メイン コンテンツへスキップ
サポート
Microsoft アカウントでサインイン
サインインまたはアカウントを作成してください。
こんにちは、
別のアカウントを選択してください。
複数のアカウントがあります
サインインに使用するアカウントを選択してください。


この資料に記載されていた更新プログラムは、新しい更新プログラムのロールアップに置き換えられています。最新の更新プログラムをインストールすることをおすすめします。詳細については、以下のマイクロソフト サポート技術情報番号をクリックしてください。

3158609 Windows Azure Pack 用の更新プログラムのロールアップ 10

概要

この資料では、Windows Azure Pack 用の更新プログラムのロールアップ 9.1 (ファイル バージョン 3.32.8196.12) で修正される問題について説明します。ロールアップのインストール手順も記載されています。

この更新プログラムのロールアップで修正される問題

問題 1 - ZeroClipboard クロスサイト スクリプティングの脆弱性

バージョン 9.1 以前の WAP には、クロスサイト スクリプティング (XSS) に対して脆弱性を持つバージョンの ZeroClipboard (v 1.1.7) が含まれます。WAP 用のセキュリティ更新プログラムのロールアップ 9.1 には、更新された ZeroClipboard が含まれます。バージョンは 1.3.5 で、この脆弱性を解決します。詳細については、こちらをご覧ください。

影響 ZeroClipboard は管理ポータルとテナント ポータル、さらにはテナント認証サービスにあります。この脆弱性は、これらすべてのサービスで悪用される可能性があります。通常、サービス プロバイダーはテナントから管理ポータルにアクセスできないようにしますが、テナント ポータルとテナント認証サービスはテナントから使用できます。テナント認証サービスは本番環境への導入ではサポートされていないことにご注意ください。攻撃が成功すると、攻撃側は WAP 管理者やテナント ユーザーがアプリケーションで実行可能なすべての機能を実行できるようになります。また、攻撃側はこのバグをベースにして、被害者のブラウザーやワークステーションを攻撃したり、テナント リソース (仮想マシンや SQL Server) を作成したり、アクセスしたりできます。フェデレーション認証サーバーにも同様の脆弱性があるため、他の攻撃方法が利用できるようになる場合もあります。

問題 2 - テナント パブリック API サービスの脆弱性

バージョン 9.1 以前の WAP では、テナントの悪用者がパブリック テナント API を通じて証明書をアップロードし、ターゲットのテナントのサブスクリプション ID にその証明書を関連付けることができます。そうすることで、攻撃者はターゲットのテナント リソースにアクセスできるようになります。更新プログラム ロールアップ 9.1 ではそのような攻撃をブロックします。

影響 攻撃側はこの脆弱性を利用して、WAP テナント パブリック API サービスにアクセスできます。ただし、そのためには、攻撃者が被害者の subscriptionId を知る必要があります。攻撃者側が subscriptionId にアクセスできるようになるシナリオが 1 つ考えられます。アプリケーションは管理者に共同管理者の作成を許可します。共同管理者としてサインインすれば、subscriptionId を取得できます。その後この共同管理者を削除すれば、攻撃を実行できます。

これらのインストール手順は、次の Windows Azure Pack コンポーネント用のものです。

  • テナント サイト

  • テナント API

  • テナント パブリック API

  • 管理サイト

  • 管理 API

  • 認証

  • Windows Authentication

  • 使用法

  • 監視

  • Microsoft SQL

  • MySQL

  • Web アプリケーション ギャラリー

  • 構成サイト

  • ベスト プラクティス アナライザー

  • PowerShell API

各 Windows Azure Pack (WAP) コンポーネントに更新プログラムの .msi ファイルをインストールするには、以下の手順を実行します。

  1. システムが運用中 (お客様トラフィックの処理中) の場合は、Azure Pack サーバーのダウンタイムのスケジュールを設定します。現在のところ、Windows Azure Pack はローリング アップグレードをサポートしていません。

  2. お客様トラフィックを停止するか、都合のよいサイトにリダイレクトします。

  3. Web サーバーと SQL Server データベースのバックアップ イメージを作成します。

    注:

    • 仮想マシンを使用している場合は、現在の状態のスナップショットを作成してください。

    • VM を使用していない場合は、WAP コンポーネントがインストールされているそれぞれのコンピューターの Inetpub ディレクトリにある各 MgmtSvc-* フォルダーのバックアップを作成します。

    • 証明書、ホスト ヘッダー、ポートの変更に関連する情報とファイルを収集します。

  4. Windows Azure Pack テナント サイトに独自のテーマを使用している場合は、次の手順を実行して、更新プログラムを実行する前にテーマの変更を保存しておきます。

  5. 対応するコンポーネントが実行されているコンピューターで各 .msi ファイルを実行して、更新プログラムを実行します。たとえば、インターネット インフォメーション サービス (IIS) で「MgmtSvc-AdminAPI」サイトを実行しているコンピューターでは、MgmtSvc-AdminAPI.msi を実行します。

  6. 負荷分散の各ノードの場合は、次の順番でコンポーネントの更新プログラムを実行します。

    1. WAP でインストールした元の自己署名の証明書を使用している場合は、更新操作によってそれらの証明書が置き換えられます。新しい証明書をエクスポートし、負荷分散の他のノードにインポートする必要があります。これらの証明書は、CN=MgmtSvc-* (Self-Signed) の名前付けパターンを持ちます。

    2. 必要に応じて、リソース プロバイダー (RP) サービス (SQL Server、My SQL、SPF/VMM、Web サイト) を更新します。RP サイトが実行中であることを確認します。

    3. テナント API サイト、パブリック テナント API、管理者 API ノード、管理者認証サイト、テナント認証サイトを更新します。

    4. 管理者サイトとテナントサイトを更新します。

  7. データベース バージョンを取得し、データベースを更新するためのスクリプト (MgmtSvc-PowerShellAPI.msi によってインストールされます) は次の場所に格納されています。

    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database

  8. すべてのコンポーネントを更新し、それらが予期した通りに機能したら、更新したノードに対してトラフィックを開くことができます。更新、機能に問題がある場合は、「ロールバック手順」のセクションをご覧ください。

注: Update Rollup 5 for Windows Azure Pack 用の更新プログラムのロールアップ 5 以前の更新プログラムのロールアップから更新する場合は、こちらの手順に従って WAP データベースを更新してください。

問題が発生し、ロールバックが必要であると判断した場合は、次の手順を実行します。

  1. インストール手順」セクションの手順 3 の 2 つ目の注意事項にあるスナップショットが使用できる場合は、そのスナップショットを適用します。スナップショットがない場合は、次の手順に進みます。

  2. インストール手順」セクションの手順 3 の 1 つ目および 3 つ目の注意事項で作成したバックアップを使用して、データベースとコンピューターを復元します。

    注: システムの一部だけを更新した状態にしないでください。更新が 1 つのノードで失敗した場合でも、Windows Azure Pack がインストールされているすべてのコンピューターでロールバック操作を実行します。

    推奨: 各 Windows Azure Pack ノードで Windows Azure Pack ベスト プラクティス アナライザーを実行し、構成項目が正しいことをご確認ください。

  3. 復元したノードにトラフィックを開きます。


ダウンロード手順Windows Azure Pack の更新パッケージは、Microsoft Update から利用できるほか、手動でダウンロードできます。

Microsoft UpdateMicrosoft Update から更新プログラム パッケージを入手してインストールするには、適用可能なコンポーネントがインストールされているコンピューター上で以下の手順を実行します。

  1. [スタート] ボタンをクリックして [コントロール パネル]をクリックします。

  2. コントロール パネルで、[Windows Update] をダブルクリックします。

  3. [Windows Update] ウィンドウで、[Microsoft Update からの更新プログラムをオンラインで確認する] をクリックします。

  4. [x 個の重要な更新プログラムが利用可能です] をクリックします。

  5. インストールする [更新プログラムのロールアップ] パッケージを選択し、[OK] をクリックします。

  6. [更新プログラムのインストール] をクリックすると、選択した更新プログラム パッケージがインストールされます。

更新プログラム パッケージの手動ダウンロード以下の Web サイトにアクセスして、Microsoft Update カタログから更新プログラム パッケージを手動でダウンロードします。

更新プログラム パッケージ

変更されるファイル

バージョン

MgmtSvc-SQLServer.msi

3.32.8196.12

MgmtSvc-TenantAPI.msi

3.32.8196.12

MgmtSvc-TenantPublicAPI.msi

3.32.8196.12

MgmtSvc-TenantSite.msi

3.32.8196.12

MgmtSvc-Usage.msi

3.32.8196.12

MgmtSvc-WebAppGallery.msi

3.32.8196.12

MgmtSvc-WindowsAuthSite.msi

3.32.8196.12

MgmtSvc-AdminAPI.msi

3.32.8196.12

MgmtSvc-AdminSite.msi

3.32.8196.12

MgmtSvc-AuthSite.msi

3.32.8196.12

MgmtSvc-Bpa.msi

3.32.8196.12

MgmtSvc-ConfigSite.msi

3.32.8196.12

MgmtSvc-Monitoring.msi

3.32.8196.12

MgmtSvc-MySQL.msi

3.32.8196.12

MgmtSvc-PowerShellAPI.msi

3.32.8196.12


ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?
[送信] を押すと、Microsoft の製品とサービスの改善にフィードバックが使用されます。 IT 管理者はこのデータを収集できます。 プライバシーに関する声明。

フィードバックをいただき、ありがとうございます。

×