Résumé

Dans le cadre d’une révision de sécurité, nous avons déterminé qu’une clé privée détenue par Microsoft, utilisée pour le déverrouillage du point de terminaison privilégié Azure Stack Hub pour la build Azure Stack Hub 2002, n’était pas correctement sécurisée. Une enquête plus approfondie n’a révélé aucune preuve d’utilisation abusive de la clé privée. Par précaution, Microsoft fournit ce correctif logiciel pour faire pivoter la clé publique utilisée pour cette séquence de déverrouillage de prise en charge du point de terminaison privilégié.  

Pour utiliser cette clé privée, les conditions suivantes doivent être remplies :

  1. Vous devez disposer des informations d’identification d’administrateur cloud pour l’appliance Azure Stack Hub.

  2. Vous devez disposer d’une connectivité réseau aux adresses IP du point de terminaison privilégié Azure Stack Hub. Notez que ces adresses IP se trouvent sur le réseau d’infrastructure isolé. Dans un déploiement standard, ces adresses ne tireraient pas parti des adresses IP routables sur Internet, ce qui rendrait les points de terminaison accessibles uniquement à partir de votre réseau interne/de gestion.

  3. Vous devez utiliser la clé privée pour traiter le jeton de support de réponse au défi et l’utiliser pour déverrouiller le point de terminaison privilégié. Cela est similaire à un scénario de support engagé directement avec Microsoft, comme décrit dans l’article Azure Stack Hub à l’aide du point de terminaison privilégié dans Azure Stack Hub.

Ce correctif fait pivoter la clé publique utilisée pour déverrouiller le point de terminaison privilégié Azure Stack Hub pour Azure Stack Hub 2002 et inclut tous les correctifs logiciels précédents de 2002. Nous vous recommandons vivement d’installer ce correctif dès que possible. 

Correctifs cumulatifs par rapport aux versions précédentes du correctif logiciel

  • Amélioration de la fiabilité du réseau SDN sur les nœuds physiques.

  • Correction d’un problème dans lequel un sous-réseau virtuel n’était pas nettoyé si le tunnel était déplacé vers une autre machine virtuelle GW, puis si le VGW était supprimé.

  • Correction d’un problème qui pouvait entraîner l’échec de l’inscription et de la rotation des secrets internes.

  • Ajout de paramètres spécifiques à la mémoire aux paramètres de vidage sur incident.

  • Le problème d’invalidation du gestionnaire SMB corrigé déclenché par l’événement d’erreur ESENT 59 dans TableServer.

  • Correction d’un problème qui affectait la fiabilité du téléchargement des mises à jour suivantes.

  • Amélioration de la fiabilité de l’installation du package NuGet après un échec inattendu.

  • Correction d’un problème où la validation de la liste déroulante d’abonnement échoue lorsque l’utilisateur dispose uniquement de l’autorisation d’écriture RG.

  • Correction d’un problème dans lequel la page de téléchargement d’objets blob présentait un problème lors du téléchargement d’éléments volumineux.

  • Correction d’un problème dans lequel la configuration de la période de rétention pour les comptes de stockage supprimés était rétablie.

  • Amélioration de la stabilité du contrôleur de réseau.

  • Augmentation de la rétention des journaux du contrôleur de réseau pour faciliter le diagnostic.

  • Correction d’un problème où les téléchargements de la Place de marché pouvaient échouer en raison d’une erreur de validation de certificat.

  • Incluez le certificat d’identité du fournisseur de déploiement dans la rotation des secrets internes.

  • Correction de WMI de stockage Windows pour maintenir la réactivité des appels, afin d’améliorer la fiabilité des opérations de gestion du stockage.

  • Ajout du moniteur d’état du module de plateforme sécurisée pour les hôtes physiques.

  • Redémarrage des machines virtuelles SQL pour atténuer les problèmes potentiels liés à l’accès à la base de données qui affecte l’accès au portail.

  • Amélioration de la fiabilité du service d’objets blob et de tables de stockage.

  • Correction d’un problème dans lequel la création de VMSS avec la référence SKU Standard_DS2_v2 via l’interface utilisateur échouait toujours.

  • Améliorations apportées aux mises à jour de configuration.

  • Correction de la fuite de l’énumérateur KVS dans DiskRP pour améliorer la fiabilité des opérations de disque.

  • Réactivez la possibilité de générer des vidages sur incident de l’hôte et de déclencher des blocages NMI pour les blocages.

  • Correction de la vulnérabilité du serveur DNS décrite dans CVE-2020-1350.

  • Modifications apportées à l’instabilité du cluster.

  • Amélioration de la fiabilité de la création de points de terminaison JEA.

  • Correction d’un bogue pour débloquer la création simultanée de machines virtuelles dans des tailles de lot de 20 ou plus.

  • Amélioration de la fiabilité et de la stabilité du portail, en ajoutant une fonctionnalité de supervision pour redémarrer le service d’hébergement s’il subit un temps d’arrêt.

  • Résolution d’un problème où certaines alertes n’étaient pas suspendues pendant la mise à jour.

  • Amélioration des diagnostics concernant les échecs dans les ressources DSC.

  • Message d’erreur amélioré généré par une défaillance inattendue dans le script de déploiement nu.

  • Ajout de la résilience pendant les opérations de réparation des nœuds physiques.

