Šajā rakstā ir aizstāts ar jaunāku atjauninājumu apkopojumu. Iesakām instalēt jaunāko atjauninājumu. Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:
Windows Azure 3158609 atjauninājumu apkopojums 10 pakotne
Kopsavilkums
Šajā rakstā ir aprakstītas drošības problēmas, kas tiek labotas, izmantojot 9.1 atjauninājumu apkopojums Windows Azure pakotnes (faila versija 3.32.8196.12). Tas ietver arī apkopojuma instalēšanas instrukcijas.
Problēmas, kas tiek labotas, izmantojot šo atjauninājumu apkopojumu
Problēma 1 - ZeroClipboard vairākvietņu skriptošanas ievainojamība
Pirms 9.1 WAP versijas ir ZeroClipboard (v 1.1.7) versiju, kas ir pakļauts starpvietņu skriptošanas (XSS). Drošības atjauninājumu apkopojumā 9.1 WAP ir ZeroClipboard atjauninātā versija 1.3.5, kas novērš šo drošības problēmu. Jūs varat atrast informāciju par to šeit.
Ietekme ZeroClipboard atrodas nomnieka un administrēšanas portāls un nomnieka autentifikācijas pakalpojums. Šī ievainojamība var izmantot šo pakalpojumu. Pakalpojumu sniedzējs parasti turpināt administrēšanas portāls nepieejami, nomniekiem, bet nomnieka portālā un nomnieka autentifikācijas pakalpojums ir parasti pieejami nomniekiem. Ņemiet vērā, ka nomnieka autentifikācijas pakalpojums neatbalsta ražošanas izvietošanu. Uzbrukums ir veiksmīga, ja pretinieks var palaist kaut kas WAP administrators vai nomnieka lietotājs var palaist lietojumprogrammu. Pretinieks varētu arī pilnveidot šo kļūdu un pārlūkprogrammu vai darbstacijas upuri, izveidot vai piekļūt nomnieka resursam (piemēram, virtuālās mašīnas vai SQL Server). Integrētās autentifikācijas serveris ir neaizsargāts, jo citas iespējas uzbrukums arī var būt pieejami.
Problēma 2 — nomnieka valsts API pakalpojuma ievainojamība
WAP pirms 9.1 versijās uzbrucējs aktīvā nomnieka varat augšupielādēt sertifikātu pakalpojumu publiskajā nomnieka API un piesaistītu mērķa nomnieka abonementa ID. Tādējādi uzbrucējs piekļūt mērķa nomnieka resursus. Atjauninājumu apkopojums 9.1 bloķē šādu uzbrukumu.
Ietekme Pretinieks var izmantot, lai piekļūtu WAP nomnieka valsts API pakalpojumu. Tomēr, lai to izdarītu, uzbrucējs jāzina upuri subscriptionId. Ir vismaz viens iespējamais scenārijs naidnieks piekļūt subscriptionId. Lietojumprogramma ļauj administratoriem izveidot co administratorus. Ja kāds pierakstās kā co administrators, viņiem jāzina subscriptionId. Ja šī co admin vēlāk tiek noņemta, tie var veikt uzbrukumu.
Šīs instalēšanas instrukcijas ir šādu komponentu Windows Azure pakotni:
-
Nomnieka vietā
-
Nomnieka API
-
Nomnieka valsts API
-
Administrēšanas vietne
-
Administrēšanas API
-
Autentifikācija
-
Windows autentifikācija
-
Lietojums
-
Pārraudzība
-
Microsoft SQL
-
MySQL
-
Tīmekļa lietojumprogramma galerija
-
Vietnes konfigurācija
-
Paraugprakses analizētājs
-
PowerShell API
Lai instalētu atjauninājumu MSI failus visu komponentu Windows Azure Pack (WAP), rīkojieties šādi:
-
Ja sistēma pašlaik darbības (apstrādes klientu trafiku), grafiku dīkstāves Azure pakotnes serveriem. Windows Azure pakotne pašlaik neatbalsta ritošā jauninājumi.
-
Apturēšanas vai novirzīs uz vietnēm, kas ir jāņem vērā pienācīgu klientu trafiku.
-
Izveidot dublējuma attēlu web serveri un SQL Server datu bāzi.
Piezīmes-
Ja jūs izmantojat virtuālās mašīnas, jāveic momentuzņēmumi savu pašreizējo stāvokli.
-
Ja neizmantojat VMs, veikt dublējumu katram MgmtSvc-* Inetpub direktorijā katrā datorā ir instalēts komponents WAP mapi.
-
Apkopojiet informāciju un failus, kas saistīti ar sertifikātiem, resursdatora galvenes un izmaiņas portu.
