Hotfix do hub de pilha 1.2002.65.171

Resumo

Como parte de uma revisão de segurança, determinamos que uma chave privada da Microsoft, usada em suporte para desbloquear o ponto de extremidade privilegiado do Azure Stack Hub para a compilação do Azure Stack Hub 2002, não foi devidamente protegida. Uma investigação adicional não encontrou evidências de uso indevido da chave privada. De uma abundância de cuidado, a Microsoft está fornecendo esse hotfix para girar a chave pública usada para esta sequência de desbloqueio de suporte de ponto de extremidade privilegiado.  

Para usar essa chave privada, as seguintes condições devem ser atendidas:

  1. Você deve ter credenciais de administrador de nuvem para o dispositivo de Hub de pilha do Azure.

  2. Você deve ter conectividade de rede para os endereços IP do ponto de extremidade privilegiado do Azure Stack Hub. Observe que esses endereços IP estão na rede de infraestrutura isolada. Em uma implantação padrão, esses endereços não aproveitam os endereços IP roteáveis pela Internet, o que torna os pontos de extremidade acessíveis apenas a partir da sua rede interna/de gerenciamento.

  3. Você deve usar a chave particular para processar o token de suporte à resposta de desafio e usá-lo para desbloquear o ponto de extremidade privilegiado. Isso é semelhante a um cenário de suporte envolvido diretamente com a Microsoft, conforme descrito no artigo do hub de pilha do Azure usando o ponto de extremidade privilegiado no Azure Stack Hub.

Esse hotfix gira a chave pública usada para desbloquear o ponto de extremidade privilegiado do Azure Stack Hub para o Azure Stack Hub 2002 e inclui todos os hotfixes anteriores do 2002. É altamente recomendável instalar esse hotfix o mais rápido possível. 

Correções acumuladas de versões anteriores de hotfix

  • Maior confiabilidade de rede do SDN em nós físicos.

  • Correção de um problema em que uma sub-rede virtual não estava sendo eliminada se o encapsulamento foi movido para uma VM GW diferente e, em seguida, o VGW foi excluído.

  • Correção de um problema que pode causar falha no registro e na rotação de segredo interno.

  • Adicionadas configurações específicas de memória às configurações de despejo de memória.

  • Problema de invalidação do identificador SMB corrigido pelo evento de erro 59 do ESENT em TableServer.

  • Correção de um problema que afetou a confiabilidade do download de atualizações subsequentes.

  • Melhor confiabilidade da instalação do pacote NuGet após uma falha inesperada.

  • Correção de um problema em que a validação de assinatura suspensa falha quando o usuário tem apenas a permissão de gravação de RG.

  • Correção de um problema em que a página de download de blob tem um problema ao baixar itens grandes.

  • Corrigido um problema em que a configuração do período de retenção para contas de armazenamento excluídas é revertida.

  • Estabilidade aprimorada do controlador de rede.

  • Maior retenção de log de controlador de rede para auxiliar no diagnóstico.

  • Correção de um problema em que os downloads do Marketplace podem falhar devido a um erro de validação de certificado.

  • Inclua o certificado de identidade do provedor de implantação na rotação secreta interna.

  • Windows Storage WMI corrigido para manter a chamada responsiva, para melhorar a confiabilidade das operações de gerenciamento de armazenamento.

  • Monitor de status do TPM adicionado para hosts físicos.

  • As VMs do SQL reiniciadas para atenuar um possível problema com acesso ao banco de dados que afeta o acesso ao Portal.

  • Maior confiabilidade do serviço de BLOB e tabela de armazenamento.

  • Correção de um problema em que a criação do VMSS com o Standard_DS2_v2 SKU por meio da interface do usuário sempre falhou.

  • Melhorias na atualização de configuração.

  • Perda de enumerador de KVS corrigido no DiskRP para melhorar a confiabilidade de operações de disco.

  • Habilitou novamente a capacidade de gerar despejos de falha de host e disparar falhas de NMI para travamentos.

  • Vulnerabilidade de servidor DNS endereçado descrito no CVE-2020-1350.

  • Alterações que solucionaram a instabilidade do cluster.

  • Confiabilidade aprimorada da criação de ponto de extremidade JEA.

  • Bug corrigido para desbloquear a criação simultânea da VM em lotes de 20 ou mais.

  • Melhoria na confiabilidade e na estabilidade do portal, adicionando uma funcionalidade de monitoramento para reiniciar o serviço de hospedagem se ele apresentar algum tempo de inatividade.

  • Corrigido um problema em que alguns alertas não foram pausados durante a atualização.

  • Diagnóstico aprimorado em relação a falhas em recursos DSC.

  • Mensagem de erro aprimorada gerada por uma falha inesperada no script de implantação bare metal.

  • Maior resiliência durante operações de reparo do nó físico.

  • Corrigido um defeito de código que às vezes fez com que o aplicativo do HRPm se tornasse iníntegro. Também corrigido um defeito de código que impedia alertas de ser suspenso durante a atualização.

  • Foi adicionada uma resiliência ao código de criação de imagens quando o caminho de destino não está presente inesperadamente.

  • Adicionada a interface de limpeza de disco para VMs ERCS e garantiu que ele seja executado antes de tentar instalar um novo conteúdo para essas VMs.

  • Verificação de quorum aprimorada para reparo do nó do Service Fabric no caminho de correção automática.

  • Maior lógica em torno dos nós de cluster de volta online em casos raros, em que a intervenção externa o coloca em um estado inesperado.

  • Maior resiliência de código de mecanismo para garantir erros de digitação no uso do nome da máquina não causa um estado inesperado na configuração do ECE quando ações manuais são usadas para adicionar e remover nós.

  • Adicionada uma verificação de integridade para detectar operações de reparo de nós físicos ou de VM que foram deixadas em um estado parcialmente concluído das sessões de suporte anteriores.

  • Log de diagnóstico aprimorado para a instalação de conteúdo de pacotes NuGet durante a orquestração de atualização.

  • Correção da falha de rotação do segredo interno para clientes que usam o sistema do AAD como identidade e bloqueia a conectividade de ERCS de saída da Internet.

  • Aumentou o tempo limite padrão de Test-AzureStack para AzsScenarios para 45 minutos.

  • Confiabilidade de atualização do HealthAgent aprimorada.

  • Correção de um problema em que a máquina virtual do reparo de VMs do ERCS não foi disparada durante as ações de correção.

  • Disponibilize a atualização do host para problemas causados por uma falha silenciosa para limpar arquivos VM de infraestrutura obsoleta.

  • Foi adicionada uma correção preventiva para erros de análise de certutil ao usar senhas geradas aleatoriamente.

  • Foi adicionada uma rodada de verificações de integridade antes da atualização do mecanismo, para que operações de administração com falha possam continuar sendo executadas com a versão original do código de orquestração.

  • Erro de backup do ACS corrigido quando o backup do ACSSettingsService terminava primeiro.

  • Atualizado o nível de comportamento de farm do Azure Stack AD FS para v4. Os hubs de pilha do Azure implantados com o 1908 ou posterior já estão no v4.

  • Maior confiabilidade do processo de atualização do host.

  • Correção de um problema de renovação de certificado que pode ter causado a falha na rotação do segredo interno.

  • Foi corrigido o novo alerta de sincronização do servidor de horário para corrigir um problema em que ele detecta incorretamente um problema de sincronização de tempo quando a fonte de tempo foi especificada com o sinalizador 0x8.

  • Correção de um erro de restrição de validação que ocorreu ao usar a nova interface automática de coleta de logs, que foi detectada

  • https://login.windows.net/como um ponto de extremidade inválido do Azure AD.

  • Correção de um problema que impedia o uso do SQL auto backup via SQLIaaSExtension.

  • Corrigido o alerta usado no Test-AzureStack ao validar os certificados do controlador de rede.

  • Atualizado o nível de comportamento de farm do Azure Stack AD FS para v4. Os hubs de pilha do Azure implantados com o 1908 ou posterior já estão no v4.

  • Maior confiabilidade do processo de atualização do host.

  • Correção de um problema de renovação de certificado que pode ter causado a falha na rotação do segredo interno.

  • Redução de gatilhos de alerta para evitar coletas de log proativas desnecessárias.

  • Maior confiabilidade de atualização do armazenamento, eliminando o tempo limite de chamada WMI do serviço de integridade do Windows.

Informações sobre o hotfix

Para aplicar esse hotfix, você deve ter a versão 1.2002.0.35 ou posterior.


Importante Conforme descrito nas notas de versão para a atualização do 2002, certifique-se de que você se refere à lista de verificação de atividade de atualização na execução de Test-AzureStack (com os parâmetros especificados) e resolva quaisquer problemas operacionais encontrados, incluindo todos os avisos e falhas. Além disso, examine alertas ativos e resolva qualquer ação que exija.

Informações sobre os arquivos

Baixe os arquivos a seguir. Em seguida, siga as instruções na página aplicar atualizações no Azure Stack no site Microsoft docs para aplicar esta atualização ao Azure Stack.

Baixe o arquivo zip agora.

Baixe o arquivo XML de hotfix agora.

Mais informações

Recursos de atualização do hub de pilha do Azure

Visão geral de gerenciar atualizações no Azure Stack

Aplicar atualizações no Azure Stack

Monitorar atualizações na pilha do Azure usando o ponto de extremidade privilegiado

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×