Paket Batal pemutakhiran keamanan 9.1 untuk Windows Azure

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 3146301
Ringkasan
Artikel ini menjelaskan masalah keamanan yang diperbaiki dalam 9.1 Batal pemutakhiran untuk paket Windows Azure (versi file 3.32.8196.12). Hal ini juga berisi petunjuk penginstalan untuk Batal.
Masalah yang diperbaiki dalam Batal pemutakhiran ini

Masalah 1 - ZeroClipboard kerentanan skrip lintas-situs

Versi pra-9.1 WAP termasuk versi ZeroClipboard (v 1.1.7) yang lebih rentan terhadap skrip lintas situs (XSS). Rollup pembaruan keamanan 9.1 untuk WAP mencakup diperbarui ZeroClipboard versi 1.3.5, yang akan memecahkan kerentanan ini. Anda dapat menemukan rincian tentang hal ini di sini.

Dampak ZeroClipboard ditemukan di portal Admin dan penghuni, dan layanan penghuni otentikasi. Kerentanan ini dapat dieksploitasi pada Semua layanan ini. penyedia layanan biasanya akan menyimpan Admin portal dapat diakses oleh penyewa, tetapi penghuni Auth layanan dan portal penghuni yang biasanya dibuat tersedia untuk penyewa. Berhati-hatilah penghuni Auth Layanan tidak didukung di penyebaran produksi. Jika serangan berhasil, lawan dapat menjalankan apa pun yang WAP administrator atau penghuni pengguna dapat menjalankan aplikasi. Lawan juga dapat membangun bug ini dan serangan browser atau workstation korban, atau membuat atau mengakses sumber daya penghuni (seperti mesin virtual atau SQL Server). Karena server otentikasi gabungan juga rentan, opsi serangan lainnya juga mungkin tersedia.

Masalah 2 - API publik penghuni Layanan kerentanan

Di versi pra-9.1 WAP, aktif penghuni penyerang dapat meng-upload sertifikat melalui layanan publik penghuni API dan diasosiasikan dengan ID langganan penghuni target Hal ini memungkinkan penyerang mendapatkan akses ke sumber daya penghuni target. Update Rollup 9.1 blok serangan tersebut.

Dampak Lawan dapat menggunakan ini untuk mengakses WAP penghuni layanan API publik. Namun, untuk melakukannya, penyerang harus tahu subscriptionId korban. Ada sedikitnya satu kemungkinan skenario untuk lawan untuk mendapatkan akses ke subscriptionId. Aplikasi memungkinkan administrator membuat co-admin. Jika seseorang Masuk sebagai co-admin, mereka mengenal subscriptionId. Jika ini co-admin kemudian dihapus, mereka dapat melakukan serangan.

Petunjuk pemasangan

Petunjuk penginstalan ini adalah untuk komponen Windows Azure paket berikut:
  • Situs penyewa
  • Penghuni API
  • API publik penyewa
  • Situs administrasi
  • Administrasi API
  • Otentikasi
  • Otentikasi Windows
  • Penggunaan
  • Pemantauan
  • Microsoft SQL
  • MySQL
  • Galeri aplikasi web
  • Konfigurasi situs
  • Penganalisis praktik terbaik
  • API PowerShell
Untuk menginstal pembaruan berkas .msi untuk setiap komponen Windows Azure paket (WAP), ikuti langkah-langkah berikut:
  1. Jika sistem saat ini sedang operasional (penanganan pelanggan lalu lintas), jadwal waktu henti Azure paket server. Windows Azure paket saat ini tidak mendukung peningkatan bergulir.
  2. Stop atau mengarahkan pelanggan lalu lintas situs yang Anda mempertimbangkan memuaskan.
  3. Buat cadangan gambar server Web dan pangkalan data SQL Server.

    Catatan
    • Jika Anda menggunakan mesin virtual, mengambil snapshot status mereka.
    • Jika Anda tidak menggunakan VM, mengambil cadangan setiap MgmtSvc-* folder dalam direktori Inetpub di setiap komputer yang memiliki komponen WAP yang diinstal.
    • Mengumpulkan informasi dan berkas yang berkaitan dengan sertifikat, host header, dan mengubah port.
  4. Jika Anda menggunakan tema Anda sendiri untuk situs Windows Azure paket penghuni, ikuti petunjuk ini untuk menyimpan perubahan tema Anda sebelum Anda menjalankan pembaruan.
  5. Jalankan pemutakhiran dengan menjalankan setiap file .msi di komputer yang menjalankan komponen yang bersangkutan. Sebagai contoh, jalankan MgmtSvc AdminAPI.msi di komputer yang menjalankan "MgmtSvc-AdminAPI" situs di layanan informasi Internet (IIS).
  6. Untuk setiap node di bawah penyeimbangan beban, jalankan pembaruan untuk komponen dengan urutan menurun berikut ini:
    1. Jika Anda menggunakan asli sertifikat yang ditandatangani sendiri yang diinstal dengan WAP, operasi pembaruan menggantikan mereka. Anda memiliki Ekspor sertifikat baru dan impor ke simpul lainnya di bawah penyeimbangan beban. Sertifikat ini telah CN = MgmtSvc-* pola penamaan (ditandatangani sendiri).
    2. Memperbarui layanan sumber daya penyedia (RP) (SQL Server SQL saya, SPF VMM, situs web) yang diperlukan. Pastikan bahwa situs RP berjalan.
    3. Memperbarui situs penghuni API, API penghuni publik, Administrator API node, dan Administrator dan penghuni otentikasi situs.
    4. Memperbarui situs Administrator dan penghuni.
  7. Skrip untuk mendapatkan versi pangkalan data dan memperbarui database yang diinstal oleh MgmtSvc PowerShellAPI.msi disimpan di lokasi berikut:
    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
  8. Jika semua komponen telah dimutakhirkan dan berfungsi seperti yang diharapkan, Anda dapat membuka lalu lintas node Anda diperbarui. Jika tidak, lihat "Petunjuk rollback"bagian.
Catatan Jika Anda memperbarui dari Batal pemutakhiran yang sama dengan atau lebih tua daripada Update Rollup 5 untuk Windows Azure paket, ikuti petunjuk ini untuk memperbarui WAP database.

Petunjuk rollback

Jika masalah terjadi dan Anda memverifikasi bahwa rollback diperlukan, ikuti langkah-langkah berikut:
  1. Jika Rekam Jepret tersedia dari catatan kedua di langkah 3 "Petunjuk pemasangan"bagian, menerapkan Rekam Jepret. Jika ada Rekam Jepret tidak ada, lanjutkan ke langkah berikutnya.
  2. Menggunakan cadangan yang diambil dalam catatan pertama dan ketiga di langkah 3 dalam "Petunjuk pemasangan"bagian untuk memulihkan pangkalan data dan komputer Anda.

    Catatan Jangan meninggalkan sistem dalam keadaan sebagian diperbarui. Melakukan operasi rollback pada semua komputer di mana Windows Azure paket diinstal, bahkan jika pemutakhiran gagal pada simpul satu.

    Disarankan Jalankan Windows Azure paket Penganalisis praktik terbaik di setiap node Windows Azure paket untuk memastikan bahwa item konfigurasi sudah benar.
  3. Buka lalu lintas Anda node yang dipulihkan.

Download petunjuk

Paket pemutakhiran untuk paket Windows Azure tersedia dari Microsoft Update atau secara manual download.

Pemutakhiran Microsoft

Untuk mendapatkan dan menginstal paket pembaruan dari Microsoft Update, ikuti langkah-langkah berikut pada komputer yang memiliki komponen yang berlaku diinstal:
  1. Klik Mulai, lalu klik Control Panel.
  2. Di Control Panel, klik ganda Windows Update.
  3. Di jendela Pemutakhiran Windows, klik Periksa daring untuk pembaruan dari Microsoft Update.
  4. Klik pemutakhiran penting tersedia.
  5. Pilih paket Batal pemutakhiranyang ingin Anda instal, dan kemudian klik OK.
  6. Pilih menginstal pemutakhiranuntuk menginstal paket pemutakhiran yang dipilih.

Manual Unduh paket pemutakhiran

Kunjungi situs web berikut untuk mengunduh paket pemutakhiran secara manual dari Katalog Pembaruan Microsoft:

File yang diperbarui di Batal pemutakhiran ini

Berkas yang diubahVersi
MgmtSvc-SQLServer.msi3.32.8196.12
MgmtSvc-TenantAPI.msi3.32.8196.12
MgmtSvc-TenantPublicAPI.msi3.32.8196.12
MgmtSvc-TenantSite.msi3.32.8196.12
MgmtSvc-Usage.msi3.32.8196.12
MgmtSvc-WebAppGallery.msi3.32.8196.12
MgmtSvc-WindowsAuthSite.msi3.32.8196.12
MgmtSvc-AdminAPI.msi3.32.8196.12
MgmtSvc-AdminSite.msi3.32.8196.12
MgmtSvc-AuthSite.msi3.32.8196.12
MgmtSvc-Bpa.msi3.32.8196.12
MgmtSvc-ConfigSite.msi3.32.8196.12
MgmtSvc-Monitoring.msi3.32.8196.12
MgmtSvc-MySQL.msi3.32.8196.12
MgmtSvc-PowerShellAPI.msi3.32.8196.12

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Proprietà

ID articolo: 3146301 - Ultima revisione: 03/03/2016 20:12:00 - Revisione: 1.0

Microsoft System Center 2012 R2, Windows Azure Pack

  • kbsurveynew kbfix kbbug kbexpertiseinter kbsecbulletin kbsecvulnerability atdownload kbsecurity kbmt KB3146301 KbMtid
Feedback