この資料に記載されていた更新プログラムは、新しい更新プログラムのロールアップに置き換えられています。最新の更新プログラムをインストールすることをおすすめします。詳細については、以下のマイクロソフト サポート技術情報番号をクリックしてください。
3158609 Windows Azure Pack 用の更新プログラムのロールアップ 10
概要
この資料では、Windows Azure Pack 用の更新プログラムのロールアップ 9.1 (ファイル バージョン 3.32.8196.12) で修正される問題について説明します。ロールアップのインストール手順も記載されています。
この更新プログラムのロールアップで修正される問題
問題 1 - ZeroClipboard クロスサイト スクリプティングの脆弱性
バージョン 9.1 以前の WAP には、クロスサイト スクリプティング (XSS) に対して脆弱性を持つバージョンの ZeroClipboard (v 1.1.7) が含まれます。WAP 用のセキュリティ更新プログラムのロールアップ 9.1 には、更新された ZeroClipboard が含まれます。バージョンは 1.3.5 で、この脆弱性を解決します。詳細については、こちらをご覧ください。
影響 ZeroClipboard は管理ポータルとテナント ポータル、さらにはテナント認証サービスにあります。この脆弱性は、これらすべてのサービスで悪用される可能性があります。通常、サービス プロバイダーはテナントから管理ポータルにアクセスできないようにしますが、テナント ポータルとテナント認証サービスはテナントから使用できます。テナント認証サービスは本番環境への導入ではサポートされていないことにご注意ください。攻撃が成功すると、攻撃側は WAP 管理者やテナント ユーザーがアプリケーションで実行可能なすべての機能を実行できるようになります。また、攻撃側はこのバグをベースにして、被害者のブラウザーやワークステーションを攻撃したり、テナント リソース (仮想マシンや SQL Server) を作成したり、アクセスしたりできます。フェデレーション認証サーバーにも同様の脆弱性があるため、他の攻撃方法が利用できるようになる場合もあります。
問題 2 - テナント パブリック API サービスの脆弱性
バージョン 9.1 以前の WAP では、テナントの悪用者がパブリック テナント API を通じて証明書をアップロードし、ターゲットのテナントのサブスクリプション ID にその証明書を関連付けることができます。そうすることで、攻撃者はターゲットのテナント リソースにアクセスできるようになります。更新プログラム ロールアップ 9.1 ではそのような攻撃をブロックします。
影響 攻撃側はこの脆弱性を利用して、WAP テナント パブリック API サービスにアクセスできます。ただし、そのためには、攻撃者が被害者の subscriptionId を知る必要があります。攻撃者側が subscriptionId にアクセスできるようになるシナリオが 1 つ考えられます。アプリケーションは管理者に共同管理者の作成を許可します。共同管理者としてサインインすれば、subscriptionId を取得できます。その後この共同管理者を削除すれば、攻撃を実行できます。
これらのインストール手順は、次の Windows Azure Pack コンポーネント用のものです。
-
テナント サイト
-
テナント API
-
テナント パブリック API
-
管理サイト
-
管理 API
-
認証
-
Windows Authentication
-
使用法
-
監視
-
Microsoft SQL
-
MySQL
-
Web アプリケーション ギャラリー
-
構成サイト
-
ベスト プラクティス アナライザー
-
PowerShell API
各 Windows Azure Pack (WAP) コンポーネントに更新プログラムの .msi ファイルをインストールするには、以下の手順を実行します。
-
システムが運用中 (お客様トラフィックの処理中) の場合は、Azure Pack サーバーのダウンタイムのスケジュールを設定します。現在のところ、Windows Azure Pack はローリング アップグレードをサポートしていません。
-
お客様トラフィックを停止するか、都合のよいサイトにリダイレクトします。
-
Web サーバーと SQL Server データベースのバックアップ イメージを作成します。
注:-
仮想マシンを使用している場合は、現在の状態のスナップショットを作成してください。
-
VM を使用していない場合は、WAP コンポーネントがインストールされているそれぞれのコンピューターの Inetpub ディレクトリにある各 MgmtSvc-* フォルダーのバックアップを作成します。
-
証明書、ホスト ヘッダー、ポートの変更に関連する情報とファイルを収集します。
-
-
Windows Azure Pack テナント サイトに独自のテーマを使用している場合は、次の手順を実行して、更新プログラムを実行する前にテーマの変更を保存しておきます。
-
