Pakiet zabezpieczeń pakietu zbiorczego aktualizacji 9.1 dla platformy Windows Azure

WAŻNE: Ten artykuł został przetłumaczony przy użyciu oprogramowania firmy Microsoft do tłumaczenia maszynowego i może być poprawiony przy użyciu technologii Community Translation Framework (CTF). Firma Microsoft udostępnia artykuły tłumaczone maszynowo, poprawione przez społeczność, a także tłumaczone przez tłumaczy profesjonalnych, aby zapewnić dostęp do wszystkich artykułów w bazie wiedzy w wielu językach. Artykuły tłumaczone maszynowo i poprawione mogą zawierać błędy pisowni, składniowe i gramatyczne. Firma Microsoft nie ponosi odpowiedzialności za żadne nieścisłości, błędy ani szkody spowodowane przez niepoprawne tłumaczenia zawartości ani przez korzystanie z niej przez klientów. Więcej o strukturze CTF: http://support.microsoft.com/gp/machine-translation-corrections/pl.

Anglojęzyczna wersja tego artykułu to: 3146301
Streszczenie
W tym artykule opisano problemy dotyczące zabezpieczeń, które zostały naprawione w 9.1 pakiet zbiorczy aktualizacji dla systemu Windows Azure Pack (wersja pliku 3.32.8196.12). Zawiera także instrukcje dotyczące tego pakietu zbiorczego instalacji.
Problemy rozwiązane w tym pakiecie zbiorczym aktualizacji

Numer 1 - ZeroClipboard luka związana ze skryptami krzyżowymi

Wersje pre-9.1 WAP zawierają wersji ZeroClipboard (v 1.1.7), która jest podatna na skryptów krzyżowych (XSS). Zabezpieczenia pakiet zbiorczy aktualizacji 9.1 WAP zawiera ZeroClipboard zaktualizowanej wersji 1.3.5, która rozwiązuje ten problem. Można znaleźć szczegółowe informacje o nim w tym miejscu.

Wpływ ZeroClipboard znajduje się w Admin i dzierżawczej portali, a w usługę uwierzytelniania dzierżawczej. Omawianą lukę można wykorzystać na wszystkich tych usług. Usługodawca będzie zazwyczaj na bieżąco administracji portalu niedostępne przez najemców, ale portal dzierżawczej i usługi autoryzacji dzierżawczej zazwyczaj udostępniane są na rzecz wynajmujących mieszkanie. Należy pamiętać, że usługi autoryzacji dzierżawczej nie jest obsługiwany we wdrożeniach produkcji. Jeśli atak się powiedzie, przeciwnik można uruchomić niczego, co WAP administratora lub użytkownika dzierżawczej można uruchomić w aplikacji. Przeciwnik można również opierać się na ten błąd i ataki przeglądarki lub stacja robocza poszkodowanego, lub utworzyć lub uzyskać dostęp do zasobów dzierżawczej (np. maszyny wirtualne lub SQL Server). Ponieważ serwer uwierzytelniania federacyjnej również jest narażony, inne opcje atak może również być dostępny.

Wydanie 2 - luki w zabezpieczeniach usługi dzierżawczej publicznego interfejsu API

W wersjach sprzed 9.1 WAP osoba atakująca dzierżawczej aktywne można przesyłać certyfikatów za pośrednictwem usługi publiczne API dzierżawczej i skojarzyć ją z identyfikatorem najemcy docelowej subskrypcji. Dzięki temu osoba atakująca uzyskać dostęp do zasobów dzierżawczej miejsce docelowe. Aktualizuj bloki 9.1 pakiet zbiorczy takiego ataku.

Wpływ Ktoś, kto służy to WAP dzierżawczej usługi publiczne API dostępu do. Jednak aby to zrobić, osoba atakująca musi znać subscriptionId ofiary. Istnieje co najmniej jeden z możliwych scenariuszy przeciwnika uzyskać dostęp do subscriptionId. Aplikacja umożliwia administratorom tworzenie co Administratorzy. Gdy ktoś zaloguje się jako co admin one lepiej poznać subscriptionId. Jeśli to co admin zostanie później usunięty, mogą wykonywać ataku.

Instrukcje dotyczące instalacji

Instrukcje instalacji dotyczą następujących składników systemu Windows Azure Pack:
  • Witryna dzierżawcza
  • Dzierżawca API
  • Dzierżawca publicznego interfejsu API
  • Witryna administracyjna
  • Administracja API
  • Uwierzytelnianie
  • Uwierzytelnianie systemu Windows
  • Sposób użycia
  • Monitorowanie
  • Microsoft SQL
  • MySQL
  • Galeria aplikacji sieci Web
  • Konfiguracja witryny
  • Analizator najlepszych rozwiązań
  • Interfejs API środowiska PowerShell
Aby zainstalować aktualizację plików .msi dla każdego składnika systemu Windows Azure Pack (WAP), wykonaj następujące kroki:
  1. Jeśli system jest aktualnie działających harmonogram (obsługi ruchu klient), przestoje dla serwerów Azure Pack. Pakiet Windows Azure aktualnie nie obsługują uaktualnień stopniowych.
  2. Zatrzymanie lub przekierować ruch klientów do witryn, które zostały uznane za zadowalające.
  3. Tworzenie kopii zapasowych obrazów na serwerach sieci web i baz danych programu SQL Server.

    Uwagi
    • Jeśli używasz maszyn wirtualnych, robienie zdjęć o ich bieżącym stanie.
    • Jeśli nie używasz VMs, wykonać kopię zapasową każdego MgmtSvc-* folder w katalogu Inetpub na każdym komputerze, który ma zainstalowany składnik WAP.
    • Zbieranie informacji i plików, które są związane z certyfikatami, nagłówków hosta i wszelkie zmiany portu.
  4. Korzystając z motywów dla witryny Windows Azure Pack najemcy, wykonaj następujące czynności, aby zachować zmiany motywu przed uruchomieniem tej aktualizacji.
  5. Uruchom aktualizację uruchamiając każdy plik msi na komputerze, na którym działa odpowiedni składnik. Na przykład uruchom MgmtSvc AdminAPI.msi na komputerze, na którym jest uruchomiona witryna "MgmtSvc-związany" w programie Internet Information Services (IIS).
  6. Dla każdego węzła w obszarze Równoważenie obciążenia sieciowego uruchomić aktualizacje dla składników w następującej kolejności:
    1. Jeśli używasz oryginalnej certyfikatów z podpisem własnym zainstalowanych przez WAP operacji aktualizacji zamienia je. Musisz wyeksportować nowy certyfikat i zaimportować do innych węzłów w ramach równoważenia obciążenia. Te certyfikaty mają kodem CN = MgmtSvc-* (podpisem własnym) wzorzec nazewnictwa.
    2. Aktualizowanie usług dostawcy zasobów (RP) (program SQL Server, SQL Moje, SPF/VMM, witryn sieci Web), w razie potrzeby. Upewnij się, że są uruchomione witryny RP.
    3. Aktualizuj Witryna dzierżawcza API, publiczne API najemcy, węzły API administratora i Administrator i dzierżawczej uwierzytelniania witryn.
    4. Aktualizowanie witryn Administrator i lokatora.
  7. Skrypty, aby uzyskać wersji bazy danych i aktualizacji baz danych zainstalowane przez MgmtSvc PowerShellAPI.msi są przechowywane w następującej lokalizacji:
    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
  8. Jeśli wszystkie składniki są aktualizowane i działa zgodnie z oczekiwaniami, można otworzyć ruch węzłom zaktualizowane. W przeciwnym wypadku zobacz "Instrukcjami wycofywania".
Uwaga: Jeśli jesteś aktualizacji z pakietu zbiorczego aktualizacji, która jest równa lub starsze niż Pakiet zbiorczy aktualizacji 5 dla systemu Windows Azure Pack, wykonaj te instrukcje Aby zaktualizować bazę danych WAP.

Instrukcjami wycofywania

Jeśli wystąpi problem i sprawdź, czy konieczne jest wycofywania, wykonaj następujące kroki:
  1. Jeśli migawki są dostępne z drugim notatki w kroku 3 "Instrukcje dotyczące instalacji"sekcja, zastosuj migawki. Jeśli nie istnieją żadne migawki, przejdź do następnego kroku.
  2. Używanie narzędzia Kopia zapasowa, że została podjęta w pierwszym i trzecim notatki w kroku 3, "Instrukcje dotyczące instalacji"sekcja przywrócić swojej bazy danych i komputery.

    Uwaga: Nie zostawiaj system w stanie częściowo zaktualizowane. Wykonywanie operacji wycofywania na wszystkich komputerach, na których został zainstalowany pakiet systemu Windows Azure, nawet, jeśli nie można zaktualizować w jednym z węzłów.

    Zalecane Uruchomić Windows Azure Pack Best Practice Analyzer na każdym węźle dodatkiem Service Pack systemu Windows Azure, aby upewnić się, że pozycje konfiguracji są poprawne.
  3. Otwórz ruch do przywróconej węzły.

Instrukcje pobierania

Pakiety aktualizacji dla systemu Windows Azure Pack dostępnych z witryny Microsoft Update lub przez ręczne pobieranie.

Witryna Microsoft Update

Aby uzyskać i zainstalować pakiet aktualizacji z witryny Microsoft Update, wykonaj następujące kroki na komputerze, na którym został zainstalowany składnik mających zastosowanie:
  1. Kliknij przycisk Start, a następnie kliknij polecenie Panel sterowania.
  2. W Panelu sterowania kliknij dwukrotnie ikonę Usługi Windows Update.
  3. W oknie Windows Update kliknij przycisk Sprawdź w trybie Online, aby uzyskać aktualizacje z witryny Microsoft Update.
  4. Kliknij przycisk są dostępne ważne aktualizacje.
  5. Wybierz pakietów Zbiorczych aktualizacji, które chcesz zainstalować, a następnie kliknij przycisk OK.
  6. Wybierz opcję Zainstaluj aktualizacjedo zainstalowania pakietów wybranej aktualizacji.

Ręczne pobieranie pakietów aktualizacji

Przejdź do następującej strony, aby ręcznie pobrać pakiety aktualizacji z wykazu usługi Microsoft Update:

Pliki aktualizacji w tym pakiecie zbiorczym aktualizacji

Pliki, które są zmienianeWersja
MgmtSvc-SQLServer.msi3.32.8196.12
MgmtSvc-TenantAPI.msi3.32.8196.12
MgmtSvc-TenantPublicAPI.msi3.32.8196.12
MgmtSvc-TenantSite.msi3.32.8196.12
MgmtSvc-Usage.msi3.32.8196.12
MgmtSvc-WebAppGallery.msi3.32.8196.12
MgmtSvc-WindowsAuthSite.msi3.32.8196.12
MgmtSvc-AdminAPI.msi3.32.8196.12
MgmtSvc-AdminSite.msi3.32.8196.12
MgmtSvc-AuthSite.msi3.32.8196.12
MgmtSvc-Bpa.msi3.32.8196.12
MgmtSvc-ConfigSite.msi3.32.8196.12
MgmtSvc-Monitoring.msi3.32.8196.12
MgmtSvc-MySQL.msi3.32.8196.12
MgmtSvc-PowerShellAPI.msi3.32.8196.12

Ostrzeżenie: ten artykuł przetłumaczono automatycznie

Właściwości

Identyfikator artykułu: 3146301 — ostatni przegląd: 03/03/2016 20:08:00 — zmiana: 1.0

Microsoft System Center 2012 R2, Windows Azure Pack

  • kbsurveynew kbfix kbbug kbexpertiseinter kbsecbulletin kbsecvulnerability atdownload kbsecurity kbmt KB3146301 KbMtpl
Opinia