Windows Azure 팩용 보안 업데이트 롤업 9.1


이 문서에서 설명하는 업데이트는 최신 업데이트 롤업으로 대체되었습니다. 최신 업데이트를 설치하는 것이 좋습니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
3158609 Windows Azure 팩용 업데이트 롤업 10

요약

이 문서에서는 Windows Azure 팩용 업데이트 롤업 9.1(파일 버전 3.32.8196.12)에서 해결된 보안 문제에 대해 설명합니다. 또한 이 롤업에 대한 설치 지침이 포함되어 있습니다.

이 업데이트 롤업에서 해결된 문제

문제 1 - ZeroClipboard 교차 사이트 스크립팅 취약성

9.1 이전 버전의 WAP에는 XSS(교차 사이트 스크립팅)에 취약한 ZeroClipboard 버전(v 1.1.7)이 포함되어 있습니다. WAP용 보안 업데이트 롤업 9.1에는 이 취약성을 해결하는 업데이트된 ZeroClipboard 버전 1.3.5가 포함되어 있습니다. 여기에서 이에 대한 자세한 내용을 볼 수 있습니다.

영향 ZeroClipboard는 관리 및 테넌트 포털에 있으며, 테넌트 인증 서비스에 있습니다. 이 취약성은 이러한 모든 서비스에서 악용될 수 있습니다. 서비스 공급자는 일반적으로 테넌트가 관리 포털에 액세스할 수 없게 유지하지만, 테넌트 포털 및 테넌트 인증 서비스는 대개 테넌트에 대해 사용 가능하게 설정되어 있습니다. 테넌트 인증 서비스는 프로덕션 배포에서 지원되지 않습니다. 공격이 성공한 경우 악의적 사용자는 WAP 관리자나 테넌트 사용자가 응용 프로그램에서 실행할 수 있는 모든 것을 실행할 수 있습니다. 또한 악의적 사용자는 이 버그를 바탕으로 빌드하고 희생자의 브라우저나 워크스테이션을 공격하거나, 테넌트 리소스(예: 가상 컴퓨터 또는 SQL Server)를 만들거나 액세스할 수 있습니다. 페더레이션된 인증 서버도 취약하기 때문에 다른 공격 옵션을 사용할 수도 있습니다.

문제 2 - 테넌트 공용 API 서비스 취약성

9.1 이전 버전의 WAP에서 활성 테넌트 공격자는 공용 테넌트 API 서비스를 통해 인증서를 업로드하고 이 인증서를 대상 테넌트의 구독 ID와 연결할 수 있습니다. 그러면 공격자가 대상 테넌트 리소스에 대한 액세스 권한을 얻을 수 있습니다. 업데이트 롤업 9.1은 이러한 공격을 차단합니다.

영향 악의적 사용자는 이를 사용하여 WAP 테넌트 공용 API 서비스에 액세스할 수 있습니다. 하지만 이렇게 하려면 공격자가 희생자의 구독 ID를 알고 있어야 합니다. 악의적 사용자가 구독 ID에 대한 액세스 권한을 얻을 수 있는 시나리오가 하나 이상 있습니다. 응용 프로그램을 통해 관리자들은 공동 관리자를 만들 수 있습니다. 누군가 공동 관리자로 로그인하면 관리자들이 구독 ID를 알게 됩니다. 이 공동 관리자가 나중에 제거되는 경우 관리자들이 공격을 수행할 수 있습니다.
설치 지침
롤백 지침

다운로드 지침

Windows Azure 팩용 업데이트 패키지는 Microsoft Update에서 제공되거나 수동으로 다운로드하여 사용할 수 있습니다.

Microsoft Update

Microsoft Update에서 업데이트 패키지를 다운로드하고 설치하려면 해당 구성 요소가 설치된 컴퓨터에서 다음 단계를 수행하십시오.
  1. 시작, 제어판을 차례로 클릭합니다.
  2. 제어판에서 Windows Update를 두 번 클릭합니다.
  3. Windows Update 창에서 Microsoft Update에서 온라인으로 업데이트 확인을 클릭합니다.
  4. 중요 업데이트를 사용할 수 있습니다.를 클릭합니다.
  5. 설치하려는 업데이트 롤업 패키지를 선택한 다음 확인을 클릭합니다.
  6. 업데이트 설치를 선택하여 선택한 업데이트 패키지를 설치합니다.

수동으로 업데이트 패키지 다운로드

다음 웹 사이트로 이동하여 Microsoft Update 카탈로그에서 업데이트 패키지를 수동으로 다운로드합니다.
이 업데이트 롤업에서 업데이트된 파일
속성

문서 ID: 3146301 - 마지막 검토: 2016. 6. 27. - 수정: 1

피드백