対応するコンポーネントが実行されているコンピューターで各 .msi ファイルを実行して、更新プログラムを実行します。たとえば、インターネット インフォメーション サービス (IIS) で「MgmtSvc-AdminAPI」サイトを実行しているコンピューターでは、MgmtSvc-AdminAPI.msi を実行します。
-
負荷分散の各ノードの場合は、次の順番でコンポーネントの更新プログラムを実行します。
-
WAP でインストールした元の自己署名の証明書を使用している場合は、更新操作によってそれらの証明書が置き換えられます。新しい証明書をエクスポートし、負荷分散の他のノードにインポートする必要があります。これらの証明書は、CN=MgmtSvc-* (Self-Signed) の名前付けパターンを持ちます。
-
必要に応じて、リソース プロバイダー (RP) サービス (SQL Server、My SQL、SPF/VMM、Web サイト) を更新します。RP サイトが実行中であることを確認します。
-
テナント API サイト、パブリック テナント API、管理者 API ノード、管理者認証サイト、テナント認証サイトを更新します。
-
管理者サイトとテナントサイトを更新します。
-
-
データベース バージョンを取得し、データベースを更新するためのスクリプト (MgmtSvc-PowerShellAPI.msi によってインストールされます) は次の場所に格納されています。
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
すべてのコンポーネントを更新し、それらが予期した通りに機能したら、更新したノードに対してトラフィックを開くことができます。更新、機能に問題がある場合は、「ロールバック手順」のセクションをご覧ください。
注: Update Rollup 5 for Windows Azure Pack 用の更新プログラムのロールアップ 5 以前の更新プログラムのロールアップから更新する場合は、こちらの手順に従って WAP データベースを更新してください。
問題が発生し、ロールバックが必要であると判断した場合は、次の手順を実行します。
-
「インストール手順」セクションの手順 3 の 2 つ目の注意事項にあるスナップショットが使用できる場合は、そのスナップショットを適用します。スナップショットがない場合は、次の手順に進みます。
-
「インストール手順」セクションの手順 3 の 1 つ目および 3 つ目の注意事項で作成したバックアップを使用して、データベースとコンピューターを復元します。
注: システムの一部だけを更新した状態にしないでください。更新が 1 つのノードで失敗した場合でも、Windows Azure Pack がインストールされているすべてのコンピューターでロールバック操作を実行します。
推奨: 各 Windows Azure Pack ノードで Windows Azure Pack ベスト プラクティス アナライザーを実行し、構成項目が正しいことをご確認ください。 -
復元したノードにトラフィックを開きます。
ダウンロード手順Windows Azure Pack の更新パッケージは、Microsoft Update から利用できるほか、手動でダウンロードできます。
Microsoft UpdateMicrosoft Update から更新プログラム パッケージを入手してインストールするには、適用可能なコンポーネントがインストールされているコンピューター上で以下の手順を実行します。
-
[スタート] ボタンをクリックして [コントロール パネル]をクリックします。
-
コントロール パネルで、[Windows Update] をダブルクリックします。
-
[Windows Update] ウィンドウで、[Microsoft Update からの更新プログラムをオンラインで確認する] をクリックします。
-
[x 個の重要な更新プログラムが利用可能です] をクリックします。
-
インストールする [更新プログラムのロールアップ] パッケージを選択し、[OK] をクリックします。
-
[更新プログラムのインストール] をクリックすると、選択した更新プログラム パッケージがインストールされます。
更新プログラム パッケージの手動ダウンロード以下の Web サイトにアクセスして、Microsoft Update カタログから更新プログラム パッケージを手動でダウンロードします。
変更されるファイル |
バージョン |
---|---|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
MgmtSvc-Usage.msi |
3.32.8196.12 |
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
MgmtSvc-Bpa.msi |
3.32.8196.12 |
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
MgmtSvc-MySQL.msi |
3.32.8196.12 |
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |