Conectați-vă cu Microsoft
Conectați-vă sau creați un cont.
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.


Actualizarea descrisă în acest articol a fost înlocuit cu un pachet de actualizare mai noi. Vă recomandăm să instalați cea mai recentă actualizare. Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

Pachet set de actualizări 3158609 10 pentru Windows Azure

Rezumat

Acest articol descrie problemele de securitate care sunt remediate în 9.1 de pachet de actualizare pentru Windows Azure Pack (versiune de fișier 3.32.8196.12). De asemenea, el conține instrucțiunile de instalare pentru pachetul.

Probleme remediate în acest pachet de actualizare

Problema 1 - vulnerabilitate de scriptare inter-site-ZeroClipboard

Versiunile pre-9.1 WAP include o versiune a ZeroClipboard (v 1.1.7) care este vulnerabil în fața inter-site-uri (XSS). Set de actualizări de securitate 9.1 pentru WAP include actualizate ZeroClipboard versiunea 1.3.5, care rezolvă această vulnerabilitate. Puteți găsi detalii despre el aici.

Impact ZeroClipboard se găsește în administrare şi entitate găzduită portaluri și serviciul de entitate găzduită autentificare. Această vulnerabilitate poate fi exploatată pe toate aceste servicii. Un furnizor de servicii, de obicei, va păstra portalul de administrare inaccesibile de entități găzduite, dar portalul de entitate găzduită și serviciul de entitate găzduită Auth sunt de obicei făcute disponibile entități găzduite. Rețineți că serviciul de entitate găzduită Auth nu este acceptat în implementări de producție. Dacă un atac reușește, adversarul poate executa ceva care o WAP administrator sau utilizator găzduit poate executa din aplicație. Adversarul ar putea, de asemenea, se bazează pe această eroare și atacuri browser sau workstation victimă, creați sau accesa resursele de entitate găzduită (cum ar fi maşini virtuale sau SQL Server). Deoarece serverul de autentificare federativ este, de asemenea, vulnerabile, alte opțiuni de atac ar putea fi disponibile.

Problema 2 - vulnerabilitate de serviciu API publice de entitate găzduită

În versiunile pre-9.1 de WAP, un atacator de entitate găzduită active poate încărca un certificat prin Serviciul Public entitate găzduită API și asociat cu o entitate găzduită target abonament ID-ul. Aceasta permite atacator acces la resursele de entitate găzduită țintă. Update Rollup 9.1 blochează un astfel de atac.

Impact Un adversar posibilitatea să utilizați această pentru a accesa WAP entitate găzduită Public API service. Cu toate acestea, pentru a face acest lucru, atacatorul trebuie să cunoașteți subscriptionId de victimă. Există cel puțin un scenariu posibil pentru un adversar să obţineţi acces la subscriptionId. Aplicația vă permite să creați co-administratori de administratori. Atunci când cineva semnele co-admin, ele se cunoască subscriptionId. Dacă această co-admin este eliminat mai târziu, se poate efectua atac.

Aceste instrucțiuni de instalare sunt pentru următoarele componente Windows Azure Pack:

  • Site de entități găzduite

  • Entitate găzduită API

  • API publice de entitate găzduită

  • Site-ul administrare

  • Administrare API

  • Autentificare

  • Autentificare Windows

  • Utilizare

  • Monitorizarea

  • Microsoft SQL

  • MySQL

  • Galerie de aplicație Web

  • Site-ul de configurare

  • Best Practices Analyzer

  • PowerShell API

Pentru a instala actualizarea fișierele .msi pentru fiecare componentă Windows Azure Pack (WAP), urmați acești pași:

  1. Dacă sistemul este în prezent operațional program (tratarea client trafic), perioada de inactivitate pentru serverele de Azure Pack. Pachetul Windows Azure în prezent nu acceptă upgrade-uri de rulare.

  2. Oprire sau redirecționați clientul traficul către site-uri care să luați în considerare satisfăcătoare.

  3. Creați copii de rezervă imagini de servere web și bazele de date SQL Server.

    Note

    • Dacă utilizați mașini virtuale, ia instantanee de starea curentă.

    • Dacă nu utilizaţi SMS, efectuați o copie de rezervă a fiecărui MgmtSvc-* folder în directorul Inetpub pe fiecare computer care are o componentă WAP instalat.

    • Colectarea de informații și fișiere care sunt legate de certificate, anteturi gazdă și modificări de port.

  4. Dacă utilizați propria temă pentru site-ul Windows Azure Pack entitate găzduită, urmați aceste instrucțiuni pentru a păstra modificările temă înainte să executați actualizarea.

  5. Executați actualizare prin executarea fiecare fișier .msi pe computerul pe care se execută componenta corespunzătoare. De exemplu, executați MgmtSvc-AdminAPI.msi pe computerul care execută "MgmtSvc-AdminAPI" site-ul în Internet Information Services (IIS).

  6. Pentru fiecare nod sub Load Balancing, executați actualizări pentru componente în următoarea ordine:

    1. Dacă utilizați certificate semnate originală, care sunt instalate de WAP, operațiunea de actualizare le înlocuiește. Trebuie să noul certificat de export şi import pentru alte noduri sub echilibrarea încărcării. Aceste certificate au o CN = MgmtSvc-* model denumire (semnate).

    2. Actualizați serviciile de furnizor de resurse (RP) (SQL Server, My SQL, SPF/VMM, site-uri web), dacă este necesar. Asigurați-vă că site-urile RP se execută.

    3. Actualizează site-ul de entitate găzduită API, API publice de entitate găzduită, nodurile API de Administrator, Administrator și entități găzduite site-uri de autentificare.

    4. Actualizarea site-urile Administrator și entității găzduite.

  7. Scripturi pentru a obține versiuni de date și actualiza bazele de date instalate de MgmtSvc-PowerShellAPI.msi sunt stocate în următoarea locație:

    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database

  8. Dacă toate componentele sunt actualizate și funcționează normal, aveți posibilitatea să deschideți traficul de noduri actualizat. În caz contrar, consultați secțiunea "Rollback instrucțiunile".

Notă Dacă actualizați de la un set de actualizări care este egală sau mai mare de Actualizare Rollup 5 pentru pachetul Windows Azure, urmați aceste instrucțiuni pentru actualizarea bazei de date WAP.

Dacă apare o problemă și să verificați că o revenire este necesar, urmați acești pași:

  1. Dacă sunt disponibile de la a doua notă în Pasul 3 în secțiunea "instrucțiunile de instalare" Instantaneele, aplicați Instantaneele. Dacă nu există nicio Instantaneele, treceți la pasul următor.

  2. Utilizați copia de rezervă a fost luată în notă primul și al treilea în Pasul 3 în secțiunea "instrucțiunile de instalare" pentru a restabili bazele de date şi computere.

    Notă Nu lăsa sistemul într-o stare parțial actualizat. Efectuează operațiuni de revenire pe toate computerele pe care s-a instalat pachetul Windows Azure, chiar dacă actualizarea nu a reușit pe un singur nod.

    Recomandat Executați Windows Azure Pack Best Practice Analyzer pe fiecare nod pachetul Windows Azure pentru a vă asigura că elementele de configurare sunt corecte.

  3. Deschideți traficul de noduri restaurat.


Instrucțiuni de descărcarePachetele de actualizare pentru Windows Azure Pack sunt disponibile de la Microsoft Update sau de descărcare manuală.

Microsoft UpdatePentru a obține și se instalează un pachet de actualizare de la Microsoft Update, urmați acești pași pe un computer care are o componentă aplicabile instalat:

  1. Faceți clic pe Start, și apoi faceți clic pe Panoul de Control.

  2. În panoul de Control, faceți dublu clic pe Windows Update.

  3. În fereastra Windows Update, faceți clic pe Căutare Online pentru actualizări de la Microsoft Update.

  4. Faceți clic pe sunt disponibile actualizări importante.

  5. Selectați pachetele Set de actualizări pe care doriți să instalați și apoi faceți clic pe OK.

  6. Selectați instalarea actualizărilor pentru a instala pachetele de actualizare selectat.

Descărcare manuală a pachetelor de actualizareMergeți la următorul site web pentru a descărca manual update pachet din catalogul de actualizări Microsoft:

Download Descărcați acum pachetul de actualizare

Fișierele care au fost modificate

Versiune

MgmtSvc-SQLServer.msi

3.32.8196.12

MgmtSvc-TenantAPI.msi

3.32.8196.12

MgmtSvc-TenantPublicAPI.msi

3.32.8196.12

MgmtSvc-TenantSite.msi

3.32.8196.12

MgmtSvc-Usage.msi

3.32.8196.12

MgmtSvc-WebAppGallery.msi

3.32.8196.12

MgmtSvc-WindowsAuthSite.msi

3.32.8196.12

MgmtSvc-AdminAPI.msi

3.32.8196.12

MgmtSvc-AdminSite.msi

3.32.8196.12

MgmtSvc-AuthSite.msi

3.32.8196.12

MgmtSvc-Bpa.msi

3.32.8196.12

MgmtSvc-ConfigSite.msi

3.32.8196.12

MgmtSvc-Monitoring.msi

3.32.8196.12

MgmtSvc-MySQL.msi

3.32.8196.12

MgmtSvc-PowerShellAPI.msi

3.32.8196.12


Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă la Microsoft Insider

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?

Vă mulțumim pentru feedback!

×