-
-
Ja izmantojat Windows Azure pakotnes nomnieka vietā savu dizainu, izpildiet šos norādījumus, lai saglabātu dizaina izmaiņas pirms palaist atjauninājumu.
-
Palaižot katra. msi faila datorā, kurā darbojas attiecīgā komponenta palaist atjauninājumu. Piemēram, palaidiet MgmtSvc AdminAPI.msi datorā, kurā darbojas "MgmtSvc AdminAPI" vietu interneta informācijas pakalpojumos (IIS).
-
Katram mezglam zem slodzes līdzsvarošana, palaidiet komponentu atjauninājumus šādā secībā:
-
Ja izmantojat oriģinālo pašparakstīts sertifikātus, kas instalēti, izmantojot WAP, atjaunināšanas operācijas aizstāj tos. Jums ir jauna sertifikāta eksportēšana un importēšana un mezgliem zem slodzes līdzsvarošana. Šādi sertifikāti ir CN = MgmtSvc-* nosaukumdošanas modelis (pašparakstīts).
-
Pēc vajadzības atjaunināt resursu nodrošinātājs (RP) pakalpojumu (SQL Server, My SQL, SPF/VMM, vietnes). Pārliecinieties, vai darbojas RP vietnēm.
-
Atjauniniet nomnieka API vietu, publiskās nomnieka API, administratora API mezgliem un administrators un nomnieka autentifikācijas vietas.
-
Atjaunināšanas vietnes administrators un nomnieka.
-
-
Iegūt datu bāzes versijas un atjaunināt datu bāzes MgmtSvc PowerShellAPI.msi instalējis skriptu tiek glabāti šādā atrašanās vietā:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
Ja tiek atjaunināti visu komponentu un darbojas pareizi, varat atvērt trafika jūsu atjaunināto mezgliem. Pretējā gadījumā skatiet sadaļu "atrite instrukcijas".
Piezīme. Ja veicat atjaunināšanu no atjauninājumu apkopojums, kas ir vienāds vai vecāka par Windows Azure pakotnes atjauninājumu apkopojums 5, izpildiet šos norādījumus WAP datu bāzes atjaunināšanai.
Ja rodas problēma un atrite ir nepieciešams pārbaudīt, rīkojieties šādi:
-
Ja momentuzņēmumi, ko piedāvā otro piezīmi sadaļā "instalēšanas instrukcijas" 3. darbībā, lietojiet momentuzņēmumus. Ja nav momentuzņēmumi, pārejiet pie nākamās darbības.
-
Izmantot dublējumkopijas, tika pieņemts pirmajā un trešajā norādījumus sadaļā "instalēšanas instrukcijas" 3. darbībā atjaunot datu bāzes un datorus.
Piezīme. Atstāt sistēma daļēji atjaunināts stāvoklī. Darbības atrite visos datoros Windows Azure pakotne ir instalēta, pat tad, ja viena atjaunināšana neizdevās.
Ieteicams Palaidiet Windows Azure pakotnes labākās prakses analizators uz katru mezglu Windows Azure pakotni, lai pārliecinātos, vai ir pareizi konfigurācijas vienumi. -
Atveriet trafiku uz savu atjaunošanas mezgliem.
Lejupielādes instrukcijasWindows Azure pakotnes atjauninājumu pakotnes var lejupielādēt manuāli no vietnes Microsoft Update vai.
Microsoft UpdateIegūt un instalēt atjauninājumu pakotni no vietnes Microsoft Update, datorā, kurā ir piemērojami komponentu instalēšanas rīkojieties šādi:
-
Noklikšķiniet uz Sākt un pēc tam noklikšķiniet uz Vadības panelis.
-
Vadības panelī veiciet dubultklikšķi uz Windows Update.
-
Windows Update logā noklikšķiniet uz Pārbaudīt tiešsaistē atjauninājumus no vietnes Microsoft Update.
-
Noklikšķiniet uz ir pieejami svarīgi atjauninājumi.
-
Atlasiet instalējamo Atjauninājumu apkopojumu pakotnes un pēc tam noklikšķiniet uz Labi.
-
Izvēlieties instalēt atjauninājumus instalēt atlasīto atjauninājumu pakotnēm.
Manuāla atjauninājuma pakotnes lejupielādeApmeklējiet šo vietni manuāli lejupielādēt no Microsoft atjauninājumu kataloga atjauninājumu pakotnēm:
|
Faili, kas ir mainīti |
Versija |
|---|---|
|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
|
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
|
MgmtSvc-Usage.msi |
3.32.8196.12 |
|
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
|
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
|
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
|
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-Bpa.msi |
3.32.8196.12 |
|
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
|
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
|
MgmtSvc-MySQL.msi |
3.32.8196.12 |
|
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |
