Sintomas
Existe uma vulnerabilidade de segurança no Pacote Cumulativo de Atualizações 13 para o Pacote do Microsoft Azure (WAP) que faz com que a injeção de script de determinados símbolos ignore as restrições da interface do usuário do portal. A interface do usuário do portal restringe determinados símbolos, como maior que (<) e menos de (>) símbolos que são necessários para a injeção de “<script>”.
Ao reproduzir uma solicitação no Fiddler, as cadeias de caracteres que contêm caracteres como < e > podem ser enviadas como o nome da assinatura. O campo SubscriptionName pode ser definido para qualquer cadeia até 128 caracteres. Nesse cenário, você pode carregar e executar vários scripts, como <script src="https://code.jquery.com/jquery-1.10.2.min.js"> ou <script>alert(document.cookie)</script>.
Para saber mais sobre essa vulnerabilidade, consulte Vulnerabilidades e exposições comuns da Microsoft - CVE-2018-8652.
Resolução
Informações sobre o download
Os pacotes de atualização para o Pacote do Microsoft Azure estão disponíveis no Microsoft Update, ou através de download manual.
Microsoft Update
Essa atualização está disponível no Windows Update. Quando você ativar as atualizações automáticas, esta atualização de segurança será baixada e instalada automaticamente. Para obter mais informações sobre como obter atualizações de segurança automáticas, consulte Windows Update: Perguntas frequentes.
Download manual do pacote de atualização
Acesse o seguinte site para baixar manualmente o pacote de atualização de segurança do catálogo do Microsoft Update:
Baixe o pacote de atualização de segurança do Pacote do Microsoft Azure agora.
Informações de instalação
Estas instruções de instalação são para os componentes a seguir do Windows Azure Pack:
-
Site do locatário
-
API do locatário
-
API Pública do locatário
-
Site de administração
-
API de administração
-
Autenticação
-
Autenticação do Windows
-
Uso
-
Monitoramento
-
Microsoft SQL
-
MySQL
-
Galeria de Aplicativos da Web
-
Site de configuração
-
Analisador de Práticas Recomendadas
-
API do PowerShell
Para instalar os arquivos .msi de atualização para cada componente do Pacote do Microsoft Azure, siga estas etapas:
-
Se o sistema estiver atualmente operacional (manipulando tráfego de clientes), agende um tempo de indisponibilidade para servidores Azure. O Pacote do Microsoft Azure atualmente não tem suporte para upgrades cumulativos.
-
Pare e redirecione o tráfego de clientes para sites alternativos que você considera satisfatórios.
-
Crie backups dos computadores.
Observações-
Se estiver usando máquinas virtuais, tire capturas de tela de seu estado atual.
-
Se não estiver usando máquinas virtuais, faça backup de cada pasta MgmtSvc-* no diretório Inetpub em cada computador que tenha o componente WAP instalado.
-
Colete informações e arquivos que estejam relacionados aos seus certificados, cabeçalhos de host e qualquer mudança de porta.
-
-
Se estiver usando seu próprio tema para o site do Locatário do Pacote do Microsoft Azure, consulte Como persistir um tema do Pacote do Microsoft Azure após a atualização da Microsoft antes de executar a atualização.
-
Instale a atualização executando cada arquivo .msi no computador em que o componente correspondente estiver em execução. Por exemplo, execute MgmtSvc-AdminAPI.msi no computador que está executando o site "MgmtSvc-AdminAPI" no IIS.
-
Para cada nó em balanceamento de carga, execute as atualizações para componentes na ordem a seguir:
-
Se estiver usando certificados autoassinados originais que sejam instalados pelo WAP, a operação de atualização os substituirá. Você precisa exportar o novo certificado e importá-lo para os outros nós em balanceamento de carga. Esses certificados tem um padrão de nomenclatura CN=MgmtSvc-* (autoassinado).
-
Atualize os serviços do Provedor de Recurso (RP) (SQL Server, My SQL, SPF/VMM, websites) conforme necessário. E certifique-se de que os sites do RP estejam sendo executados.
-
Atualize o site da API do Locatário, a API do Tenente Pública, nós de API do Administrador e sites de autenticação do Administrador e do Locatário.
-
Atualize os sites do Administrador e do Locatário.
Os scripts para obter versões de banco de dados e atualizar bancos de dados que são instalados pelo MgmtSvc-PowerShellAPI.msi estão armazenados no local a seguir:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
Se todos os componentes estiverem atualizados e funcionando conforme o esperado, você pode abrir o tráfego para seus nós atualizados. Caso contrário, consulte a seção "Instruções de reversão".
Observação Se estiver atualizando a partir de um pacote cumulativo de atualização igual ao ou mais antigo que o Pacote Cumulativo de Atualização 5 para o Pacote do Microsoft Azure, siga estas instruções para atualizar o banco de dados do WAP. -
Se ocorrer um problema e você determinar que uma reversão é necessária, siga estas etapas:
-
Se capturas de tela estiverem disponíveis, conforme descrito da segunda observação da etapa 3 na seção "Instruções de instalação", aplique-as. Se não houver capturas de tela, vá para a próxima etapa.
-
Use o backup criado, conforme descrito na primeira e na terceira observações da etapa 3 na seção "Instruções de instalação" para restaurar seus bancos de dados e computadores.
Observação Não deixe o sistema em um estado atualizado parcialmente. Realize a reversão de operações em todos os computadores em que o Windows Azure Pack foi instalado, mesmo se a atualização falhou em um nó.
Recomendamos que você execute o Analisador de Práticas Recomendadas do Pacote do Microsoft Azure em cada nó do Windows Azure Pack para certificar-se de que os itens de configuração estão corretos. -
Abra o tráfego para seus nós restaurados.