Beveiligingsupdatepakket 9.1 voor Windows Azure Pack


De update die in dit artikel wordt beschreven is vervangen door een nieuwere update rollup. Het is raadzaam dat u de meest recente update installeert. Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

3158609 update Rollup 10 voor Windows Azure Pack

Samenvatting

In dit artikel wordt beschreven voor beveiligingsproblemen zijn verholpen in Update Rollup 9.1 voor Windows Azure Pack (versie 3.32.8196.12). Het bevat ook de installatie-instructies voor het updatepakket.

Problemen die in dit updatepakket worden opgelost

Probleem 1 - ZeroClipboard cross-site scripting-beveiligingslek

De pre-9.1-versies van de WAP, zoals een versie van ZeroClipboard (v 1.1.7) die kwetsbaar is voor cross-site scripting (XSS). Beveiliging bevat Update 9.1 voor WAP bijgewerkte ZeroClipboard versie 1.3.5, waarmee dit beveiligingslek wordt opgelost. U vindt meer informatie over deze hier.

Impact ZeroClipboard is gevonden in de portals Admin en de huurder en de huurder Authentication service. Dit beveiligingslek kan worden misbruikt voor al deze services. Een Internet-provider meestal blijven de Admin portal toegankelijk zijn door de huurders, maar de portal van de huurder en de huurder Auth-service worden doorgaans beschikbaar gesteld aan huurders. Let erop dat de huurder Auth-service wordt niet ondersteund in de productie-implementaties. Als de aanval succesvol is, kan de adversary dat een WAP-beheerder of de huurder gebruiker in de toepassing uitvoeren kan worden uitgevoerd. De adversary kan ook voortbouwen op deze fout en aanvallen op de browser of werkstation van het slachtoffer, of maakt toegang tot bronnen van de huurder (zoals virtuele machines of SQL Server). Omdat de federatieve verificatieserver ook kwetsbaar, andere opties aanval mogelijk ook beschikbaar zijn.

Probleem 2 - beveiligingslek in de openbare API huurder service

In de pre-9.1-versies van de WAP, kunt een aanvaller actieve huurder uploaden van een certificaat via de openbare API van huurder service en koppelen aan een doel van de huurder abonnement-ID. Hiermee kunt de aanvaller toegang krijgen tot de bronnen van de huurder doel. Update Rollup 9.1 blokkeert een dergelijke aanval.

Impact Een adversary kunt dit gebruiken voor toegang tot de WAP huurder openbare API service. De aanvaller moet echter daarvoor weten de subscriptionId van het slachtoffer. Er is minstens één mogelijke scenario voor een adversary toegang te krijgen tot de subscriptionId. De toepassing kan beheerders co-beheerders maken. Wanneer iemand zich als co-beheerder aanmeldt, krijgen ze op de hoogte van de subscriptionId. Als deze co-beheerder wordt later verwijderd, kunnen ze de aanval uitvoeren.

Deze installatie-instructies zijn bedoeld voor de volgende onderdelen van Windows Azure Pack:

  • Site van de huurder

  • Huurder API

  • Openbare API van huurder

  • Beheersite

  • API voor beheer

  • Verificatie

  • Windows-verificatie

  • Gebruik

  • Monitoring

  • Microsoft SQL

  • MySQL

  • Galerie met webonderdelen

  • Configuratie van site

  • Best Practices Analyzer

  • PowerShell API

Ga als volgt te werk om de installatie van de update MSI-bestanden voor elk onderdeel Windows Azure Pack (WAP):

  1. Als het systeem is momenteel operationele planning (verwerken van klantverkeer op), uitval van de servers Azure Pack. Windows Azure Pack ondersteuning momenteel geen voor rolling upgrades.

  2. Stop of klantverkeer omleiden naar sites die u rekening houden met voldoende.

  3. Back-upkopieën van de webservers en de SQL Server-databases maken.

    Opmerkingen

    • Als u met behulp van virtuele machines, momentopnamen van de huidige toestand.

    • Als u VMs niet gebruikt, kunt u een back-up van elke MgmtSvc-* map in de map Inetpub op elke computer die een WAP onderdeel is geïnstalleerd.

    • Verzamelen van gegevens en bestanden die gerelateerd zijn aan de certificaten, host-headers en wijzigingen van de poort.

  4. Als u uw eigen thema voor de site Windows Azure Pack huurder, volg deze instructies voor het behoud van uw themawijzigingen voordat u de update uitvoert.

  5. De update uitvoeren door het uitvoeren van elk MSI-bestand op de computer waarop u het bijbehorende onderdeel wordt uitgevoerd. Bijvoorbeeld de MgmtSvc-AdminAPI.msi worden uitgevoerd op de computer waarop de site "MgmtSvc AdminAPI" in Internet Information Services (IIS) wordt uitgevoerd.

  6. Voer voor elk knooppunt onder Load Balancing, de updates voor onderdelen in de volgende volgorde:

    1. Als u de oorspronkelijke zelfondertekende certificaten die zijn geïnstalleerd door de WAP, vervangen de updatebewerking. U moet het nieuwe certificaat exporteren en importeren naar de andere knooppunten onder Load Balancing. Deze certificaten hebben een CN = MgmtSvc-* naampatroon (zelf-ondertekend).

    2. Resource-Provider (RP) services (SQL Server, mijn SQL, SPF/VMM, websites) zo nodig bijwerken. Zorg ervoor dat de RP-sites worden uitgevoerd.

    3. De huurder API site, openbare API van huurder, beheerder API knooppunten en beheerder en huurder verificatie sites bijwerken.

    4. De beheerder en de huurder sites bijwerken.

  7. Scripts voor de databaseversies ophalen en bijwerken van de database is geïnstalleerd door de MgmtSvc-PowerShellAPI.msi worden opgeslagen in de volgende locatie:

    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database

  8. Als alle onderdelen zijn bijgewerkt en naar behoren functioneert, kunt u het verkeer naar uw bijgewerkte knooppunten openen. Anders, Zie de sectie 'instructies voor ongedaan maken'.

Opmerking Als u bijwerkt vanaf een updatepakket dat gelijk is aan of ouder dan Update Rollup 5 voor Windows Azure Pack, volgt u deze instructies voor het bijwerken van de database van de WAP.

Als er een probleem optreedt en u controleren of een rollback nodig, als volgt te werk:

  1. Als de momentopnamen zijn beschikbaar vanaf de tweede opmerking in stap 3 in de sectie 'installatie-instructies', de momentopnamen van toepassing. Als er geen momentopnamen, gaat u naar de volgende stap.

  2. Gebruik de back-up die is genomen in de eerste en de derde opmerking in stap 3 in de sectie 'installatie-instructies' om te herstellen van uw databases en computers.

    Opmerking Laat het systeem niet in een gedeeltelijk bijgewerkte staat. Bewerkingen ongedaan maken op alle computers waarop Windows Azure Pack is geïnstalleerd, zelfs als de update is mislukt op een knooppunt.

    Aanbevolen Windows Azure Pack Best Practices Analyzer uitvoeren op elk knooppunt Windows Azure Pack om ervoor te zorgen dat de configuratie-items correct zijn.

  3. Open het verkeer naar uw teruggezette knooppunten.


Instructies downloadenUpdatepakketten voor Windows Azure Pack zijn beschikbaar via Microsoft Update of door handmatig downloaden.

Microsoft UpdateAls u wilt downloaden en installeren van een pakket van Microsoft Update, volgt op een computer waarop een van toepassing zijnde onderdeel is geïnstalleerd:

  1. Klik op Start en klik vervolgens op Configuratiescherm.

  2. Dubbelklik in het Configuratiescherm op Windows Update.

  3. In het venster van Windows Update, klikt u op Online controleren op updates van Microsoft Update.

  4. Klik op belangrijke updates beschikbaar zijn.

  5. Selecteer de updatepakketten die u wilt installeren en klik vervolgens op OK.

  6. Selecteer de updates installeren om de geselecteerde updatepakketten te installeren.

De updatepakketten handmatig downloadenGa naar de volgende website om de updates handmatig downloaden van de Microsoft Update-catalogus:

Download De update nu downloaden

Bestanden die zijn gewijzigd

Versie

MgmtSvc-SQLServer.msi

3.32.8196.12

MgmtSvc-TenantAPI.msi

3.32.8196.12

MgmtSvc-TenantPublicAPI.msi

3.32.8196.12

MgmtSvc-TenantSite.msi

3.32.8196.12

MgmtSvc-Usage.msi

3.32.8196.12

MgmtSvc-WebAppGallery.msi

3.32.8196.12

MgmtSvc-WindowsAuthSite.msi

3.32.8196.12

MgmtSvc-AdminAPI.msi

3.32.8196.12

MgmtSvc-AdminSite.msi

3.32.8196.12

MgmtSvc-AuthSite.msi

3.32.8196.12

MgmtSvc-Bpa.msi

3.32.8196.12

MgmtSvc-ConfigSite.msi

3.32.8196.12

MgmtSvc-Monitoring.msi

3.32.8196.12

MgmtSvc-MySQL.msi

3.32.8196.12

MgmtSvc-PowerShellAPI.msi

3.32.8196.12


Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×