Pacote Cumulativo de Segurança 9.1 para o Windows Azure Pack


A atualização descrita por este artigo foi substituída por um pacote cumulativo de atualização mais novo. Recomendamos que você instale a atualização mais recente. Para obter mais informações, clique no número abaixo para ler o artigo da Base de Dados de Conhecimento Microsoft:
3158609 Pacote Cumulativo de Atualizações 10 para o Windows Azure Pack

Sumário

Este artigo descreve os problemas de segurança que são corrigidos no Pacote Cumulativo de Atualização 9.1 para o Windows Azure Pack (versão do arquivo 3.32.8196.12). Ele também contém as instruções de instalação para o pacote cumulativo.

Problemas que são corrigidos neste pacote cumulativo de atualização

Problema 1 - Vulnerabilidade de scripts intersite do ZeroClipboard

As versões anteriores à 9.1 do WAP incluem uma versão de ZeroClipboard (v 1.1.7) que é vulnerável a script intersite (XSS). O Pacote Cumulativo de Segurança 9.1 para WAP inclui ZeroClipboard versão 1.3.5, que resolve essa vulnerabilidade. Você pode descobrir mais sobre ele aqui.

Impact ZeroClipboard está localizado nos portais do Administrador e do Locatário, e no serviço de Autenticação do Locatário. Essa vulnerabilidade pode ser explorada em todos os serviços. Um provedor de serviço normalmente manterá o portal do Administrador inacessível para locatários, mas o portal do Locatário e o serviço de Autenticação do Locatário normalmente são disponibilizados para locatários. Esteja ciente de que o serviço de Autenticação do Locatário não tem suporte em implantações de produção. Se um ataque for bem-sucedido, o adversário pode executar tudo o que um usuário administrador ou locatário do WAP pode executar no aplicativo. O adversário também poderia construir sobre este bug e atacar o navegador ou estação de trabalho da vítima, ou criar ou acessar recursos do locatário (como máquinas virtuais ou SQL Server). Como o servidor de autenticação federado também está vulnerável, outras opções de ataque também podem estar disponíveis.

Problema 2 - Vulnerabilidade de serviço de API pública

Nas versões anteriores à 9.1 do WAP, um invasor de locatário ativo pode fazer upload de um certificado por meio de um serviço de API de Locatário Público e associá-lo a um ID de assinatura do locatário alvo. Isso permite que o invasor obtenha acesso aos recursos do locatário alvo. O Pacote Cumulativo 9.1 bloqueia esse ataque.

Impact Um adversário pode usar isso para acessar o serviço de API pública do locatário do WAP. No entanto, para fazer isso, o invasor deve saber o ID de assinatura da vítima. Há pelo menos um cenário para um adversário obter acesso ao ID de assinatura. O aplicativo permite que administradores criem co-administradores. Quando alguém entra como co-administrador, ele fica sabendo o ID de assinatura. Se o co-administrador for removido posteriormente, ele pode realizar a invasão.
Instruções de instalação
Instruções de reversão

Instruções de download

Os pacotes de atualização para o Windows Azure Pack estão disponíveis no Microsoft Update, ou através de download manual.

Microsoft Update

Para obter e instalar um pacote de atualização do Microsoft Update, siga estas etapas em um computador que tenha um componente aplicável instalado:
  1. Clique em Iniciar e em Painel de Controle.
  2. No Painel de Controle, clique duas vezes com o mouse em Windows Update.
  3. Na janela do Windows Update, clique em Verificar online atualizações do Microsoft Update.
  4. Clique em Atualizações importantes estão disponíveis.
  5. Marque os pacotes Pacote cumulativo de atualização que você deseja instalar e clique em OK.
  6. Clique em Instalar atualizações para instalar os pacotes de atualizações selecionados.

Download manual dos pacotes de atualização

Vá para os seguintes sites da Web para baixar manualmente os pacotes de atualização do Catálogo do Microsoft Update:
Arquivos atualizados nesse pacote cumulativo de atualização
Propriedades

ID do Artigo: 3146301 - Última Revisão: 27 de jun de 2016 - Revisão: 1

Comentários