Pakiet zbiorczy aktualizacji zabezpieczeń 9.1 dla platformy Windows Azure


Aktualizacja, którą opisano w tym artykule zastąpiono przez nowsze pakietu zbiorczego aktualizacji. Firma Microsoft zaleca zainstalowanie najnowszych aktualizacji. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

Pakiet zbiorczy aktualizacji 3158609 10 dla systemu Windows Azure

Streszczenie

W tym artykule opisano problemy zabezpieczeń, które zostały rozwiązane w 9.1 pakiet zbiorczy aktualizacji dla systemu Windows Azure Pack (wersja pliku 3.32.8196.12). Zawiera także instrukcje dotyczące pakietu zbiorczego instalacji.

Problemy rozwiązane w tym pakiecie zbiorczym aktualizacji

Numer 1 - ZeroClipboard luka związana ze skryptami krzyżowymi

Wersje wstępne 9.1 WAP zawierają wersji ZeroClipboard (v 1.1.7), która jest podatna na skryptów krzyżowych (XSS). Pakiet aktualizacji zabezpieczeń 9.1 WAP zawiera zaktualizowane ZeroClipboard wersji 1.3.5, która eliminuje tę lukę. Można znaleźć szczegółowe informacje o nim tutaj.

Wpływ ZeroClipboard występuje w portalach Admin i dzierżawy i w usłudze dzierżawczej uwierzytelniania. Tę lukę w zabezpieczeniach można wykorzystać w tych usług. Usługodawca będzie zwykle na bieżąco administracji portalu niedostępne przez najemców, ale portal dzierżawcy i usługi autoryzacji dzierżawy są zazwyczaj udostępniane lokatorów. Należy pamiętać, że usługi autoryzacji dzierżawczej nie jest obsługiwany we wdrożeniach produkcyjnych. Jeśli atak się powiedzie, przeciwnik można uruchomić wszystko, co WAP administrator lub użytkownik dzierżawczej można uruchomić w aplikacji. Przeciwnik może opierać się na ten błąd i ataki przeglądarki lub stacji roboczej poszkodowanego, lub utworzyć i uzyskać dostęp do zasobów dzierżawy (np. maszyny wirtualne lub SQL Server). Ponieważ serwer usługi federacyjnej również jest narażony, inne opcje ataku może również być dostępny.

Problem 2 - luki w zabezpieczeniach usługi dzierżawca publicznego interfejsu API

W wersjach sprzed 9.1 WAP osoba atakująca aktywne dzierżawy można przesłać certyfikat za pośrednictwem usługi publiczne API najemcy i skojarzyć ją z lokatora docelowy identyfikator subskrypcji. Dzięki temu osoba atakująca uzyskać dostęp do zasobów dzierżawcy docelowej. Aktualizuj bloki 9.1 pakiet zbiorczy takiego ataku.

Wpływ Przeciwnik umożliwia dostęp do dzierżawcy WAP publicznego interfejsu API usługi. Jednak aby to zrobić, osoba atakująca musi znać subscriptionId ofiary. Istnieje co najmniej jeden z możliwych scenariuszy przeciwnika uzyskać dostęp do subscriptionId. Aplikacja umożliwia administratorom tworzenie co Administratorzy. Gdy ktoś zaloguje się jako administratora, one poznać subscriptionId. Jeśli administratora ten zostanie później usunięty, mogą wykonywać ataku.

Instrukcje te są dla następujących składników systemu Windows Azure Pack:

  • Witryna dzierżawcza

  • Witryna dzierżawcza

  • Dzierżawca publicznego interfejsu API

  • Witryna administracyjna

  • Administracja API

  • Uwierzytelnianie

  • Uwierzytelnianie systemu Windows

  • Sposób użycia

  • Monitorowanie

  • Microsoft SQL

  • MySQL

  • Galeria aplikacji sieci Web

  • Konfiguracja witryny

  • Analizator najlepszych rozwiązań

  • Interfejs API środowiska PowerShell

Aby zainstalować aktualizację plików .msi dla każdego składnika systemu Windows Azure Pack (WAP), wykonaj następujące kroki:

  1. Jeśli system jest aktualnie działających harmonogram (obsługi ruchu klient), przestoje dla serwerów Azure Pack. Pakiet Windows Azure aktualnie nie obsługują uaktualnień stopniowych.

  2. Zatrzymanie lub przekierować ruch klientów do witryn, które zostały uznane za zadowalające.

  3. Tworzenie kopii zapasowych obrazów na serwerach sieci web i baz danych programu SQL Server.

    Uwagi

    • Jeśli używasz maszyn wirtualnych, robienie zdjęć o ich bieżącym stanie.

    • Jeśli nie używasz VMs, wykonać kopię zapasową każdego MgmtSvc-* folder w katalogu Inetpub na każdym komputerze, który ma zainstalowany składnik WAP.

    • Zbieranie informacji i plików, które są związane z certyfikatami, nagłówków hosta i wszelkie zmiany portu.

  4. Jeśli używasz własnego motywu witryny Windows Azure Pack najemcy, wykonaj poniższe instrukcje, aby zachować zmiany motywu przed uruchomieniem aktualizacji.

  5. Uruchom aktualizację uruchamiając każdy plik msi na komputerze, na którym działa odpowiedni składnik. Na przykład uruchom MgmtSvc AdminAPI.msi na komputerze, na którym jest uruchomiona witryna "MgmtSvc-związany" w programie Internet Information Services (IIS).

  6. Dla każdego węzła w obszarze Równoważenie obciążenia sieciowego uruchomić aktualizacje dla składników w następującej kolejności:

    1. Jeśli używasz oryginalnej certyfikatów z podpisem własnym zainstalowanych przez WAP, operacja aktualizacji zamienia je. Musisz wyeksportować nowy certyfikat i zaimportować do innych węzłów w ramach równoważenia obciążenia. Te certyfikaty mają CN = MgmtSvc-* (podpisem własnym) wzorzec nazewnictwa.

    2. Aktualizacja usługi dostawcy zasobów (RP) (program SQL Server, SQL Moje, SPF/VMM, witryn sieci Web), w razie potrzeby. Upewnij się, że są uruchomione witryny RP.

    3. Aktualizuj Witryna dzierżawcza API, publiczne API najemcy, węzły API i Administrator i dzierżawczej uwierzytelniania witryn.

    4. Aktualizowanie witryn Administrator i lokatora.

  7. Skrypty do uzyskania wersji bazy danych i baz danych zainstalowanych przez MgmtSvc PowerShellAPI.msi aktualizacji są przechowywane w następującej lokalizacji:

    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database

  8. Jeśli wszystkie składniki są aktualizowane i działa zgodnie z oczekiwaniami, można otworzyć ruch do zaktualizowanego węzły. W przeciwnym razie zobacz sekcję "instrukcji Rollback".

Uwaga: Jeśli aktualizujesz z pakietu zbiorczego aktualizacji, która jest mniejsza lub równa starsze niż pakiet zbiorczy aktualizacji 5 dla systemu Windows Azure Pack, wykonaj te instrukcje , aby zaktualizować bazę danych WAP.

Jeśli wystąpi problem i sprawdź, czy konieczne jest wycofywania, wykonaj następujące kroki:

  1. Jeśli migawki są dostępne z drugim notatki w kroku 3 w sekcji "instrukcje instalacji", stosuje się migawki. Jeśli nie istnieją żadne migawki, przejdź do następnego kroku.

  2. Używanie narzędzia Kopia zapasowa, która została podjęta w pierwszym i trzecim notatki w kroku 3 w sekcji "instrukcje instalacji", aby przywrócić baz danych i komputery.

    Uwaga Nie należy zostawiać system w stanie częściowo zaktualizowane. Wykonywanie operacji wycofywania na wszystkich komputerach, na których został zainstalowany pakiet Windows Azure, nawet, jeśli na jednym węźle nie można zaktualizować.

    Zalecane Uruchomić Windows Azure Pack Best Practice Analyzer na każdym węźle pakiet Windows Azure, aby upewnić się, że pozycje konfiguracji są poprawne.

  3. Otwórz ruch do przywróconej węzły.


Instrukcje pobieraniaPakiety aktualizacji dla systemu Windows Azure Pack są dostępne z witryny Microsoft Update lub przez ręczne pobieranie.

Witryna Microsoft UpdateAby uzyskać i zainstalować pakiet aktualizacji z witryny Microsoft Update, wykonaj następujące kroki na komputerze, który ma zastosowanie zainstalowany składnik:

  1. Kliknij przycisk Start, a następnie kliknij polecenie Panel sterowania.

  2. W Panelu sterowania kliknij dwukrotnie ikonę Usługi Windows Update.

  3. W oknie Windows Update kliknij przycisk Sprawdź w trybie Online, aby uzyskać aktualizacje z witryny Microsoft Update.

  4. Kliknij pozycję Ważne aktualizacje są dostępne.

  5. Wybierz pakietów Zbiorczych aktualizacji , które chcesz zainstalować, a następnie kliknij przycisk OK.

  6. Wybierz opcję Zainstaluj aktualizacje do instalowania pakietów aktualizacji wybranych.

Ręczne pobieranie pakietów aktualizacjiPrzejdź do następującej strony, aby ręcznie pobrać pakiety aktualizacji z wykazu usługi Microsoft Update:

Download Pobierz teraz pakiet aktualizacji.

Pliki, które są zmieniane

Wersja

MgmtSvc-SQLServer.msi

3.32.8196.12

MgmtSvc-TenantAPI.msi

3.32.8196.12

MgmtSvc-TenantPublicAPI.msi

3.32.8196.12

MgmtSvc-TenantSite.msi

3.32.8196.12

MgmtSvc-Usage.msi

3.32.8196.12

MgmtSvc-WebAppGallery.msi

3.32.8196.12

MgmtSvc-WindowsAuthSite.msi

3.32.8196.12

MgmtSvc-AdminAPI.msi

3.32.8196.12

MgmtSvc-AdminSite.msi

3.32.8196.12

MgmtSvc-AuthSite.msi

3.32.8196.12

MgmtSvc-Bpa.msi

3.32.8196.12

MgmtSvc-ConfigSite.msi

3.32.8196.12

MgmtSvc-Monitoring.msi

3.32.8196.12

MgmtSvc-MySQL.msi

3.32.8196.12

MgmtSvc-PowerShellAPI.msi

3.32.8196.12


Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×