  • Correction d’un défaut de code qui entraînait parfois l’intégrité de l’application SF HRP. Correction d’un défaut de code qui empêchait l’interruption des alertes pendant la mise à jour.

  • Ajout de la résilience au code de création d’image lorsque le chemin d’accès de destination est inopinément absent.

  • Ajout de l’interface de nettoyage de disque pour les machines virtuelles ERCS et garantie qu’elle s’exécute avant de tenter d’installer du nouveau contenu sur ces machines virtuelles.

  • Amélioration de la vérification du quorum pour la réparation du nœud Service Fabric dans le chemin de correction automatique.

  • Amélioration de la logique autour de la mise en ligne des nœuds de cluster dans de rares cas où l’intervention extérieure les place dans un état inattendu.

  • Amélioration de la résilience du code du moteur pour garantir que les fautes de frappe dans la casse du nom de l’ordinateur ne provoquent pas d’état inattendu dans la configuration ECE lorsque des actions manuelles sont utilisées pour ajouter et supprimer des nœuds.

  • Ajout d’un contrôle d’intégrité pour détecter les opérations de réparation de machines virtuelles ou de nœuds physiques qui ont été laissées dans un état partiellement terminé à partir des sessions de support précédentes.

  • Amélioration de la journalisation des diagnostics pour l’installation du contenu à partir de packages NuGet pendant l’orchestration des mises à jour.

  • Correction de l’échec de rotation des secrets internes pour les clients qui utilisent AAD comme système d’identité et bloquent la connectivité Internet sortante ERCS.

  • Augmentation du délai d’expiration par défaut de Test-AzureStack pour AzsScenarios à 45 minutes.

  • Amélioration de la fiabilité des mises à jour HealthAgent.

  • Correction d’un problème où la réparation de machines virtuelles ERCS n’était pas déclenchée pendant les actions de correction.

  • Rend la mise à jour de l’hôte résiliente aux problèmes causés par un échec silencieux du nettoyage des fichiers de machine virtuelle d’infrastructure obsolètes.

  • Ajout d’un correctif préventif pour les erreurs d’analyse certutil lors de l’utilisation de mots de passe générés de manière aléatoire.

  • Ajout d’une série de vérifications d’intégrité avant la mise à jour du moteur, afin que les opérations d’administration ayant échoué puissent continuer à s’exécuter avec leur version d’origine du code d’orchestration.

  • Correction de l’échec de la sauvegarde ACS lorsque la sauvegarde ACSSettingsService s’est terminée en premier.

  • Niveau de comportement de batterie de serveurs Azure Stack AD FS mis à niveau vers v4. Azure Stack Hubs déployé avec la version 1908 ou ultérieure est déjà sur v4.

  • Fiabilité améliorée du processus de mise à jour de l’hôte.

  • Correction d’un problème de renouvellement de certificat qui aurait pu entraîner l’échec de la rotation des secrets internes.

  • Correction de la nouvelle alerte de synchronisation du serveur de temps pour corriger un problème dans lequel il détecte incorrectement un problème de synchronisation de l’heure lorsque la source d’heure a été spécifiée avec l’indicateur 0x8.

  • Correction d’une erreur de contrainte de validation qui s’est produite lors de l’utilisation de la nouvelle interface de collecte automatique des journaux, et elle a détecté

  • https://login.windows.net/ en tant que point de terminaison Azure AD non valide.

  • Correction d’un problème qui empêchait l’utilisation de la sauvegarde automatique SQL via SQLIaaSExtension.

  • Correction des alertes utilisées dans Test-AzureStack lors de la validation des certificats du contrôleur de réseau.

  • Niveau de comportement de batterie de serveurs Azure Stack AD FS mis à niveau vers v4. Azure Stack Hubs déployé avec la version 1908 ou ultérieure est déjà sur v4.

  • Fiabilité améliorée du processus de mise à jour de l’hôte.

  • Correction d’un problème de renouvellement de certificat qui aurait pu entraîner l’échec de la rotation des secrets internes.

  • Réduction des déclencheurs d’alerte afin d’éviter les regroupements de journaux proactifs inutiles.

  • Amélioration de la fiabilité de la mise à niveau du stockage en éliminant le délai d’expiration des appels WMI du service Windows Health.

Informations sur le correctif logiciel

Pour appliquer ce correctif logiciel, vous devez disposer de la version 1.2002.0.35 ou ultérieure.

Important Comme indiqué dans les notes de publication de la mise à jour 2002, veillez à vous reporter à la liste de vérification de l’activité de mise à jour lors de l’exécution de Test-AzureStack (avec des paramètres spécifiés) et à résoudre tous les problèmes opérationnels détectés, y compris tous les avertissements et défaillances. En outre, passez en revue les alertes actives et résolvez toutes les alertes qui nécessitent une action.

Informations sur les fichiers

Téléchargez les fichiers suivants. Suivez ensuite les instructions de la page Appliquer les mises à jour dans Azure Stack sur le site web Microsoft Learn pour appliquer cette mise à jour à Azure Stack.

Téléchargez le fichier zip maintenant.

Téléchargez le fichier xml de correctif logiciel maintenant.

Informations supplémentaires

Ressources de mise à jour Azure Stack Hub

Vue d’ensemble de la gestion des mises à jour dans Azure Stack

Appliquer des mises à jour dans Azure Stack

Surveiller les mises à jour dans Azure Stack à l’aide du point de terminaison privilégié

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.