Пакет накопительного обновления безопасности 9.1 для Windows Azure

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 3146301
Аннотация
В данной статье описывается уязвимостей, устраняемых 9.1 накопительный пакет обновления для пакета Windows Azure (версия 3.32.8196.12). Он также содержит инструкции по установке для комплекта исправлений.
Ошибки, исправленные в этот накопительный пакет обновления

Проблема 1 - ZeroClipboard уязвимость сценариев между узлами

9.1 предварительные версии WAP включают версии ZeroClipboard (версия 1.1.7), уязвимости межузловых сценариев (XSS). Накопительный пакет обновления безопасности 9.1 для WAP включает в себя обновленные версии 1.3.5, устраняет эту уязвимость и ZeroClipboard. Подробные сведения об этом можно найти Здесь.

Влияние ZeroClipboard находится в порталах администратора и клиентов и в службе проверки подлинности клиента. Данная уязвимость может использоваться для этих служб. Поставщик услуг обычно сохранит портал администрирования недоступны, владельцы недвижимости, но портал клиента и службы проверки подлинности клиентов обычно становятся доступными для владельцев. Имейте в виду, что служба проверки подлинности клиента не поддерживается в производственной среде. В случае успешной атаки злоумышленника можно запустить все, что WAP администратора или пользователя клиента можно выполнить в приложении. Злоумышленник также может строиться на основе этой ошибки и атаки браузера или рабочей станции жертвы, или создать или доступа к ресурсам клиента (например, виртуальные машины или SQL Server). Так как интегрированную проверку подлинности сервера также уязвима, другие параметры атаки также могут быть доступны.

Проблема 2 - обслуживании клиентов открытый API -Интерфейс

В версиях pre-9.1 WAP злоумышленник активных клиентов можно загрузить сертификат с помощью службы открытый API-Интерфейс клиента и связать его с идентификатором подписки конечного клиента. Это позволяет злоумышленнику получить доступ к ресурсам клиента целевой объект. Обновление 9.1 свертки блоки такой атаки.

Влияние Для доступа к WAP клиентов открытый API-Интерфейс службы можно использовать злоумышленника. Однако для этого ему необходимо знать идентификатор подписки subscriptionId жертвы. Имеется по крайней мере один из возможных сценариев для злоумышленника получить доступ к идентификатор подписки subscriptionId. Приложение позволяет администраторам создавать администраторы co. Когда кто-то регистрируется как co-admin, получают знать идентификатор подписки subscriptionId. Если удаляется co-admin, они могут выполнять атаки.

Инструкции по установке

Данные инструкции предназначены для следующих компонентов пакета Windows Azure:
  • Владелец сайта
  • Клиент API
  • Открытый интерфейс API клиента
  • Сайт администрирования
  • API администрирования
  • Проверка подлинности
  • Проверка подлинности Windows
  • Использование
  • Мониторинг
  • Microsoft SQL
  • MySQL
  • Приложения Web-галереи
  • Конфигурация веб-узла
  • Анализатор соответствия рекомендациям
  • API-Интерфейс PowerShell
Для установки MSI-файлов обновления для каждого компонента пакета Windows Azure (WAP), выполните следующие действия.
  1. Если система находится в данный момент эксплуатации (трафик клиента), расписание время простоя серверов пакет Azure. Пакет Windows Azure в настоящее время не поддерживают чередующееся обновление.
  2. Остановить или перенаправить трафик клиента к узлам, которые достаточного.
  3. Создание резервных копий веб-серверов и баз данных SQL Server.

    Заметки
    • При использовании виртуальных машин, создавать снимки их текущее состояние.
    • Если вы не используете виртуальных машин, производить резервное копирование каждого MgmtSvc-* папка в каталоге Inetpub на каждом компьютере установлен компонент WAP.
    • Собирать сведения и файлы, которые относятся к любой порт изменения, сертификатов и заголовков узлов.
  4. При использовании собственной темы для сайта клиента пакетом Windows Azure, выполните эти инструкции, чтобы сохранить внесенные изменения темы перед выполнением обновления.
  5. Запустите обновление с помощью каждый файл .msi на компьютере, на котором выполняется соответствующий компонент. Например запустите на компьютере, на котором выполняется в служб (IIS) веб-узла «MgmtSvc AdminAPI» MgmtSvc-AdminAPI.msi.
  6. Для каждого узла в разделе Балансировка нагрузки запустите обновления для компонентов в следующем порядке:
    1. При использовании исходного самозаверяющие сертификаты, которые устанавливаются по WAP операции обновления заменяет их. Необходимо экспортировать новый сертификат и импортировать на другие узлы в разделе балансировки нагрузки. Эти сертификаты имеют CN = MgmtSvc-* (самоподписанного) шаблон именования.
    2. При необходимости обновления служб поставщика ресурсов (RP) (SQL Server, Мой SQL, SPF/VMM, веб-узлы). Убедитесь, что выполнение сайтов RP.
    3. Обновление сайта клиента API, открытый API-Интерфейс клиента, узлы API администратора и администратора и клиентов проверки подлинности узлов.
    4. Обновление сайтов администратора и клиентов.
  7. Сценарии для получения версии базы данных и обновления баз данных, установленных по MgmtSvc-PowerShellAPI.msi хранятся в следующей папке:
    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
  8. Если все компоненты будут обновлены и должным образом, можно открыть трафик для обновленных узлов. В противном случае, см. "Инструкции по откату"раздел.
Примечание Если обновления в накопительный пакет обновления, равное или больше 5 накопительный пакет обновления для Windows Azure пакета, выполните Эти инструкции для обновления базы данных WAP.

Инструкции по откату

Если проблема возникает и проверки необходимости отката, выполните следующие действия:
  1. Если снимки доступны из второй заметки на шаге 3 "Инструкции по установке"раздел, применение моментальных снимков. Если нет моментальных снимков, перейдите к следующему шагу.
  2. С помощью резервной копии, сделанной в первый и третий Обратите внимание на шаге 3 "Инструкции по установке"раздел для восстановления баз данных и компьютеров.

    Примечание Не оставляйте в частично обновленное состояние системы. Операции отката на всех компьютерах, на которых установлен пакет Windows Azure, даже если не удалось выполнить обновление на одном узле.

    Рекомендуется На каждом узле пакета Windows Azure, чтобы убедиться в правильности настройки запуска Windows Azure пакет анализатор соответствия рекомендациям.
  3. Откройте трафик, восстановленных узлов.

Инструкции загрузки

Пакеты обновлений для пакета Windows Azure доступны из центра обновления Майкрософт или загрузка вручную.

Центр обновления Майкрософт

Чтобы получить и установить пакет обновления из центра обновления Майкрософт, выполните следующие действия на компьютере, который имеет соответствующий компонент.
  1. Нажмите кнопку Пуск и выберите Панель управления.
  2. На панели управления дважды щелкните Центр обновления Windows.
  3. В окне центра обновления Windows щелкните Проверка в сети обновлений из центра обновления Майкрософт.
  4. Выберите доступные важные обновления.
  5. Установите Накопительный пакет обновленияпакетов, которые требуется установить и нажмите кнопку ОК.
  6. Выбор обновленийдля установки пакетов обновления.

Загрузка пакетов обновлений вручную

Посетите следующий веб-сайт вручную загрузить обновления из каталога Центра обновления Майкрософт:

Файлы, обновленные в этот накопительный пакет обновления

Файлы, которые были измененыВерсия
MgmtSvc SQLServer.msi3.32.8196.12
MgmtSvc TenantAPI.msi3.32.8196.12
MgmtSvc TenantPublicAPI.msi3.32.8196.12
MgmtSvc TenantSite.msi3.32.8196.12
MgmtSvc Usage.msi3.32.8196.12
MgmtSvc WebAppGallery.msi3.32.8196.12
MgmtSvc WindowsAuthSite.msi3.32.8196.12
MgmtSvc AdminAPI.msi3.32.8196.12
MgmtSvc AdminSite.msi3.32.8196.12
MgmtSvc AuthSite.msi3.32.8196.12
MgmtSvc Bpa.msi3.32.8196.12
MgmtSvc ConfigSite.msi3.32.8196.12
MgmtSvc Monitoring.msi3.32.8196.12
MgmtSvc MySQL.msi3.32.8196.12
MgmtSvc PowerShellAPI.msi3.32.8196.12

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 3146301 — последний просмотр: 03/03/2016 20:05:00 — редакция: 1.0

Microsoft System Center 2012 R2, Windows Azure Pack

  • kbsurveynew kbfix kbbug kbexpertiseinter kbsecbulletin kbsecvulnerability atdownload kbsecurity kbmt KB3146301 KbMtru
Отзывы и предложения