriptionId. Si ce co-administrateur est supprimé ultérieurement, il peut exécuter l'attaque.

Ces instructions d'installation concernent les composants suivants de Windows Azure Pack :

  • Site client

  • API cliente

  • API publique du client

  • Site d'administration

  • API d'administration

  • Authentification

  • Authentification Windows

  • Utilisation

  • Surveillance

  • Microsoft SQL

  • MySQL

  • Galerie d'applications web

  • Site de configuration

  • Best Practices Analyzer

  • API PowerShell

Pour installer les fichiers .msi de la mise à jour pour chaque composant de Windows Azure Pack (WAP), procédez comme suit :

  1. Si le système est actuellement opérationnel (gère le trafic du client), planifiez des temps d'arrêt pour les serveurs Azure Pack. Actuellement, Windows Azure Pack ne prend en charge les mises à niveau propagées.

  2. Arrêtez ou redirigez le trafic du client vers des sites que vous considérez comme satisfaisants.

  3. Créez des images de sauvegarde des serveurs web et des bases de données SQL Server.

    Remarques

    • Si vous utilisez des machines virtuelles, prenez des instantanés de leur état actuel.

    • Si vous n'en utilisez pas, effectuez une sauvegarde de chaque dossier MgmtSvc-* dans le répertoire Inetpub de chaque ordinateur sur lequel un composant de WAP est installé.

    • Collectez des informations et des fichiers qui sont liés à vos certificats, en-têtes d'hôte et autres modifications de port.

  4. Si vous utilisez votre propre thème pour le site client Windows Azure Pack, suivez ces instructions pour conserver vos modifications du thème avant d'exécuter la mise à jour.

  5. Procédez à la mise à jour en exécutant chaque fichier .msi sur l'ordinateur sur lequel le composant correspondant est utilisé. Par exemple, exécutez MgmtSvc-AdminAPI.msi sur l'ordinateur qui utilise le site « MgmtSvc-AdminAPI » dans Internet Information Services (IIS).

  6. Pour chaque nœud sous l'équilibrage de charge, exécutez les mises à jour pour les composants dans l'ordre suivant :

    1. Si vous utilisez les certificats auto-signés d'origine installés par WAP, l'opération de mise à jour les remplace. Vous devez exporter le nouveau certificat et l'importer sur les autres nœuds sous l'équilibrage de charge. Ces certificats ont un modèle d'affectation de noms CN=MgmtSvc-* (auto-signé).

    2. Mettez à jour les services de fournisseur de ressources (SQL Server, My SQL, SPF/VMM, sites web) selon les besoins. Assurez-vous que les services de fournisseur de ressources sont en cours d'exécution.

    3. Mettez à jour le site API du client, l'API publique du client, les nœuds de l'API de l'administrateur et les sites d'authentification de l'administrateur et du client.

    4. Mettez à jour les sites de l'administrateur et du client.

  7. Les scripts d'obtention des versions de base de données et les bases de données de mise à jour installées par MgmtSvc-PowerShellAPI.msi sont stockés à l'emplacement suivant :

    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database

  8. Si tous les composants sont mis à jour et fonctionnent comme prévu, vous pouvez ouvrir le trafic vers vos nœuds mis à jour. Sinon, consultez la section « Instructions de restauration ».

Remarque Si vous mettez à jour à partir d'un correctif cumulatif équivalent ou plus ancien que le Correctif cumulatif 5 pour Windows Azure Pack, suivezces instructions pour mettre à jour la base de données WAP.

Si un problème se produit et que vous constatez qu'une restauration est nécessaire, procédez comme suit :

  1. Si les instantanés sont disponibles dans la deuxième remarque de l'étape 3 de la section « Instructions d'installation », appliquez les instantanés. S'il n'y a aucun instantané, passez à l'étape suivante.

  2. Utilisez la sauvegarde effectuée dans les première et troisième remarques de l'étape 3 de la section « Instructions d'installation » pour restaurer vos bases de données et ordinateurs.

    Remarque Ne laissez pas le système dans un état partiellement mis à jour. Exécutez les opérations de restauration sur tous les ordinateurs sur lesquels Windows Azure Pack était installé, même si la mise à jour a échoué sur un nœud.

    Recommandé Exécutez Windows Azure Pack Best Practice Analyzer sur chaque nœud Windows Azure Pack pour vous assurer que les éléments de la configuration sont corrects.

  3. Ouvrez le trafic vers vos nœuds restaurés.


Instructions relatives au téléchargementLes packages de mise à jour pour Windows Azure Pack sont disponibles depuis Microsoft Update ou en téléchargement manuel.

Microsoft UpdatePour obtenir et installer un package de mise à jour depuis Microsoft Update, procédez comme suit sur un ordinateur sur lequel un composant applicable est installé :

  1. Cliquez sur Démarrer, puis sur Panneau de configuration.

  2. Dans le Panneau de configuration, double-cliquez sur Windows Update.

  3. Dans la fenêtre Windows Update, cliquez sur Vérifier en ligne la disponibilité de mises à jour en provenance de Microsoft Update.

  4. Cliquez sur Des mises à jour importantes sont disponibles.

  5. Sélectionnez les packages Correctif cumulatif que vous souhaitez installer, puis cliquez sur OK.

  6. Sélectionnez Installer les mises à jour pour installer les packages de mise à jour sélectionnés.

Téléchargement manuel des packages de mise à jourRendez-vous sur les sites web suivants pour télécharger manuellement les packages de mise à jour à partir du Catalogue Microsoft Update :

Télécharger le package de mise à jour maintenant

Fichiers modifiés

Version

MgmtSvc-SQLServer.msi

3.32.8196.12

MgmtSvc-TenantAPI.msi

3.32.8196.12

MgmtSvc-TenantPublicAPI.msi

3.32.8196.12

MgmtSvc-TenantSite.msi

3.32.8196.12

MgmtSvc-Usage.msi

3.32.8196.12

MgmtSvc-WebAppGallery.msi

3.32.8196.12

MgmtSvc-WindowsAuthSite.msi

3.32.8196.12

MgmtSvc-AdminAPI.msi

3.32.8196.12

MgmtSvc-AdminSite.msi

3.32.8196.12

MgmtSvc-AuthSite.msi

3.32.8196.12

MgmtSvc-Bpa.msi

3.32.8196.12

MgmtSvc-ConfigSite.msi

3.32.8196.12

MgmtSvc-Monitoring.msi

3.32.8196.12

MgmtSvc-MySQL.msi

3.32.8196.12

MgmtSvc-PowerShellAPI.msi

3.32.8196.12


Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la traduction ?

Qu’est-ce qui a affecté votre expérience ?

Avez-vous d’autres commentaires ? (Facultatif)

Nous vous remercions pour vos commentaires.

×