Symptomen
Er bestaat een beveiligingsprobleem in Update Rollup 13 voor Windows Azure Pack (WAP) die ervoor zorgt dat de uitvoering van het script van bepaalde symbolen portal UI beperkingen worden omzeild. De portal UI beperkt bepaalde symbolen zoals groter dan (<) en kleiner dan (>)-symbolen die nodig zijn voor uitvoering "< script >".
Door een aanvraag in de Fiddler, kunnen reeksen met tekens zoals < en > worden verzonden als de naam van het abonnement. Het veld SubscriptionName kan worden ingesteld op een willekeurige tekenreeks van 128 tekens. In dit scenario kunt u de laden en uitvoeren van diverse scripts, zoals < script src = "https://code.jquery.com/jquery-1.10.2.min.js" > of alert(document.cookie) < script > < / script >.
Zie voor meer informatie over dit beveiligingslek, Microsoft veelvoorkomende beveiligingslekken en blootstellingen CVE-2018-8652.
Oplossing
Informatie over downloaden
Updatepakketten voor Windows Azure Pack zijn beschikbaar via Microsoft Update of door handmatig downloaden.
Microsoft Update
Deze update is beschikbaar via Windows Update. Als u automatische updates inschakelt, wordt deze update gedownload en automatisch geïnstalleerd. Zie voor meer informatie over het installeren van beveiligingsupdates automatisch Windows Update: veelgestelde vragen over het.
Handmatig downloaden van het updatepakket
Ga naar de volgende website om de beveiligingsupdate handmatig te downloaden vanaf de Microsoft Update-catalogus:
Het beveiligingsupdatepakket voor Windows Azure Pack nu downloaden.
Informatie over de installatie
Deze installatie-instructies zijn bedoeld voor de volgende onderdelen van Windows Azure Pack:
-
Site van de huurder
-
Huurder API
-
Openbare API van huurder
-
Beheersite
-
API voor beheer
-
Verificatie
-
Windows-verificatie
-
Gebruik
-
Monitoring
-
Microsoft SQL
-
MySQL
-
Galerie met webonderdelen
-
Configuratie van site
-
Best Practices Analyzer
-
PowerShell API
De update-MSI-bestanden voor elk onderdeel Windows Azure Pack installeren, volg deze stappen:
-
Als het systeem momenteel operationele planning (verwerken van klantverkeer op), is de uitvaltijd voor de Azure-servers. Windows Azure Pack ondersteunt momenteel geen rolling upgrades.
-
Stop of klantverkeer omleiden naar andere sites die u rekening houden met voldoende.
-
Maak back-ups van de computers. Opmerkingen
-
Als u virtuele machines, momentopnamen van de huidige toestand.
-
Als u geen virtuele machines, back-up van elke MgmtSvc-* map in de map Inetpub op elke computer die een WAP onderdeel is geïnstalleerd.
-
Verzamelen van gegevens en bestanden die gerelateerd zijn aan de certificaten, host-headers en wijzigingen van de poort.
-
-
Als u uw eigen thema voor de site Windows Azure Pack huurder gebruikt, ziet u hoe u een Windows Azure Pack thema na de Upgrade van Microsoft voordat u de update uitvoert.
-
De update installeren door het uitvoeren van elk MSI-bestand op de computer waarop u het bijbehorende onderdeel wordt uitgevoerd. Bijvoorbeeld MgmtSvc AdminAPI.msi uitvoeren op de computer waarop de site "MgmtSvc-AdminAPI" in IIS.
-
Uitvoeren voor elk knooppunt dat zich onder de taakverdeling, de updates voor onderdelen in de volgende volgorde:
-
Als u de oorspronkelijke zelfondertekende certificaten die door de WAP zijn geïnstalleerd, wordt de updatebewerking ze vervangen. U moet het nieuwe certificaat exporteren en importeren in de knooppunten onder de taakverdeling. Deze certificaten hebben een CN = MgmtSvc-* naampatroon (zelf-ondertekend).
-
Resource-Provider (RP) services (SQL Server, mijn SQL, SPF/VMM, websites) zo nodig bijwerken. En zorg ervoor dat de RP-sites worden uitgevoerd.
-
De huurder API site, openbare API van huurder, beheerder API knooppunten en huurder verificatie en beheerder sites bijwerken.
-
De beheerder en de huurder sites bijwerken.
De databaseversies ophalen en bijwerken van databases die zijn geïnstalleerd door de MgmtSvc-PowerShellAPI.msi-scripts worden opgeslagen op de volgende locatie:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database Als alle onderdelen zijn bijgewerkt en naar behoren functioneert, kunt u het verkeer naar uw bijgewerkte knooppunten openen. Anders, Zie de sectie 'Instructies voor ongedaan maken'. Opmerking Als u bijwerken van een updatepakket dat gelijk is aan of lager dan Update Rollup 5 voor Windows Azure Pack, Volg deze instructies voor het bijwerken van de database van de WAP.
-
Als er een probleem optreedt en u hebt vastgesteld dat een rollback nodig, als volgt te werk:
-
Als de momentopnamen zijn beschikbaar zoals beschreven in de tweede opmerking in stap 3 van de sectie 'installatie-instructies, gelden de momentopnamen. Als er geen momentopnamen, gaat u naar de volgende stap.
-
Gebruik de back-up die is genomen zoals beschreven in de eerste en derde notities in stap 3 van de sectie 'installatie-instructies om te herstellen van uw databases en computers. Opmerking Laat het systeem niet in een gedeeltelijk bijgewerkte staat. Bewerkingen ongedaan maken op alle computers waarop Windows Azure Pack is geïnstalleerd, zelfs als de update is mislukt op slechts één knooppunt. Wij raden aan dat u Windows Azure Pack Best Practices Analyzer op elk knooppunt Windows Azure Pack uitvoeren om ervoor te zorgen dat de configuratie-items correct zijn.
-
Open het verkeer naar uw teruggezette knooppunten.