Sintomi
Esiste una vulnerabilità di protezione 13 Rollup di aggiornamento per Service Pack di Windows Azure (WAP) che causa l'inserimento di script di determinati simboli vengano ignorate le limitazioni dell'interfaccia utente del portale. Il portale dell'interfaccia utente limita determinati simboli, ad esempio maggiore di (<) e minore (>) che sono necessari per l'inserimento di "< script >".
La riproduzione di una richiesta in Fiddler, le stringhe che contengono caratteri quali < e > possono essere inviate come nome della sottoscrizione. Il campo SubscriptionName può essere impostato su una stringa qualsiasi fino a 128 caratteri. In questo scenario, è possibile caricare ed eseguire diversi script come < script src = "https://code.jquery.com/jquery-1.10.2.min.js" > o alert(document.cookie) < script > < / script >.
Per ulteriori informazioni su questa vulnerabilità, vedere Microsoft le vulnerabilità comuni ed esposizioni CVE-2018-8652.
Risoluzione
Informazioni sul download
Pacchetti di aggiornamento per Windows Azure Pack sono disponibili da Microsoft Update o tramite download manuale.
Microsoft Update
Questo aggiornamento della protezione è disponibile tramite Windows Update. Quando attiva l'aggiornamento automatico, questo aggiornamento della protezione verrà scaricato e installato automaticamente. Per ulteriori informazioni su come ottenere automaticamente gli aggiornamenti della sicurezza, vedere Windows Update: domande frequenti.
Download manuale del pacchetto di aggiornamento
Visitare il seguente sito Web per scaricare manualmente il pacchetto di aggiornamento dal catalogo di Microsoft Update:
Download del pacchetto di aggiornamento Service Pack di Windows Azure.
Informazioni sull'installazione
Le istruzioni di installazione disponibili per i seguenti componenti di Windows Azure Pack:
-
Sito tenant
-
API tenant
-
API pubblica tenant
-
Sito di amministrazione
-
API di amministrazione
-
Autenticazione
-
Autenticazione di Windows
-
Utilizzo
-
Monitoraggio
-
Microsoft SQL
-
MySQL
-
Raccolta di applicazioni Web
-
Sito di configurazione
-
Best Practices Analyzer
-
PowerShell API
Per installare i file MSI di aggiornamento per ogni componente del Service Pack di Windows Azure, attenersi alla seguente procedura:
-
Se il sistema operativo pianificazione (gestione traffico dei clienti), i tempi di inattività dei server Azure. Il Service Pack di Windows Azure attualmente non supporta gli aggiornamenti in sequenza.
-
Interrompere o reindirizzare il traffico di clienti in siti alternativi che si considera soddisfacente.
-
Creare backup dei computer. Note
-
Se si utilizzano le macchine virtuali, eseguire snapshot dello stato corrente.
-
Se non si utilizzano le macchine virtuali, eseguire il backup ogni - MgmtSvc * cartella della directory Inetpub su ogni computer in cui è installato un componente WAP.
-
Raccogliere informazioni e file correlati per i certificati, le intestazioni host e le modifiche di porta.
-
-
Se si utilizza un tema per il sito Tenant di Service Pack di Windows Azure, vedere come mantenere un tema di Service Pack di Windows Azure dopo l'aggiornamento di Microsoft prima di eseguire l'aggiornamento.
-
Installare l'aggiornamento mediante l'esecuzione di ogni file MSI sul computer in cui viene eseguito il componente corrispondente. Ad esempio, eseguire MgmtSvc-AdminAPI.msi nel computer che esegue il sito "MgmtSvc-AdminAPI" in IIS.
-
Per ogni nodo che si trova sotto il bilanciamento del carico, eseguire gli aggiornamenti per i componenti nell'ordine seguente:
-
Se si utilizzano i certificati autofirmati originali installato da WAP, l'operazione di aggiornamento verrà sostituirli. È necessario il nuovo certificato di esportazione e importazione per gli altri nodi che sono sotto il bilanciamento del carico. Questi certificati hanno un CN = MgmtSvc-* modello di denominazione (firmato).
-
Aggiorna i servizi di Provider di risorse (RP) (SQL Server, My SQL, SPF/VMM, siti Web) in base alle esigenze. E assicurarsi che i siti RP siano in esecuzione.
-
Aggiornare il sito API Tenant, API Tenant pubblica, nodi amministratore API e siti di amministrazione e autenticazione Tenant.
-
Aggiornare i siti di amministratore e Tenant.
Gli script per ottenere le versioni di database e aggiornare i database che vengono installati per il MgmtSvc-PowerShellAPI.msi sono memorizzati nel seguente percorso:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database Se tutti i componenti sono aggiornati e funzionino come previsto, è possibile aprire il traffico ai nodi aggiornati. In caso contrario, vedere la sezione "Istruzioni di Rollback". Nota: Se sei l'aggiornamento da un aggiornamento cumulativo è uguale o precedente aggiornamento cumulativo 5 per Windows Azure, seguire queste istruzioni per aggiornare il database WAP.
-
Se si verifica un problema e si stabilisce che è necessario eseguire un rollback, attenersi alla seguente procedura:
-
Se gli snapshot sono disponibili come descritto nella seconda nota nel passaggio 3 della sezione "Istruzioni di installazione", si applicano le istantanee. Se sono presenti Nessuno snapshot, andare al passaggio successivo.
-
Utilizzare la copia di backup eseguita come descritto nelle note della prima e terza nel passaggio 3 della sezione "Istruzioni di installazione" per ripristinare i database e i computer. Nota: Non lasciare il sistema in uno stato parzialmente aggiornato. Eseguire le operazioni di rollback su tutti i computer su cui è stato installato Service Pack di Windows Azure, anche se l'aggiornamento non riuscito su un solo nodo. Si consiglia di eseguire Windows Azure Pack Best Practice Analyzer su ciascun nodo del Service Pack di Windows Azure per assicurarsi che gli elementi di configurazione siano corretti.
-
Aprire il traffico ai nodi ripristinati.
