증상
WAP(Windows Azure 팩)용 업데이트 롤업 13에 특정 기호를 스크립트에 삽입하여 포털 UI 제한 사항을 우회하도록 하는 보안 취약성이 존재합니다. 포털 UI에서는 “<script>” 삽입에 필요한 보다 큼(<) 및 보다 작음(>) 기호 같은 같은 특정 기호를 제한합니다.
Fiddler에서 요청을 재생하면 < 및 > 같은 문자가 포함된 문자열이 구독 이름으로 전송될 수 있습니다. SubscriptionName 필드는 최대 128자의 문자열로 설정할 수 있습니다. 이 시나리오에서는 <script src="https://code.jquery.com/jquery-1.10.2.min.js"> 또는 <script>alert(document.cookie)</script> 같은 다양한 스크립트를 로드하고 실행할 수 있습니다.
이 취약성에 대해 자세히 알아보려면 Microsoft의 일반적인 취약성 및 노출 CVE-2018-8652를 참조하세요.
해결 방법
다운로드 정보
Windows Azure 팩용 업데이트 패키지는 Microsoft 업데이트를 통해 제공되거나 수동으로 다운로드하여 사용할 수 있습니다.
Microsoft 업데이트
이 보안 업데이트는 Windows 업데이트를 통해 제공됩니다. 자동 업데이트를 켜면 이 보안 업데이트가 자동으로 다운로드되고 설치됩니다. 자동으로 보안 업데이트를 받는 방법에 대한 자세한 내용은 Windows 업데이트: FAQ를 참조하세요.
업데이트 패키지의 수동 다운로드
다음 웹 사이트로 이동하여 Microsoft 업데이트 카탈로그에서 보안 업데이트 패키지를 수동으로 다운로드합니다.
설치 정보
이 설치 지침은 다음 Windows Azure 팩 구성 요소에 적용됩니다.
-
테넌트 사이트
-
테넌트 API
-
테넌트 공용 API
-
관리 사이트
-
관리 API
-
인증
-
Windows 인증
-
사용
-
모니터링
-
Microsoft SQL
-
MySQL
-
웹 응용 프로그램 갤러리
-
구성 사이트
-
모범 사례 분석기
-
PowerShell API
각 Windows Azure 팩 구성 요소에 대한 업데이트 .msi 파일을 설치하려면 다음 단계를 수행하세요.
-
시스템이 현재 작동 중(고객 트래픽 처리 중)인 경우 Azure 서버의 작동 중단 시간을 예약합니다. Windows Azure 팩은 롤링 업그레이드를 현재 지원하지 않습니다.
-
만족할 만한 대체 사이트로 고객 트래픽을 리디렉션하거나 중지합니다.
-
컴퓨터 백업 만들기
참고-
가상 머신을 사용 중인 경우 이 가상 머신의 현재 상태에 대한 스냅숏을 만듭니다.
-
가상 머신을 사용하지 않고 있는 경우 WAP 구성 요소가 설치된 각 컴퓨터의 Inetpub 디렉터리에서 MgmtSvc-* 폴더 각각의 백업을 만듭니다.
-
해당 인증서, 호스트 헤더 및 모든 포트 변경 사항과 관련된 정보와 파일을 수집합니다.
-
-
Windows Azure 팩 테넌트 사이트에 대한 고유한 테마를 사용하고 있는 경우 업데이트를 실행하기 전에 Microsoft 업그레이드 후 Windows Azure 팩 테마를 보존하는 방법을 참조하세요.
-
해당 구성 요소가 실행되고 있는 컴퓨터에서 각 .msi 파일을 설치하여 업데이트를 실행합니다. 예를 들어 IIS에서 "MgmtSvc-AdminAPI" 사이트를 실행 중인 컴퓨터에서 MgmtSvc-AdminAPI.msi를 실행합니다.
-
부하 분산 중인 각 노드에 대해 다음 순서로 구성 요소에 대한 업데이트를 실행합니다.
-
WAP에 의해 설치되는 자체 서명된 원래 인증서를 사용할 경우 업데이트 작업을 통해 이러한 인증서가 교체됩니다. 이때 새 인증서를 내보내고 부하 분산 중인 다른 노드로 가져와야 합니다. 이러한 인증서에는 CN=MgmtSvc-*(자체 서명됨) 이름 지정 패턴이 있습니다.
-
필요에 따라 RP(리소스 공급자) 서비스(SQL Server, My SQL, SPF/VMM, 웹 사이트)를 업데이트합니다. 또한 RP 사이트가 실행 중인지 확인합니다.
-
테넌트 API 사이트, 공용 테넌트 API, 관리자 API 노드 및 관리자와 테넌트 인증 사이트를 업데이트합니다.
-
관리자 및 테넌트 사이트를 업데이트합니다.
이러한 데이터베이스 버전을 가져오고 MgmtSvc-PowerShellAPI.msi에 의해 설치되는 데이터베이스를 업데이트하는 스크립트가 다음 위치에 저장됩니다.
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
모든 구성 요소가 업데이트되고 예상대로 작동하는 경우, 업데이트된 노드에 대한 트래픽을 열 수 있습니다. 그렇지 않으면 "롤백 지침" 절을 참조하세요.
참고 Windows Azure 팩용 업데이트 롤업 5 또는 그 이전 업데이트 롤업에서 업데이트할 경우 해당 지침에 따라 WAP 데이터베이스를 업데이트하세요. -
문제가 발생하고, 롤백이 필요하다고 확인되면 다음 단계를 수행하세요.
-
"설치 지침" 절의 3단계에 있는 두 번째 참고의 스냅숏이 사용 가능한 경우 이 스냅숏을 적용합니다. 스냅숏이 없는 경우 다음 단계로 이동합니다.
-
처음에 만들어진 백업 및 "설치 지침" 절의 3단계에 있는 세 번째 참고를 사용하여 데이터베이스와 컴퓨터를 복원합니다.
참고 부분적으로 업데이트된 상태로 시스템을 두지 마세요. 한 노드에서만 업데이트가 실패한 경우에도 Windows Azure 팩이 설치된 모든 컴퓨터에서 롤백 작업을 수행하세요.
각각의 Windows Azure 팩 노드에서 Windows Azure 팩 모범 사례 분석기를 실행하여 구성 항목이 올바른지 확인하는 것이 좋습니다. -
복원된 노드에 대한 트래픽을 엽니다.