Sintomas
Existe uma vulnerabilidade de segurança no Update Rollup 13 para o Windows Azure Pack (WAP) que faz com que a injecção de script de determinados símbolos para ignorar as restrições de interface de utilizador portal. O portal de IU restringe determinados símbolos como maior que (<) e menor que (>) símbolos que são necessários para injecção de "< script >".
Ao reproduzir um pedido de Fiddler, cadeias que contêm caracteres como < e > podem ser enviadas como o nome de subscrição. O campo SubscriptionName pode ser definido para qualquer cadeia até 128 caracteres. Neste cenário, pode carregar e executar scripts diferentes tais como < script src = "https://code.jquery.com/jquery-1.10.2.min.js" > ou alert(document.cookie) < script > < / script >.
Para mais informações sobre esta vulnerabilidade, consulte Microsoft comum vulnerabilidades e exposições CVE-2018-8652.
Resolução
Informações de transferência
Pacotes de actualização para Windows Azure Pack estão disponíveis no Microsoft Update ou por transferência manual.
Microsoft Update
Esta actualização de segurança está disponível através do Windows Update. Quando activa as actualizações automáticas, esta actualização de segurança será transferida e instalada automaticamente. Para mais informações sobre como obter automaticamente actualizações de segurança, consulte Windows Update: Perguntas mais frequentes.
Transferência manual do pacote de actualização
Vá para o seguinte Web site para transferir manualmente o pacote de actualização de segurança do catálogo do Microsoft Update:
Transferir o pacote de actualização de segurança do Windows Azure Pack agora.
Informações de instalação
São estas instruções de instalação para os seguintes componentes do Windows Azure Pack:
-
Site de Tenants
-
API de Tenants
-
API pública de Tenants
-
Site de administração
-
API de administração
-
Autenticação
-
Autenticação do Windows
-
Utilização
-
Monitorização
-
Microsoft SQL
-
MySQL
-
Galeria de aplicação da Web
-
Site de configuração
-
Analisador de melhores práticas
-
PowerShell API
Para instalar os ficheiros. msi de actualização para cada componente do Windows Azure Pack, siga estes passos:
-
Se o sistema estiver actualmente operacional agenda (processamento de tráfego de cliente), período de inactividade para os servidores Azure. O pacote do Windows Azure actualmente não suportam actualizações graduais.
-
Parar ou redireccionar tráfego de cliente para sites alternativos que considera satisfatório.
-
Crie cópias de segurança dos computadores. De notas
-
Se estiver a utilizar máquinas virtuais, tirar instantâneos do respectivo estado actual.
-
Se não estiver a utilizar máquinas virtuais, cada cópia MgmtSvc-* pasta no directório Inetpub em cada computador que tenha um componente WAP instalado.
-
Recolha informações e ficheiros que estão relacionados com os certificados, os cabeçalhos de anfitrião e quaisquer alterações de porta.
-
-
Se estiver a utilizar o seu próprio tema do site do Windows Azure Pack residentes, veja como persistem um tema de pacote do Windows Azure depois da actualização do Microsoft antes de executar a actualização.
-
Instale a actualização através da execução de cada ficheiro. msi no computador em que o componente correspondente está em execução. Por exemplo, execute o AdminAPI.msi de MgmtSvc no computador que executa o site "MgmtSvc-AdminAPI" no IIS.
-
Para cada nó em balanceamento de carga, execute as actualizações para componentes pela seguinte ordem:
-
Se estiver a utilizar certificados auto-assinados originais que foram instalados por WAP, a operação de actualização irá substituí-los. Tem de exportar o novo certificado e importá-lo para os outros nós que estão sob o balanceamento de carga. Estes certificados têm um CN = MgmtSvc-* padrão de nomenclatura (auto-assinado).
-
Actualização dos serviços de fornecedor de recursos (RP) (SQL Server, SQL meu, SPF/VMM, Web sites) conforme necessário. E certifique-se de que os sites RP estão em execução.
-
Actualize o site de API de Tenants, API pública do locatário, nós de API de administrador e sites de administrador e a autenticação de Tenants.
-
Actualize os sites de administrador e de Tenants.
Os scripts para obter versões de base de dados e actualizar bases de dados que são instalados por MgmtSvc-PowerShellAPI.msi são armazenados na seguinte localização:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database Se todos os componentes estão actualizados e a funcionar conforme esperado, pode abrir o tráfego para os nós actualizados. Caso contrário, consulte a secção "Instruções de anulação". Nota Se estiver a actualizar a partir de um update rollup que é igual ou anterior a Update Rollup 5 para Windows Azure Pack, siga estas instruções para actualizar a base de dados WAP.
-
Se ocorrer um problema e determinar que é necessária efectuar uma reversão, siga estes passos:
-
Se os instantâneos estão disponíveis como descrito na segunda nota no passo 3 da secção "Instruções de instalação", aplicam-se os instantâneos. Se não existir nenhum instantâneos, vá para o passo seguinte.
-
Utilize a cópia de segurança que foram tomada, tal como descrito nas notas primeiros e terceiros no passo 3 da secção "Instruções de instalação" para restaurar as bases de dados e os computadores. Nota Não deixe o sistema num Estado parcialmente actualizado. Efectue operações de anulação em todos os computadores com o Windows Azure Pack foi instalado, mesmo se a actualização falhou em apenas um nó. Recomendamos que execute o Windows Azure Pack melhor prática Analyzer em cada nó do Windows Azure Pack para se certificar de que os itens de configuração estão correctos.
-
Abra o tráfego para os nós de restaurado.