Pemutakhiran yang dijelaskan di artikel ini telah digantikan oleh rollup pembaruan terbaru. Kami menyarankan Anda menginstal pembaruan terbaru. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
Paket Batal pemutakhiran 3158609 10 untuk Windows Azure
Ringkasan
Artikel ini menjelaskan masalah keamanan yang diperbaiki dalam 9.1 Batal pemutakhiran untuk paket Windows Azure (versi file 3.32.8196.12). Hal ini juga berisi petunjuk penginstalan untuk Batal.
Masalah yang diperbaiki dalam Batal pemutakhiran ini
Masalah 1 - ZeroClipboard kerentanan skrip lintas-situs
Versi pra-9.1 WAP termasuk versi ZeroClipboard (v 1.1.7) yang lebih rentan terhadap skrip lintas situs (XSS). Rollup pembaruan keamanan 9.1 untuk WAP mencakup diperbarui ZeroClipboard versi 1.3.5, yang akan memecahkan kerentanan ini. Anda dapat menemukan rincian tentang hal ini di sini.
Dampak ZeroClipboard ditemukan di portal Admin dan penghuni, dan layanan penghuni otentikasi. Kerentanan ini dapat dieksploitasi pada semua layanan ini. Penyedia layanan biasanya akan menyimpan Admin portal dapat diakses oleh penyewa, tetapi penghuni Auth layanan dan portal penghuni yang biasanya dibuat tersedia untuk penyewa. Berhati-hatilah penghuni Auth Layanan tidak didukung di penyebaran produksi. Jika serangan berhasil, lawan dapat menjalankan apa pun yang WAP administrator atau penghuni pengguna dapat menjalankan aplikasi. Lawan juga dapat membangun bug ini dan serangan browser atau workstation korban, atau membuat atau mengakses sumber daya penghuni (seperti mesin virtual atau SQL Server). Karena server otentikasi gabungan juga rentan, opsi serangan lainnya juga mungkin tersedia.
Masalah 2 - API publik penghuni Layanan kerentanan
Di versi pra-9.1 WAP, aktif penghuni penyerang dapat meng-upload sertifikat melalui layanan publik penghuni API dan diasosiasikan dengan ID langganan penghuni target Hal ini memungkinkan penyerang mendapatkan akses ke sumber daya penghuni target. Update Rollup 9.1 blok serangan tersebut.
Dampak Lawan dapat menggunakan ini untuk mengakses WAP penghuni layanan API publik. Namun, untuk melakukannya, penyerang harus tahu subscriptionId korban. Ada sedikitnya satu kemungkinan skenario untuk lawan untuk mendapatkan akses ke subscriptionId. Aplikasi memungkinkan administrator membuat co-admin. Jika seseorang masuk sebagai co-admin, mereka mengenal subscriptionId. Jika ini co-admin kemudian dihapus, mereka dapat melakukan serangan.
Petunjuk penginstalan ini adalah untuk komponen Windows Azure paket berikut:
-
Situs penyewa
-
Penghuni API
-
API publik penyewa
-
Situs administrasi
-
Administrasi API
-
Otentikasi
-
Otentikasi Windows
-
Penggunaan
-
Pemantauan
-
Microsoft SQL
-
MySQL
-
Galeri aplikasi web
-
Konfigurasi situs
-
Penganalisis praktik terbaik
-
API PowerShell
Untuk menginstal pembaruan berkas .msi untuk setiap komponen Windows Azure paket (WAP), ikuti langkah-langkah berikut:
-
Jika sistem saat ini sedang operasional (penanganan pelanggan lalu lintas), jadwal waktu henti Azure paket server. Windows Azure paket saat ini tidak mendukung peningkatan bergulir.
-
Stop atau mengarahkan pelanggan lalu lintas situs yang Anda mempertimbangkan memuaskan.
-
Buat cadangan gambar web server dan pangkalan data SQL Server.
Catatan-
Jika Anda menggunakan mesin virtual, mengambil snapshot status mereka.
-
Jika Anda tidak menggunakan VM, mengambil cadangan setiap MgmtSvc-* folder dalam direktori Inetpub di setiap komputer yang memiliki komponen WAP yang diinstal.
-
Mengumpulkan informasi dan berkas yang berkaitan dengan sertifikat, host header, dan mengubah port.
-
-
Jika Anda menggunakan tema Anda sendiri untuk situs Windows Azure paket penghuni, ikuti petunjuk ini untuk menyimpan perubahan tema Anda sebelum Anda menjalankan pembaruan.
-
Jalankan pemutakhiran dengan menjalankan setiap file .msi di komputer yang menjalankan komponen yang bersangkutan. Sebagai contoh, jalankan MgmtSvc AdminAPI.msi di komputer yang menjalankan "MgmtSvc-AdminAPI" situs di layanan informasi Internet (IIS).
-
Untuk setiap node di bawah Load Balancing, jalankan pembaruan untuk komponen dengan urutan berikut ini:
-
Jika Anda menggunakan asli sertifikat yang ditandatangani sendiri yang diinstal dengan WAP, operasi pembaruan menggantikan mereka. Anda memiliki Ekspor sertifikat baru dan impor ke simpul lainnya di bawah Load Balancing. Sertifikat ini telah CN = MgmtSvc-* pola penamaan (ditandatangani sendiri).
-
Memperbarui layanan sumber daya penyedia (RP) (SQL Server SQL saya, SPF VMM, situs web) yang diperlukan. Pastikan bahwa situs RP berjalan.
-
Memperbarui situs penghuni API, API penghuni publik, Administrator API node, dan Administrator dan penghuni otentikasi situs.
-
Memperbarui situs Administrator dan penghuni.
-
-
Skrip untuk mendapatkan versi pangkalan data dan memperbarui database yang diinstal oleh MgmtSvc PowerShellAPI.msi disimpan di lokasi berikut:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
Jika semua komponen telah dimutakhirkan dan berfungsi seperti yang diharapkan, Anda dapat membuka lalu lintas node Anda diperbarui. Jika tidak, lihat bagian "petunjuk Rollback".
Catatan Jika Anda memperbarui dari Batal pemutakhiran yang sama dengan atau lebih tua dari 5 Batal pemutakhiran untuk paket Windows Azure, ikuti petunjuk untuk memperbarui WAP database.
Jika masalah terjadi dan Anda memverifikasi bahwa rollback diperlukan, ikuti langkah-langkah berikut:
-
Jika Rekam Jepret tersedia dari catatan kedua di langkah 3 di bagian "petunjuk penginstalan", Terapkan Rekam Jepret. Jika ada Rekam Jepret tidak ada, lanjutkan ke langkah berikutnya.
-
Menggunakan cadangan yang diambil dalam catatan pertama dan ketiga di langkah 3 di bagian "petunjuk penginstalan" untuk memulihkan pangkalan data dan komputer Anda.
Catatan Jangan biarkan sistem dalam keadaan sebagian diperbarui. Melakukan operasi rollback pada semua komputer di mana Windows Azure paket diinstal, bahkan jika pemutakhiran gagal pada simpul satu.
Disarankan Jalankan Windows Azure paket Penganalisis praktik terbaik di setiap node Windows Azure paket untuk memastikan bahwa item konfigurasi sudah benar. -
Buka lalu lintas Anda node yang dipulihkan.
Download petunjukPaket pemutakhiran untuk paket Windows Azure tersedia dari Microsoft Update atau secara manual download.
Pemutakhiran MicrosoftUntuk mendapatkan dan menginstal paket pembaruan dari Microsoft Update, ikuti langkah-langkah berikut pada komputer yang memiliki komponen yang berlaku diinstal:
-
Klik Mulai, lalu klik Panel Kontrol.
-
Di Panel kontrol, klik dua kali Windows Update.
-
Di jendela pembaruan Windows, klik Periksa daring untuk pembaruan dari Pembaruan Microsoft.
-
Klik pemutakhiran penting tersedia.
-
Pilih paket Batal pemutakhiran yang ingin Anda instal, dan kemudian klik OK.
-
Pilih menginstal pemutakhiran untuk menginstal paket pemutakhiran yang dipilih.
Manual Unduh paket pemutakhiranKunjungi situs web berikut untuk mengunduh paket pemutakhiran secara manual dari Katalog Pembaruan Microsoft:
|
Berkas yang diubah |
Versi |
|---|---|
|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
|
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
|
MgmtSvc-Usage.msi |
3.32.8196.12 |
|
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
|
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
|
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
|
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-Bpa.msi |
3.32.8196.12 |
|
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
|
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
|
MgmtSvc-MySQL.msi |
3.32.8196.12 |
|
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |
