Symptomy
Luka w zabezpieczeniach istnieje w 13 pakiet zbiorczy aktualizacji dla systemu Windows Azure Pack (WAP) powodujący uruchomienie skryptu niektórych symboli ominięcie ograniczeń interfejsu użytkownika portalu. Interfejs użytkownika portalu ogranicza niektórych symboli, takich jak większe niż (<) i mniej niż symbole (>), które są potrzebne do iniekcji "< script >".
Odtwarzanie żądania w Skrzypek, ciągi znaków, które zawierają znaki, takie jak < i > mogą być wysyłane jako Nazwa subskrypcji. Pole limity można ustawić dowolny ciąg maksymalnie 128 znaków. W tym scenariuszu można ładowania i uruchamiania różnych skryptów, takich jak < script src = "https://code.jquery.com/jquery-1.10.2.min.js" > lub alert(document.cookie) < script > < / script >.
Aby dowiedzieć się więcej na temat tej luki, zobacz Microsoft znanych luk i zagrożeń CVE-2018-8652.
Rozwiązanie
Informacje dotyczące pobierania
Pakiety aktualizacji dla systemu Windows Azure Pack są dostępne z witryny Microsoft Update lub przez ręczne pobieranie.
Witryna Microsoft Update
Ta aktualizacja zabezpieczeń jest dostępna za pośrednictwem witryny Windows Update. Po włączeniu funkcji automatycznego aktualizowania, ta aktualizacja zabezpieczeń zostanie pobrana i zainstalowana automatycznie. Aby uzyskać więcej informacji dotyczących sposobu automatyczne pobieranie aktualizacji zabezpieczeń, zobacz temat aktualizacji systemu Windows: często zadawane pytania dotyczące.
Ręczne pobieranie pakietu aktualizacji
Przejdź do następującej strony, aby ręcznie pobrać pakiet aktualizacji zabezpieczeń z wykazu usługi Microsoft Update:
Pobierz teraz pakiet aktualizacji zabezpieczeń systemu Windows Azure Pack.
Informacje dotyczące instalacji
Instrukcje te są dla następujących składników systemu Windows Azure Pack:
-
Witryna dzierżawcza
-
Witryna dzierżawcza
-
Dzierżawca publicznego interfejsu API
-
Witryna administracyjna
-
Administracja API
-
Uwierzytelnianie
-
Uwierzytelnianie systemu Windows
-
Sposób użycia
-
Monitorowanie
-
Microsoft SQL
-
MySQL
-
Galeria aplikacji sieci Web
-
Konfiguracja witryny
-
Analizator najlepszych rozwiązań
-
Interfejs API środowiska PowerShell
Aby zainstalować aktualizację plików .msi dla każdego składnika systemu Windows Azure Pack, wykonaj następujące kroki:
-
Jeśli system jest aktualnie działających harmonogram (obsługi ruchu klient), przestoje dla serwerów Azure. Pakiet Windows Azure aktualnie nie obsługują uaktualnień stopniowych.
-
Zatrzymanie lub przekierować ruch klientów do lokacji alternatywnych, które zostały uznane za zadowalające.
-
Tworzenie kopii zapasowych komputerów. Notatek
-
Jeśli używasz maszyn wirtualnych, robienie zdjęć o ich bieżącym stanie.
-
Jeśli nie używasz maszyn wirtualnych, Utwórz kopię zapasową każdego MgmtSvc-* folder w katalogu Inetpub na każdym komputerze, który ma zainstalowany składnik WAP.
-
Zbieranie informacji i plików, które są związane z certyfikatami, nagłówków hosta i wszelkie zmiany portu.
-
-
Jeśli używasz własnego motywu witryny Windows Azure Pack najemcy, zobacz jak utrzymują się kompozycji systemu Windows Azure Pack po uaktualnieniu programu Microsoft przed uruchomieniem aktualizacji.
-
Zainstaluj aktualizację uruchamiając każdy plik msi na komputerze, na którym działa odpowiedni składnik. Na przykład uruchom MgmtSvc AdminAPI.msi na komputerze, na którym jest uruchomiona witryna "MgmtSvc-związany" w usługach IIS.
-
Dla każdego węzła, który znajduje się pod Równoważenie obciążenia sieciowego należy uruchomić aktualizacje dla składników w następującej kolejności:
-
Jeśli używasz oryginalnej certyfikatów z podpisem własnym zainstalowanych przez WAP operacji aktualizacji zastąpi je. Musisz wyeksportować nowy certyfikat i zaimportować do innych węzłów, które są w ramach równoważenia obciążenia. Te certyfikaty mają CN = MgmtSvc-* (podpisem własnym) wzorzec nazewnictwa.
-
Aktualizacja usługi dostawcy zasobów (RP) (program SQL Server, SQL Moje, SPF/VMM, witryn sieci Web), w razie potrzeby. I upewnij się, że są uruchomione witryny RP.
-
Aktualizuj Witryna dzierżawcza API, publiczne API najemcy, węzły API administratora i dzierżawczej uwierzytelniania i administratora witryny.
-
Aktualizowanie witryn Administrator i lokatora.
Skrypty w celu uzyskania wersji bazy danych i aktualizacji baz danych, które są instalowane przez MgmtSvc PowerShellAPI.msi są przechowywane w następującej lokalizacji:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database Jeśli wszystkie składniki są aktualizowane i działa zgodnie z oczekiwaniami, można otworzyć ruch do zaktualizowanego węzły. W przeciwnym razie zobacz sekcję "Instrukcji Rollback". Uwaga W przypadku aktualizacji z pakietu zbiorczego aktualizacji, która jest taka sama jak lub starszym niż pakiet zbiorczy aktualizacji 5 dla systemu Windows Azure Pack, Wykonaj poniższe instrukcje, Aby zaktualizować bazę danych WAP.
-
Jeśli wystąpi problem i okaże się, że konieczne jest wycofywania, wykonaj następujące kroki:
-
Jeśli migawki są dostępne, zgodnie z opisem w drugim notatki w kroku 3 w sekcji "Instrukcje instalacji", stosuje się migawki. Jeśli nie istnieją żadne migawki, przejdź do następnego kroku.
-
Używanie narzędzia Kopia zapasowa, która została podjęta zgodnie z opisem w pierwszym i trzecim notatki w kroku 3 w sekcji "Instrukcje instalacji", aby przywrócić baz danych i komputery. Uwaga Nie zostawiaj system w stanie częściowo zaktualizowane. Wykonywanie operacji wycofywania na wszystkich komputerach, na których został zainstalowany pakiet Windows Azure, nawet, jeśli nie można zaktualizować tylko jeden węzeł. Firma Microsoft zaleca uruchamianie systemu Windows Azure Pack Best Practice Analyzer na każdym węźle pakiet Windows Azure, aby upewnić się, że pozycje konfiguracji są poprawne.
-
Otwórz ruch do przywróconej węzły.