Windows Azure Pack 用のセキュリティ更新プログラムのロールアップ 9.1

Notice
この資料に記載されていた更新プログラムは、新しい更新プログラムのロールアップに置き換えられています。最新の更新プログラムをインストールすることをおすすめします。詳細については、以下のマイクロソフト サポート技術情報番号をクリックしてください。
3158609 Windows Azure Pack 用の更新プログラムのロールアップ 10
概要
この資料では、Windows Azure Pack 用の更新プログラムのロールアップ 9.1 (ファイル バージョン 3.32.8196.12) で修正される問題について説明します。ロールアップのインストール手順も記載されています。
この更新プログラムのロールアップで修正される問題

問題 1 - ZeroClipboard クロスサイト スクリプティングの脆弱性

バージョン 9.1 以前の WAP には、クロスサイト スクリプティング (XSS) に対して脆弱性を持つバージョンの ZeroClipboard (v 1.1.7) が含まれます。WAP 用のセキュリティ更新プログラムのロールアップ 9.1 には、更新された ZeroClipboard が含まれます。バージョンは 1.3.5 で、この脆弱性を解決します。詳細については、こちらをご覧ください。

影響 ZeroClipboard は管理ポータルとテナント ポータル、さらにはテナント認証サービスにあります。この脆弱性は、これらすべてのサービスで悪用される可能性があります。通常、サービス プロバイダーはテナントから管理ポータルにアクセスできないようにしますが、テナント ポータルとテナント認証サービスはテナントから使用できます。テナント認証サービスは本番環境への導入ではサポートされていないことにご注意ください。攻撃が成功すると、攻撃側は WAP 管理者やテナント ユーザーがアプリケーションで実行可能なすべての機能を実行できるようになります。また、攻撃側はこのバグをベースにして、被害者のブラウザーやワークステーションを攻撃したり、テナント リソース (仮想マシンや SQL Server) を作成したり、アクセスしたりできます。フェデレーション認証サーバーにも同様の脆弱性があるため、他の攻撃方法が利用できるようになる場合もあります。

問題 2 - テナント パブリック API サービスの脆弱性

バージョン 9.1 以前の WAP では、テナントの悪用者がパブリック テナント API を通じて証明書をアップロードし、ターゲットのテナントのサブスクリプション ID にその証明書を関連付けることができます。そうすることで、攻撃者はターゲットのテナント リソースにアクセスできるようになります。更新プログラム ロールアップ 9.1 ではそのような攻撃をブロックします。

影響 攻撃側はこの脆弱性を利用して、WAP テナント パブリック API サービスにアクセスできます。ただし、そのためには、攻撃者が被害者の subscriptionId を知る必要があります。攻撃者側が subscriptionId にアクセスできるようになるシナリオが 1 つ考えられます。アプリケーションは管理者に共同管理者の作成を許可します。共同管理者としてサインインすれば、subscriptionId を取得できます。その後この共同管理者を削除すれば、攻撃を実行できます。

インストール手順

これらのインストール手順は、次の Windows Azure Pack コンポーネント用のものです。
  • テナント サイト
  • テナント API
  • テナント パブリック API
  • 管理サイト
  • 管理 API
  • 認証
  • Windows Authentication
  • 使用法
  • 監視
  • Microsoft SQL
  • MySQL
  • Web アプリケーション ギャラリー
  • 構成サイト
  • ベスト プラクティス アナライザー
  • PowerShell API
各 Windows Azure Pack (WAP) コンポーネントに更新プログラムの .msi ファイルをインストールするには、以下の手順を実行します。
  1. システムが運用中 (お客様トラフィックの処理中) の場合は、Azure Pack サーバーのダウンタイムのスケジュールを設定します。現在のところ、Windows Azure Pack はローリング アップグレードをサポートしていません。
  2. お客様トラフィックを停止するか、都合のよいサイトにリダイレクトします。
  3. Web サーバーと SQL Server データベースのバックアップ イメージを作成します。

    注:
    • 仮想マシンを使用している場合は、現在の状態のスナップショットを作成してください。
    • VM を使用していない場合は、WAP コンポーネントがインストールされているそれぞれのコンピューターの Inetpub ディレクトリにある各 MgmtSvc-* フォルダーのバックアップを作成します。
    • 証明書、ホスト ヘッダー、ポートの変更に関連する情報とファイルを収集します。
  4. Windows Azure Pack テナント サイトに独自のテーマを使用している場合は、次の手順を実行して、更新プログラムを実行する前にテーマの変更を保存しておきます。
  5. 対応するコンポーネントが実行されているコンピューターで各 .msi ファイルを実行して、更新プログラムを実行します。たとえば、インターネット インフォメーション サービス (IIS) で「MgmtSvc-AdminAPI」サイトを実行しているコンピューターでは、MgmtSvc-AdminAPI.msi を実行します。
  6. 負荷分散の各ノードの場合は、次の順番でコンポーネントの更新プログラムを実行します。
    1. WAP でインストールした元の自己署名の証明書を使用している場合は、更新操作によってそれらの証明書が置き換えられます。新しい証明書をエクスポートし、負荷分散の他のノードにインポートする必要があります。これらの証明書は、CN=MgmtSvc-* (Self-Signed) の名前付けパターンを持ちます。
    2. 必要に応じて、リソース プロバイダー (RP) サービス (SQL Server、My SQL、SPF/VMM、Web サイト) を更新します。RP サイトが実行中であることを確認します。
    3. テナント API サイト、パブリック テナント API、管理者 API ノード、管理者認証サイト、テナント認証サイトを更新します。
    4. 管理者サイトとテナントサイトを更新します。
  7. データベース バージョンを取得し、データベースを更新するためのスクリプト (MgmtSvc-PowerShellAPI.msi によってインストールされます) は次の場所に格納されています。
    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
  8. すべてのコンポーネントを更新し、それらが予期した通りに機能したら、更新したノードに対してトラフィックを開くことができます。更新、機能に問題がある場合は、「ロールバック手順」のセクションをご覧ください。
注: Update Rollup 5 for Windows Azure Pack 用の更新プログラムのロールアップ 5 以前の更新プログラムのロールアップから更新する場合は、こちらの手順に従って WAP データベースを更新してください。

ロールバック手順

問題が発生し、ロールバックが必要であると判断した場合は、次の手順を実行します。
  1. インストール手順」セクションの手順 3 の 2 つ目の注意事項にあるスナップショットが使用できる場合は、そのスナップショットを適用します。スナップショットがない場合は、次の手順に進みます。
  2. インストール手順」セクションの手順 3 の 1 つ目および 3 つ目の注意事項で作成したバックアップを使用して、データベースとコンピューターを復元します。

    : システムの一部だけを更新した状態にしないでください。更新が 1 つのノードで失敗した場合でも、Windows Azure Pack がインストールされているすべてのコンピューターでロールバック操作を実行します。

    推奨: 各 Windows Azure Pack ノードで Windows Azure Pack ベスト プラクティス アナライザーを実行し、構成項目が正しいことをご確認ください。
  3. 復元したノードにトラフィックを開きます。

ダウンロード手順

Windows Azure Pack の更新パッケージは、Microsoft Update から利用できるほか、手動でダウンロードできます。

Microsoft Update

Microsoft Update から更新プログラム パッケージを入手してインストールするには、適用可能なコンポーネントがインストールされているコンピューター上で以下の手順を実行します。
  1. [スタート] ボタンをクリックして [コントロール パネル]をクリックします。
  2. コントロール パネルで、[Windows Update] をダブルクリックします。
  3. [Windows Update] ウィンドウで、[Microsoft Update からの更新プログラムをオンラインで確認する] をクリックします。
  4. [x 個の重要な更新プログラムが利用可能です] をクリックします。
  5. インストールする [更新プログラムのロールアップ] パッケージを選択し、[OK] をクリックします。
  6. [更新プログラムのインストール] をクリックすると、選択した更新プログラム パッケージがインストールされます。

更新プログラム パッケージの手動ダウンロード

以下の Web サイトにアクセスして、Microsoft Update カタログから更新プログラム パッケージを手動でダウンロードします。

この更新プログラムのロールアップで更新されたファイル

変更されるファイルバージョン
MgmtSvc-SQLServer.msi3.32.8196.12
MgmtSvc-TenantAPI.msi3.32.8196.12
MgmtSvc-TenantPublicAPI.msi3.32.8196.12
MgmtSvc-TenantSite.msi3.32.8196.12
MgmtSvc-Usage.msi3.32.8196.12
MgmtSvc-WebAppGallery.msi3.32.8196.12
MgmtSvc-WindowsAuthSite.msi3.32.8196.12
MgmtSvc-AdminAPI.msi3.32.8196.12
MgmtSvc-AdminSite.msi3.32.8196.12
MgmtSvc-AuthSite.msi3.32.8196.12
MgmtSvc-Bpa.msi3.32.8196.12
MgmtSvc-ConfigSite.msi3.32.8196.12
MgmtSvc-Monitoring.msi3.32.8196.12
MgmtSvc-MySQL.msi3.32.8196.12
MgmtSvc-PowerShellAPI.msi3.32.8196.12
プロパティ

文書番号:3146301 - 最終更新日: 06/27/2016 14:25:00 - リビジョン: 2.0

Microsoft System Center 2012 R2, Windows Azure Pack

  • kbsurveynew kbfix kbbug kbexpertiseinter kbsecbulletin kbsecvulnerability atdownload kbsecurity KB3146301
フィードバック