Microsoft로 로그인
로그인하거나 계정을 만듭니다.
안녕하세요.
다른 계정을 선택합니다.
계정이 여러 개 있음
로그인할 계정을 선택합니다.


이 문서에서 설명하는 업데이트는 최신 업데이트 롤업으로 대체되었습니다. 최신 업데이트를 설치하는 것이 좋습니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

3158609 Windows Azure 팩용 업데이트 롤업 10

요약

이 문서에서는 Windows Azure 팩용 업데이트 롤업 9.1(파일 버전 3.32.8196.12)에서 해결된 보안 문제에 대해 설명합니다. 또한 이 롤업에 대한 설치 지침이 포함되어 있습니다.

이 업데이트 롤업에서 해결된 문제

문제 1 - ZeroClipboard 교차 사이트 스크립팅 취약성

9.1 이전 버전의 WAP에는 XSS(교차 사이트 스크립팅)에 취약한 ZeroClipboard 버전(v 1.1.7)이 포함되어 있습니다. WAP용 보안 업데이트 롤업 9.1에는 이 취약성을 해결하는 업데이트된 ZeroClipboard 버전 1.3.5가 포함되어 있습니다. 여기에서 이에 대한 자세한 내용을 볼 수 있습니다.

영향 ZeroClipboard는 관리 및 테넌트 포털에 있으며, 테넌트 인증 서비스에 있습니다. 이 취약성은 이러한 모든 서비스에서 악용될 수 있습니다. 서비스 공급자는 일반적으로 테넌트가 관리 포털에 액세스할 수 없게 유지하지만, 테넌트 포털 및 테넌트 인증 서비스는 대개 테넌트에 대해 사용 가능하게 설정되어 있습니다. 테넌트 인증 서비스는 프로덕션 배포에서 지원되지 않습니다. 공격이 성공한 경우 악의적 사용자는 WAP 관리자나 테넌트 사용자가 응용 프로그램에서 실행할 수 있는 모든 것을 실행할 수 있습니다. 또한 악의적 사용자는 이 버그를 바탕으로 빌드하고 희생자의 브라우저나 워크스테이션을 공격하거나, 테넌트 리소스(예: 가상 컴퓨터 또는 SQL Server)를 만들거나 액세스할 수 있습니다. 페더레이션된 인증 서버도 취약하기 때문에 다른 공격 옵션을 사용할 수도 있습니다.

문제 2 - 테넌트 공용 API 서비스 취약성

9.1 이전 버전의 WAP에서 활성 테넌트 공격자는 공용 테넌트 API 서비스를 통해 인증서를 업로드하고 이 인증서를 대상 테넌트의 구독 ID와 연결할 수 있습니다. 그러면 공격자가 대상 테넌트 리소스에 대한 액세스 권한을 얻을 수 있습니다. 업데이트 롤업 9.1은 이러한 공격을 차단합니다.

영향 악의적 사용자는 이를 사용하여 WAP 테넌트 공용 API 서비스에 액세스할 수 있습니다. 하지만 이렇게 하려면 공격자가 희생자의 구독 ID를 알고 있어야 합니다. 악의적 사용자가 구독 ID에 대한 액세스 권한을 얻을 수 있는 시나리오가 하나 이상 있습니다. 응용 프로그램을 통해 관리자들은 공동 관리자를 만들 수 있습니다. 누군가 공동 관리자로 로그인하면 관리자들이 구독 ID를 알게 됩니다. 이 공동 관리자가 나중에 제거되는 경우 관리자들이 공격을 수행할 수 있습니다.

이 설치 지침은 다음 Windows Azure 팩 구성 요소에 적용됩니다.

  • 테넌트 사이트

  • 테넌트 API

  • 테넌트 공용 API

  • 관리 사이트

  • 관리 API

  • 인증

  • Windows 인증

  • 사용

  • 모니터링

  • Microsoft SQL

  • MySQL

  • 웹 응용 프로그램 갤러리

  • 구성 사이트

  • 모범 사례 분석기

  • PowerShell API

각 WAP(Windows Azure 팩) 구성 요소에 대한 업데이트 .msi 파일을 설치하려면 다음 단계를 수행하십시오.

  1. 시스템이 현재 작동 중(고객 트래픽 처리 중)인 경우 Azure 팩 서버의 작동 중단 시간을 예약합니다. Windows Azure 팩은 롤링 업그레이드를 현재 지원하지 않습니다.

  2. 만족할 만한 사이트로 고객 트래픽을 리디렉션하거나 중지합니다.

  3. 웹 서버 및 SQL Server 데이터베이스의 백업 이미지를 만듭니다.

    참고

    • 가상 컴퓨터를 사용 중인 경우 이 컴퓨터의 현재 상태에 대한 스냅숏을 만듭니다.

    • VM을 사용하지 않고 있는 경우 WAP 구성 요소가 설치된 각 컴퓨터의 Inetpub 디렉터리에서 MgmtSvc-* 폴더 각각의 백업을 만듭니다.

    • 해당 인증서, 호스트 헤더 및 모든 포트 변경 사항과 관련된 정보와 파일을 수집합니다.

  4. Windows Azure 팩 테넌트 사이트에 대한 고유한 테마를 사용하고 있는 경우 다음 지침에 따라 업데이트를 실행하기 전에 해당 테마 변경 사항을 보존합니다.

  5. 해당 구성 요소가 실행되고 있는 컴퓨터에서 각 .msi 파일을 실행하여 업데이트를 실행합니다. 예를 들어 IIS(인터넷 정보 서비스)에서 "MgmtSvc-AdminAPI" 사이트를 실행 중인 컴퓨터에서 MgmtSvc-AdminAPI.msi를 실행합니다.

  6. 부하 분산 아래 각 노드에 대해 다음 순서로 구성 요소에 대한 업데이트를 실행합니다.

    1. WAP에 의해 설치되는 자체 서명된 원래 인증서를 사용할 경우 업데이트 작업이 이러한 인증서를 교체합니다. 새 인증서를 내보내고 부하 분산 아래 다른 노드로 가져와야 합니다. 이러한 인증서에는 CN=MgmtSvc-*(자체 서명됨) 이름 지정 패턴이 있습니다.

    2. 필요에 따라 RP(리소스 공급자) 서비스(SQL Server, My SQL, SPF/VMM, 웹 사이트)를 업데이트합니다. RP 사이트가 실행 중인지 확인합니다.

    3. 테넌트 API 사이트, 공용 테넌트 API, 관리자 API 노드 및 관리자와 테넌트 인증 사이트를 업데이트합니다.

    4. 관리자 및 테넌트 사이트를 업데이트합니다.

  7. 데이터베이스 버전을 가져오고 MgmtSvc-PowerShellAPI.msi에 의해 설치되는 데이터베이스를 업데이트하는 스크립트가 다음 위치에 저장됩니다.

    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database

  8. 모든 구성 요소가 업데이트되고 예상대로 작동하는 경우, 업데이트된 노드에 대한 트래픽을 열 수 있습니다. 그렇지 않으면 "롤백 지침" 절을 참조하십시오.

참고 Windows Azure 팩용 업데이트 롤업 5 또는 그 이전 업데이트 롤업에서 업데이트할 경우 해당 지침에 따라 WAP 데이터베이스를 업데이트하십시오.

문제가 발생하고, 롤백이 필요하다고 확인되면 다음 단계를 수행하십시오.

  1. "설치 지침" 절의 3단계에 있는 두 번째 참고의 스냅숏이 사용 가능한 경우 이 스냅숏을 적용합니다. 스냅숏이 없는 경우 다음 단계로 이동합니다.

  2. 처음에 만들어진 백업 및 "설치 지침" 절의 3단계에 있는 세 번째 참고를 사용하여 데이터베이스와 컴퓨터를 복원합니다.

    참고 부분적으로 업데이트된 상태로 시스템을 두지 마십시오. 한 노드에서 업데이트가 실패한 경우에도 Windows Azure 팩이 설치된 모든 컴퓨터에서 롤백 작업을 수행하십시오.

    권장 각각의 Windows Azure 팩 노드에서 Windows Azure 팩 모범 사례 분석기를 실행하여 구성 항목이 올바른지 확인하십시오.

  3. 복원된 노드에 대한 트래픽을 엽니다.


다운로드 지침Windows Azure 팩용 업데이트 패키지는 Microsoft Update에서 제공되거나 수동으로 다운로드하여 사용할 수 있습니다.

Microsoft UpdateMicrosoft Update에서 업데이트 패키지를 다운로드하고 설치하려면 해당 구성 요소가 설치된 컴퓨터에서 다음 단계를 수행하십시오.

  1. 시작, 제어판을 차례로 클릭합니다.

  2. 제어판에서 Windows Update를 두 번 클릭합니다.

  3. Windows Update 창에서 Microsoft Update에서 온라인으로 업데이트 확인을 클릭합니다.

  4. 중요 업데이트를 사용할 수 있습니다.를 클릭합니다.

  5. 설치하려는 업데이트 롤업 패키지를 선택한 다음 확인을 클릭합니다.

  6. 업데이트 설치를 선택하여 선택한 업데이트 패키지를 설치합니다.

수동으로 업데이트 패키지 다운로드다음 웹 사이트로 이동하여 Microsoft Update 카탈로그에서 업데이트 패키지를 수동으로 다운로드합니다.

지금 업데이트 패키지 다운로드

변경된 파일

버전

MgmtSvc-SQLServer.msi

3.32.8196.12

MgmtSvc-TenantAPI.msi

3.32.8196.12

MgmtSvc-TenantPublicAPI.msi

3.32.8196.12

MgmtSvc-TenantSite.msi

3.32.8196.12

MgmtSvc-Usage.msi

3.32.8196.12

MgmtSvc-WebAppGallery.msi

3.32.8196.12

MgmtSvc-WindowsAuthSite.msi

3.32.8196.12

MgmtSvc-AdminAPI.msi

3.32.8196.12

MgmtSvc-AdminSite.msi

3.32.8196.12

MgmtSvc-AuthSite.msi

3.32.8196.12

MgmtSvc-Bpa.msi

3.32.8196.12

MgmtSvc-ConfigSite.msi

3.32.8196.12

MgmtSvc-Monitoring.msi

3.32.8196.12

MgmtSvc-MySQL.msi

3.32.8196.12

MgmtSvc-PowerShellAPI.msi

3.32.8196.12


Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

검색 커뮤니티

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.

Microsoft 커뮤니티에 질문하기

Microsoft Tech Community

Windows 참가자

Microsoft 365 참가자

이 정보가 유용한가요?

언어 품질에 얼마나 만족하시나요?
사용 경험에 어떠한 영향을 주었나요?
제출을 누르면 피드백이 Microsoft 제품과 서비스를 개선하는 데 사용됩니다. IT 관리자는 이 데이터를 수집할 수 있습니다. 개인정보처리방침

의견 주셔서 감사합니다!

×