Oppdateringen som beskrives i denne artikkelen har blitt erstattet av en nyere samleoppdatering. Vi anbefaler at du installerer den nyeste oppdateringen. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
3158609 samleoppdatering 10 for Windows Azure-pakke
Sammendrag
Denne artikkelen beskriver sikkerhetsproblemene som er løst i oppdateringen samleoppdatering 9.1 for Windows Azure Pack (versjon 3.32.8196.12). Den inneholder også Installasjonsinstruksjoner for samleoppdateringen.
Problemer som er løst i denne samleoppdateringen
Problem 1 - ZeroClipboard sikkerhetsproblem med skripting på tvers av områder
Pre-9.1-versjoner av WAP inneholder en versjon av ZeroClipboard (v 1.1.7) som er sårbar for områdedekkende skriptangrep (XSS). Samlesikkerhetsoppdateringen 9.1 for WAP inneholder oppdaterte ZeroClipboard versjon 1.3.5, som løser dette sikkerhetsproblemet. Du kan finne detaljer om det her.
Innvirkning ZeroClipboard finnes i Admin og leier-portaler og leier godkjenningstjenesten. Dette sikkerhetsproblemet kan utnyttes på alle disse tjenestene. En leverandør vil vanligvis beholde Admin-portal utilgjengelig som eiere, men leier portalen og leier Auth-tjenesten vanligvis gjøres tilgjengelig for eiere. Vær oppmerksom på at leier Auth-tjenesten ikke er støttet i produksjon-distribusjoner. Hvis et angrep er vellykket, kan adversary kjøre noe som en WAP-administratoren eller leier bruker kan kjøre i programmet. I adversary kan også bygge på denne feilen og angrep leseren eller arbeidsstasjonen til utsatt, eller opprette eller få tilgang leier ressurser (for eksempel virtuelle maskiner eller SQL Server). Fordi forent godkjenningsserveren er også utsatt, kan også andre alternativer for angrep være tilgjengelig.
Problem 2 - sikkerhetsproblem leier Public API
I pre-9.1-versjoner av WAP kan angriperen aktive leier laste opp et sertifikat via offentlige leier API-tjenesten og knytte den til en mål-leier abonnement-IDen. Dermed kan angriperen få tilgang til ressursene som leier mål. Oppdatere samleoppdatering 9.1 blokkerer et slikt angrep.
Innvirkning En adversary kan bruke denne til å få tilgang til WAP-leier Public API service. Hvis du vil gjøre dette, må angriperen imidlertid vite subscriptionId for utsatt. Det er minst én mulig scenario for en adversary å få tilgang til subscriptionId. Programmet kan administratorer opprette ko-administratorer. Når noen logger på som ko-admin, får de vite subscriptionId. Hvis denne ko-admin fjernes senere, kan de utføre angrepet.
Det er disse Installasjonsinstruksjoner for følgende Windows Azure Pack-komponenter:
-
Område for klientadministrasjon
-
Leier API
-
Leier Public API
-
Administrasjonsområde
-
Administrasjon av API
-
Godkjenning
-
Windows-godkjenning
-
Bruk
-
Overvåking
-
Microsoft SQL
-
MySQL
-
Program-galleriet på weben
-
Konfigurasjon av webområde
-
Best Practices Analyzer
-
PowerShell-API
Hvis du vil installere oppdateringen MSI-filene for hver komponent i Windows Azure Pack (WAP), gjør du følgende:
-
Hvis systemet er for øyeblikket drift (håndtering av kunden trafikk), tidsplan nedetid for Azure Pack-servere. Windows Azure Pack støtte for øyeblikket ikke for rullende oppgraderinger.
-
Stopp eller omadressere kunden trafikk til områder som du anser som tilfredsstillende.
-
Opprette sikkerhetskopiavbildninger av web-servere og SQL Server-databaser.
Notater-
Hvis du bruker virtuelle maskiner, kan du ta øyeblikksbilder av deres gjeldende status.
-
Hvis du ikke bruker VMs, ta en sikkerhetskopi av hver MgmtSvc-* mappe i Inetpub-mappen på hver datamaskin som har installert en WAP-komponent.
-
Samle inn informasjon og filer som er knyttet til sertifikatene dine, vertsoverskrifter, og port endringer.
-
-
Hvis du bruker ditt eget tema for Windows Azure Pack leier området, følger du disse instruksjonene for å beholde endringene tema før du kjører oppdateringen.
-
Kjør oppdateringen ved å kjøre hver MSI-fil på datamaskinen som kjører den tilsvarende komponenten. For eksempel kjøre MgmtSvc-AdminAPI.msi på datamaskinen som kjører "MgmtSvc AdminAPI"-området i Internet Information Services (IIS).
-
For hver node under belastningsfordeling, kan du kjøre oppdateringer for komponenter i følgende rekkefølge:
-
Hvis du bruker de opprinnelige selvsignerte sertifikatene som er installert av WAP, erstatter dem i oppdateringsoperasjonen. Du må eksportere det nye sertifikatet og importere til de andre nodene under belastningsfordeling. Disse sertifikatene ha en CN = MgmtSvc-* (selvsignert) naming mønster.
-
Oppdater ressurs-tjenesten (RP) tjenester (SQL Server, Min SQL, SPF/VMM, webområder) etter behov. Kontroller at kjører RP-områder.
-
Oppdatere området for klientadministrasjon API, Public API for leietakeradministrasjon, Administrator API noder og Administrator og leier godkjenning områder.
-
Oppdater Administrator og leier-områder.
-
-
Skript for å hente databaseversjoner og oppdatere databaser som er installert av MgmtSvc-PowerShellAPI.msi lagres på følgende sted:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
Hvis alle komponenter er oppdatert og fungerer som forventet, kan du åpne trafikken til de oppdaterte nodene. Hvis ikke, kan du se delen "tilbakerulling instruksjoner".
Obs! Hvis du oppdaterer fra en samleoppdatering som er lik eller eldre enn samleoppdatering 5 for Windows Azure-Pack, følger du disse instruksjonene for å oppdatere WAP-databasen.
Hvis det oppstår et problem, og du har bekreftet at det er nødvendig med en tilbakeføring, følger du disse trinnene:
-
Hvis statiske utvalg er tilgjengelig fra andre notatet i trinn 3 i delen "Installasjonsinstruksjoner", kan du bruke øyeblikksbildene. Hvis det er ingen øyeblikksbilder, går du til neste trinn.
-
Bruke sikkerhetskopi som ble tatt i det første og tredje notatet i trinn 3 i delen "Installasjonsinstruksjoner" Slik gjenoppretter databaser og datamaskiner.
Obs! Ikke la systemet i en delvis oppdatert tilstand. Utføre tilbakeføring operasjoner på alle datamaskiner der Windows Azure Pack er installert, selv om oppdateringen mislyktes på én node.
Anbefales Kjør Windows Azure Pack Best Practice Analyzer på hver Windows Azure Pack node for å forsikre deg om at konfigurasjonselementer er riktige. -
Åpne trafikken til de gjenopprettede nodene.
Instruksjoner for nedlastingOppdateringspakkene for Windows Azure-Pack er tilgjengelige fra Microsoft Update eller ved manuell nedlasting.
Microsoft UpdateFor å skaffe og installere en oppdateringspakke fra Microsoft Update, kan du følge denne fremgangsmåten på en datamaskin som har en nødvendig komponent installert:
-
Klikk Start, og klikk deretter Kontrollpanel.
-
Dobbeltklikk Windows Updatei Kontrollpanel.
-
I Windows Update-vinduet klikker du Sjekk Online for oppdateringer fra Microsoft Update.
-
Klikk viktige oppdateringer er tilgjengelige.
-
Velg samleoppdateringspakker som du vil installere , og klikk deretter OK.
-
Velg Installer oppdateringer til å installere de valgte pakkene.
Manuell nedlasting av oppdateringspakkeneGå til følgende webområde for å laste ned oppdateringspakkene manuelt fra Microsoft Update-katalogen:
|
Filer som er endret |
Versjon |
|---|---|
|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
|
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
|
MgmtSvc-Usage.msi |
3.32.8196.12 |
|
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
|
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
|
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
|
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-Bpa.msi |
3.32.8196.12 |
|
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
|
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
|
MgmtSvc-MySQL.msi |
3.32.8196.12 |
|
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |
