Beveiligingsupdatepakket 9.1 voor Windows Azure Pack

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 3146301
Samenvatting
In dit artikel wordt beschreven voor beveiligingsproblemen zijn verholpen in Update Rollup 9.1 voor Windows Azure Pack (versie 3.32.8196.12). Het bevat ook de installatie-instructies voor het updatepakket.
Problemen die in dit updatepakket worden opgelost

Probleem 1 - ZeroClipboard cross-site scripting-beveiligingslek

De pre-9.1-versies van de WAP, zoals een versie van ZeroClipboard (v 1.1.7) die kwetsbaar is voor cross-site scripting (XSS). Beveiliging bevat Update 9.1 voor WAP bijgewerkte ZeroClipboard versie 1.3.5, waarmee dit beveiligingslek wordt opgelost. U vindt meer informatie over het Hier.

Impact ZeroClipboard is gevonden in de portals Admin en de huurder en de huurder Authentication service. Dit beveiligingslek kan worden misbruikt voor al deze services. Een Internet-provider meestal blijven de Admin portal toegankelijk zijn door de huurders, maar de portal van de huurder en de huurder Auth-service worden doorgaans beschikbaar gesteld aan huurders. Let erop dat de huurder Auth-service wordt niet ondersteund in de productie-implementaties. Als de aanval succesvol is, kan de adversary dat een WAP-beheerder of de huurder gebruiker in de toepassing uitvoeren kan worden uitgevoerd. De adversary kan ook voortbouwen op deze fout en aanvallen op de browser of werkstation van het slachtoffer, of maakt toegang tot bronnen van de huurder (zoals virtuele machines of SQL Server). Omdat de federatieve verificatieserver ook kwetsbaar, andere opties aanval mogelijk ook beschikbaar zijn.

2 - beveiligingslek in de openbare API huurder service verlenen

In de pre-9.1-versies van de WAP, kunt een aanvaller actieve huurder uploaden van een certificaat via de openbare API van huurder service en koppelen aan een doel van de huurder abonnement-ID. Hiermee kunt de aanvaller toegang krijgen tot de bronnen van de huurder doel. Update Rollup 9.1 blokkeert een dergelijke aanval.

Impact Een adversary kunt dit gebruiken voor toegang tot de WAP huurder openbare API service. De aanvaller moet echter daarvoor weten de subscriptionId van het slachtoffer. Er is minstens één mogelijke scenario voor een adversary toegang te krijgen tot de subscriptionId. De toepassing kan beheerders co-beheerders maken. Wanneer iemand zich als co-beheerder aanmeldt, krijgen ze op de hoogte van de subscriptionId. Als deze co-beheerder wordt later verwijderd, kunnen ze de aanval uitvoeren.

Installatie-instructies

Deze installatie-instructies zijn bedoeld voor de volgende onderdelen van Windows Azure Pack:
  • Site van de huurder
  • Huurder API
  • Openbare API van huurder
  • Beheersite
  • API voor beheer
  • Verificatie
  • Windows-verificatie
  • Gebruik
  • Monitoring
  • Microsoft SQL
  • MySQL
  • Galerie met webonderdelen
  • Configuratie van site
  • Best Practices Analyzer
  • PowerShell API
Ga als volgt te werk om de installatie van de update MSI-bestanden voor elk onderdeel Windows Azure Pack (WAP):
  1. Als het systeem is momenteel operationele planning (verwerken van klantverkeer op), uitval van de servers Azure Pack. Windows Azure Pack ondersteuning momenteel geen voor rolling upgrades.
  2. Stop of klantverkeer omleiden naar sites die u rekening houden met voldoende.
  3. Back-upkopieën van de webservers en de SQL Server-databases maken.

    Opmerkingen
    • Als u met behulp van virtuele machines, momentopnamen van de huidige toestand.
    • Als u VMs niet gebruikt, kunt u een back-up van elke MgmtSvc-* map in de map Inetpub op elke computer die een WAP onderdeel is geïnstalleerd.
    • Verzamelen van gegevens en bestanden die gerelateerd zijn aan de certificaten, host-headers en wijzigingen van de poort.
  4. Als u uw eigen thema voor de site Windows Azure Pack huurder, volg deze instructies voor het behoud van uw themawijzigingen voordat u de update uitvoert.
  5. De update uitvoeren door het uitvoeren van elk MSI-bestand op de computer waarop u het bijbehorende onderdeel wordt uitgevoerd. Bijvoorbeeld de MgmtSvc-AdminAPI.msi worden uitgevoerd op de computer waarop de site "MgmtSvc AdminAPI" in Internet Information Services (IIS) wordt uitgevoerd.
  6. Voer voor elk knooppunt onder Load Balancing, de updates voor onderdelen in de volgende volgorde:
    1. Als u de oorspronkelijke zelfondertekende certificaten die zijn geïnstalleerd door de WAP, vervangen de updatebewerking. U moet het nieuwe certificaat exporteren en importeren naar de andere knooppunten onder Load Balancing. Deze certificaten hebben een CN = MgmtSvc-* naampatroon (zelf-ondertekend).
    2. Resource-Provider (RP) services (SQL Server, mijn SQL, SPF/VMM, websites) zo nodig bijwerken. Zorg ervoor dat de RP-sites worden uitgevoerd.
    3. De huurder API site, openbare API van huurder, beheerder API knooppunten en beheerder en huurder verificatie sites bijwerken.
    4. De beheerder en de huurder sites bijwerken.
  7. Scripts voor de databaseversies ophalen en bijwerken van de database is geïnstalleerd door de MgmtSvc-PowerShellAPI.msi worden opgeslagen in de volgende locatie:
    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
  8. Als alle onderdelen zijn bijgewerkt en naar behoren functioneert, kunt u het verkeer naar uw bijgewerkte knooppunten openen. Raadpleeg anders de 'Ongedaan maken, instructies'sectie.
Opmerking Als u updates van een updatepakket dat gelijk is aan of ouder dan Update Rollup 5 voor Windows Azure Pack, gaat u als volgt Deze instructies voor het bijwerken van de database van de WAP.

Ongedaan maken, instructies

Als er een probleem optreedt en u controleren of een rollback nodig, als volgt te werk:
  1. Als de momentopnamen zijn beschikbaar vanaf de tweede opmerking in stap 3 in de "Installatie-instructiesafdeling, gelden de momentopnamen. Als er geen momentopnamen, gaat u naar de volgende stap.
  2. Gebruik de back-up die is gemaakt in de eerste en de derde opmerking in stap 3 van de "Installatie-instructies'sectie om te herstellen van uw databases en computers.

    Opmerking Laat het systeem niet in een gedeeltelijk bijgewerkte staat. Bewerkingen ongedaan maken op alle computers waarop Windows Azure Pack is geïnstalleerd, zelfs als de update is mislukt op een knooppunt.

    Aanbevolen Windows Azure Pack Best Practices Analyzer uitvoeren op elk knooppunt Windows Azure Pack om ervoor te zorgen dat de configuratie-items correct zijn.
  3. Open het verkeer naar uw teruggezette knooppunten.

Instructies downloaden

Updatepakketten voor Windows Azure Pack zijn beschikbaar via Microsoft Update of door handmatig downloaden.

Microsoft Update

Als u wilt downloaden en installeren van een pakket van Microsoft Update, volgt op een computer waarop een van toepassing zijnde onderdeel is geïnstalleerd:
  1. Klik op Start en klik vervolgens op Configuratiescherm.
  2. Dubbelklik in het Configuratiescherm op Windows Update.
  3. In het venster van Windows Update, klikt u op Online controleren op updates van Microsoft Update.
  4. Klik op belangrijke updates beschikbaar zijn.
  5. Selecteer de updatepakketten die u wilt installerenen klik vervolgens op OK.
  6. Selecteer de updates installerenom de geselecteerde updatepakketten te installeren.

De updatepakketten handmatig downloaden

Ga naar de volgende website om de updates handmatig downloaden van de Microsoft Update-catalogus:

Bestanden die worden bijgewerkt in dit updatepakket

Bestanden die zijn gewijzigdVersie
MgmtSvc SQLServer.msi3.32.8196.12
MgmtSvc TenantAPI.msi3.32.8196.12
MgmtSvc TenantPublicAPI.msi3.32.8196.12
MgmtSvc TenantSite.msi3.32.8196.12
MgmtSvc Usage.msi3.32.8196.12
MgmtSvc WebAppGallery.msi3.32.8196.12
MgmtSvc WindowsAuthSite.msi3.32.8196.12
MgmtSvc AdminAPI.msi3.32.8196.12
MgmtSvc AdminSite.msi3.32.8196.12
MgmtSvc AuthSite.msi3.32.8196.12
MgmtSvc Bpa.msi3.32.8196.12
MgmtSvc ConfigSite.msi3.32.8196.12
MgmtSvc Monitoring.msi3.32.8196.12
MgmtSvc MySQL.msi3.32.8196.12
MgmtSvc PowerShellAPI.msi3.32.8196.12

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 3146301 - Laatst bijgewerkt: 03/03/2016 20:09:00 - Revisie: 1.0

Microsoft System Center 2012 R2, Windows Azure Pack

  • kbsurveynew kbfix kbbug kbexpertiseinter kbsecbulletin kbsecvulnerability atdownload kbsecurity kbmt KB3146301 KbMtnl
Feedback