Symptômes
Il existe une faille de sécurité dans le correctif cumulatif 13 pour Windows Azure Pack (WAP) selon laquelle l’injection de script de certains symboles contourne les restrictions de l’interface utilisateur du portail. L’interface utilisateur du portail restreint certains symboles tels que les signes « supérieur à » ( < ) et « inférieur à » ( > ) qui sont nécessaires pour l’injection de « <script> ».
En reproduisant une demande dans Fiddler, les chaînes qui contiennent des caractères tels que < et > peuvent être envoyées en tant que nom d’abonnement. Le champ SubscriptionName peut avoir comme valeur n’importe quelle chaîne contenant un maximum de 128 caractères. Dans ce scénario, vous pouvez charger et exécuter divers scripts tels que <script src="https://code.jquery.com/jquery-1.10.2.min.js"> ou <script>alert(document.cookie)</script>.
Pour en savoir plus sur cette vulnérabilité, consultez la page Microsoft Common Vulnerabilities and Exposures CVE-2018-8652.
Résolution
Informations sur le téléchargement
Des packages de mise à jour pour Windows Azure Pack sont disponibles sur Microsoft Update peuvent être téléchargés manuellement.
Microsoft Update
Cette mise à jour de sécurité est disponible via Windows Update. Si vous activez les mises à jour automatiques, cette mise à jour de sécurité est téléchargée et installée automatiquement. Pour en savoir plus sur l’obtention automatique des mises à jour de sécurité, voir Windows Update : Forum aux questions.
Téléchargement manuel du package de mise à jour
Accédez à la page web suivante pour télécharger manuellement le package de mise à jour de sécurité à partir du Catalogue Microsoft Update :
Télécharger le package de mise à jour de sécurité pour Windows Azure Pack
Informations sur l’installation
Ces instructions d’installation concernent les composants Windows Azure Pack suivants :
-
Site client
-
API client
-
API locataire publique
-
Site d’administration
-
API d’administration
-
Authentification
-
Authentification Windows
-
Utilisation
-
Surveillance
-
Microsoft SQL
-
MySQL
-
Galerie d’applications web
-
Site de configuration
-
Best Practice Analyzer
-
API PowerShell
Pour installer les fichiers .msi de mise à jour pour chaque composant Windows Azure Pack, procédez comme suit :
-
Si le système est actuellement opérationnel (trafic client en cours de traitement), planifiez les temps d’interruption pour les serveurs Azure. À l’heure actuelle, Windows Azure Pack ne prend pas en charge les mises à niveau propagées.
-
Arrêtez le trafic client ou redirigez-le vers d’autres sites convenables.
-
Créez des sauvegardes des ordinateurs.
Remarques-
Si vous utilisez des ordinateurs virtuels, effectuez des captures instantanées de leur état actuel.
-
Si vous n’utilisez pas d’ordinateurs virtuels, sauvegardez chaque dossier MgmtSvc-* dans le répertoire Inetpub de chaque ordinateur sur lequel un composant WAP est installé.
-
Collectez les informations et fichiers liés à vos certificats, en-têtes d’hôte et modifications de port.
-
-
Si vous utilisez votre propre thème pour le site client Windows Azure Pack, consultez l’article How to Persist a Windows Azure Pack Theme after Microsoft Upgrade (en anglais uniquement) avant d’exécuter la mise à jour.
-
Installez la mise à jour en exécutant chaque fichier .msi sur l’ordinateur sur lequel le composant correspondant est exécuté. Par exemple, exécutez MgmtSvc-AdminAPI.msi sur l’ordinateur qui exécute le site « MgmtSvc-AdminAPI » dans IIS.
-
Pour chaque nœud faisant l’objet d’un équilibrage de charge, exécutez les mises à jour des composants dans l’ordre suivant :
-
Si vous utilisez les certificats auto-signés d’origine installés par WAP, l’opération de mise à jour les remplace. Vous devez exporter le nouveau certificat et l’importer dans les autres nœuds faisant l’objet d’un équilibrage de charge. Ces certificats présentent le format de dénomination (auto-signé) CN=MgmtSvc-*.
-
Mettez à jour les services de fournisseur de ressources (RP) (SQL Server, My SQL, SPF/VMM, sites web) selon vos besoins. Assurez-vous que les sites RP sont en cours d’exécution.
-
Mettez à jour le site API client, l’API locataire publique, les nœuds API d’administration, ainsi que les sites d’authentification de l’administrateur et du locataire.
-
Mettez à jour les sites d’administrateur et de client.
Les scripts permettant d’obtenir les versions des bases de données et de mettre à jour les bases de données installées par MgmtSvc-PowerShellAPI.msi sont stockés dans l’emplacement suivant :
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
Si tous les composants sont mis à jour et fonctionnent comme prévu, vous pouvez ouvrir le trafic vers vos nœuds mis à jour. Sinon, reportez-vous à la section « Instructions de restauration ».
Remarque Si vous effectuez une mise à jour à partir du correctif cumulatif 5 ou d’un correctif cumulatif antérieur pour Windows Azure Pack, suivez ces instructions pour mettre à jour la base de données WAP. -
En cas de problème, si vous estimez qu’une restauration est nécessaire, procédez comme suit :
-
Si des captures instantanées sont disponibles (voir la deuxième remarque de l’étape 3 de la section « Instructions d’installation »), appliquez ces captures instantanées. Si aucune capture instantanée n’est disponible, passez à l’étape suivante.
-
Utilisez la sauvegarde effectuée dans les première et troisième remarques de l’étape 3 de la section « Instructions d’installation » pour restaurer vos bases de données et ordinateurs.
Remarque Ne laissez pas le système dans un état de mise à jour partielle. Exécutez les opérations de restauration sur tous les ordinateurs sur lesquels Windows Azure Pack était installé, même si la mise à jour a échoué sur un seul nœud.
Nous vous recommandons d’exécuter Windows Azure Pack Best Practice Analyzer sur chaque nœud Windows Azure Pack pour vous assurer que les éléments de la configuration sont corrects. -
Ouvrez le trafic vers vos nœuds restaurés.