Pacote Cumulativo de Segurança 9.1 para o Windows Azure Pack

Aviso
A atualização descrita por este artigo foi substituída por um pacote cumulativo de atualização mais novo. Recomendamos que você instale a atualização mais recente. Para obter mais informações, clique no número abaixo para ler o artigo da Base de Dados de Conhecimento Microsoft:
3158609 Pacote Cumulativo de Atualizações 10 para o Windows Azure Pack
Sumário
Este artigo descreve os problemas de segurança que são corrigidos no Pacote Cumulativo de Atualização 9.1 para o Windows Azure Pack (versão do arquivo 3.32.8196.12). Ele também contém as instruções de instalação para o pacote cumulativo.
Problemas que são corrigidos neste pacote cumulativo de atualização

Problema 1 - Vulnerabilidade de scripts intersite do ZeroClipboard

As versões anteriores à 9.1 do WAP incluem uma versão de ZeroClipboard (v 1.1.7) que é vulnerável a script intersite (XSS). O Pacote Cumulativo de Segurança 9.1 para WAP inclui ZeroClipboard versão 1.3.5, que resolve essa vulnerabilidade. Você pode descobrir mais sobre ele aqui.

Impact ZeroClipboard está localizado nos portais do Administrador e do Locatário, e no serviço de Autenticação do Locatário. Essa vulnerabilidade pode ser explorada em todos os serviços. Um provedor de serviço normalmente manterá o portal do Administrador inacessível para locatários, mas o portal do Locatário e o serviço de Autenticação do Locatário normalmente são disponibilizados para locatários. Esteja ciente de que o serviço de Autenticação do Locatário não tem suporte em implantações de produção. Se um ataque for bem-sucedido, o adversário pode executar tudo o que um usuário administrador ou locatário do WAP pode executar no aplicativo. O adversário também poderia construir sobre este bug e atacar o navegador ou estação de trabalho da vítima, ou criar ou acessar recursos do locatário (como máquinas virtuais ou SQL Server). Como o servidor de autenticação federado também está vulnerável, outras opções de ataque também podem estar disponíveis.

Problema 2 - Vulnerabilidade de serviço de API pública

Nas versões anteriores à 9.1 do WAP, um invasor de locatário ativo pode fazer upload de um certificado por meio de um serviço de API de Locatário Público e associá-lo a um ID de assinatura do locatário alvo. Isso permite que o invasor obtenha acesso aos recursos do locatário alvo. O Pacote Cumulativo 9.1 bloqueia esse ataque.

Impact Um adversário pode usar isso para acessar o serviço de API pública do locatário do WAP. No entanto, para fazer isso, o invasor deve saber o ID de assinatura da vítima. Há pelo menos um cenário para um adversário obter acesso ao ID de assinatura. O aplicativo permite que administradores criem co-administradores. Quando alguém entra como co-administrador, ele fica sabendo o ID de assinatura. Se o co-administrador for removido posteriormente, ele pode realizar a invasão.

Instruções de instalação

Estas instruções de instalação são para os componentes a seguir do Windows Azure Pack:
  • Site do locatário
  • API do locatário
  • API Pública do locatário
  • Site de administração
  • API de administração
  • Autenticação
  • Autenticação do Windows
  • Uso
  • Monitoramento
  • Microsoft SQL
  • MySQL
  • Galeria de Aplicativos da Web
  • Site de configuração
  • Analisador de Práticas Recomendadas
  • API do PowerShell
Para instalar os arquivos .msi de atualização para cada componente do Windows Azure Pack (WAP), siga estas etapas:
  1. Se o sistema estiver atualmente operacional (manipulando tráfego de clientes), agende um tempo de indisponibilidade para servidores Azure Pack. O Windows Azure Pack atualmente não tem suporte para upgrades cumulativos.
  2. Pare e redirecione o tráfego de clientes para sites que você considera satisfatórios.
  3. Crie imagens de backup dos servidores da web e dos bancos de dados de SQL Server.

    Observações
    • Se estiver usando máquinas virtuais, tire capturas de tela de seu estado atual.
    • Se não estiver usando VMs, faça um backup de cada pasta MgmtSvc-* no diretório Inetpub em cada computador que tem o componente do WAP instalado.
    • Colete informações e arquivos que estejam relacionados aos seus certificados, cabeçalhos de host e qualquer mudança de porta.
  4. Se estiver usando seu próprio tema para o site do Locatário do Windows Azure Pack, siga estas instruções para preservar suas mudanças de tema antes de executar a atualização.
  5. Execute a atualização executando cada arquivo .msi no computador em que o componente correspondente estiver em execução. Por exemplo, execute o MgmtSvc-AdminAPI.msi no computador que estiver executando o site "MgmtSvc-AdminAPI" nos Serviços de Informações da Internet (IIS).
  6. Para cada nó em Balanceamento de Carga, execute as atualizações para componentes na ordem a seguir:
    1. Se estiver usando certificados autoassinados originais que sejam instalados pelo WAP, a operação de atualização os substitui. Você tem que exportar o novo certificado e importá-lo para os outros nós no Balanceamento de Carga. Esses certificados tem um padrão de nomenclatura CN=MgmtSvc-* (Autoassinado).
    2. Atualize os serviços do Provedor de Recurso (RP) (SQL Server, My SQL, SPF/VMM, websites) conforme necessário. Verificar se todos os sites do RP estão em execução
    3. Atualize o site da API do Locatário, a API do Tenente Pública, nós de API do Administrador e sites de autenticação do Administrador e do Locatário.
    4. Atualize os sites do Administrador e do Locatário.
  7. Scripts para obter versões de banco de dados e atualizar bancos de dados instalados pelo MgmtSvc-PowerShellAPI.msi estão armazenados no local a seguir:
    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
  8. Se todos os componentes estiverem atualizados e funcionando conforme o esperado, você pode abrir o tráfego para seus nós atualizados. Caso contrário, consulte a seção "Instruções de reversão".
Observação Se estiver atualizando a partir de um pacote cumulativo de atualização que é igual ou mais antigo que o Pacote Cumulativo de Atualização 5 para o Windows Azure Pack, siga estas instruções para atualizar o banco de dados do WAP.

Instruções de reversão

Se ocorrer um problema e você verificar que uma reversão é necessária, siga estas etapas:
  1. Se capturas de tela da segunda observação na etapa 3 na seção "Instruções de instalação" estiverem disponíveis, aplique as capturas de tela. Se não houver capturas de tela, vá para a próxima etapa.
  2. Use o backup que foi feito na primeira e terceira observação na etapa 3 na seção "Instruções de instalação" para restaurar seus bancos de dados e computadores.

    Observação Não deixe o sistema em um estado atualizado parcialmente. Realize a reversão de operações em todos os computadores em que o Windows Azure Pack foi instalado, mesmo se a atualização falhou em um nó.

    Recomendado Execute o Analisador de Práticas Recomendadas do Windows Azure Pack em cada nó do Windows Azure Pack para certificar-se de que os itens de configuração estão corretos.
  3. Abra o tráfego para seus nós restaurados.

Instruções de download

Os pacotes de atualização para o Windows Azure Pack estão disponíveis no Microsoft Update, ou através de download manual.

Microsoft Update

Para obter e instalar um pacote de atualização do Microsoft Update, siga estas etapas em um computador que tenha um componente aplicável instalado:
  1. Clique em Iniciar e em Painel de Controle.
  2. No Painel de Controle, clique duas vezes com o mouse em Windows Update.
  3. Na janela do Windows Update, clique em Verificar online atualizações do Microsoft Update.
  4. Clique em Atualizações importantes estão disponíveis.
  5. Marque os pacotes Pacote cumulativo de atualização que você deseja instalar e clique em OK.
  6. Clique em Instalar atualizações para instalar os pacotes de atualizações selecionados.

Download manual dos pacotes de atualização

Vá para os seguintes sites da Web para baixar manualmente os pacotes de atualização do Catálogo do Microsoft Update:

Arquivos atualizados nesse pacote cumulativo de atualização

Arquivos que são alteradosVersão
MgmtSvc-SQLServer.msi3.32.8196.12
MgmtSvc-TenantAPI.msi3.32.8196.12
MgmtSvc-TenantPublicAPI.msi3.32.8196.12
MgmtSvc-TenantSite.msi3.32.8196.12
MgmtSvc-Usage.msi3.32.8196.12
MgmtSvc-WebAppGallery.msi3.32.8196.12
MgmtSvc-WindowsAuthSite.msi3.32.8196.12
MgmtSvc-AdminAPI.msi3.32.8196.12
MgmtSvc-AdminSite.msi3.32.8196.12
MgmtSvc-AuthSite.msi3.32.8196.12
MgmtSvc-Bpa.msi3.32.8196.12
MgmtSvc-ConfigSite.msi3.32.8196.12
MgmtSvc-Monitoring.msi3.32.8196.12
MgmtSvc-MySQL.msi3.32.8196.12
MgmtSvc-PowerShellAPI.msi3.32.8196.12
Propriedades

ID do Artigo: 3146301 - Última Revisão: 06/27/2016 16:14:00 - Revisão: 2.0

Microsoft System Center 2012 R2, Windows Azure Pack

  • kbsurveynew kbfix kbbug kbexpertiseinter kbsecbulletin kbsecvulnerability atdownload kbsecurity KB3146301
Comentários