Обновление, которое описано в этой статье были заменены новыми накопительного пакета обновления. Рекомендуется установить последние обновления. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
Пакет 3158609 накопительный пакет обновления 10 для Windows Azure
Обзор
В данной статье описывается уязвимостей, устраняемых 9.1 накопительный пакет обновления для пакета Windows Azure (версия 3.32.8196.12). Он также содержит инструкции по установке для комплекта исправлений.
Ошибки, исправленные в этот накопительный пакет обновления
Проблема 1 - ZeroClipboard уязвимость сценариев между узлами
9.1 предварительные версии WAP включают версии ZeroClipboard (версия 1.1.7), уязвимости межузловых сценариев (XSS). Накопительный пакет обновления безопасности 9.1 для WAP включает в себя обновленные версии 1.3.5, устраняет эту уязвимость и ZeroClipboard. Подробные сведения об этом можно найти здесь.
Влияние ZeroClipboard находится в порталах администратора и клиентов и в службе проверки подлинности клиента. Данная уязвимость может использоваться для этих служб. Поставщик услуг обычно сохранит портал администрирования недоступны, владельцы недвижимости, но портал клиента и службы проверки подлинности клиентов обычно становятся доступными для владельцев. Имейте в виду, что служба проверки подлинности клиента не поддерживается в производственной среде. В случае успешной атаки злоумышленника можно запустить все, что WAP администратора или пользователя клиента можно выполнить в приложении. Злоумышленник также может строиться на основе этой ошибки и атаки браузера или рабочей станции жертвы, или создать или доступа к ресурсам клиента (например, виртуальные машины или SQL Server). Так как интегрированную проверку подлинности сервера также уязвима, другие параметры атаки также могут быть доступны.
Проблема 2 - обслуживании клиентов открытый API-Интерфейс
В версиях pre-9.1 WAP злоумышленник активных клиентов можно загрузить сертификат с помощью службы открытый API-Интерфейс клиента и связать его с идентификатором подписки конечного клиента. Это позволяет злоумышленнику получить доступ к ресурсам клиента целевой объект. Обновление 9.1 свертки блоки такой атаки.
Влияние Для доступа к WAP клиентов открытый API-Интерфейс службы можно использовать злоумышленника. Однако для этого ему необходимо знать идентификатор подписки subscriptionId жертвы. Имеется по крайней мере один из возможных сценариев для злоумышленника получить доступ к идентификатор подписки subscriptionId. Приложение позволяет администраторам создавать администраторы co. Когда кто-то регистрируется как co-admin, получают знать идентификатор подписки subscriptionId. Если удаляется co-admin, они могут выполнять атаки.
Данные инструкции предназначены для следующих компонентов пакета Windows Azure:
-
Владелец сайта
-
Клиент API
-
Открытый интерфейс API клиента
-
Сайт администрирования
-
API администрирования
-
Проверка подлинности
-
Проверка подлинности Windows
-
Использование
-
Мониторинг
-
Microsoft SQL
-
MySQL
-
Приложения Web-галереи
-
Конфигурация веб-узла
-
Анализатор соответствия рекомендациям
-
API-Интерфейс PowerShell
Для установки MSI-файлов обновления для каждого компонента пакета Windows Azure (WAP), выполните следующие действия.
-
Если система находится в данный момент эксплуатации (трафик клиента), расписание время простоя серверов пакет Azure. Пакет Windows Azure в настоящее время не поддерживают чередующееся обновление.
-
Остановить или перенаправить трафик клиента к узлам, которые достаточного.
-
Создание резервных копий веб-серверов и баз данных SQL Server.
Примечания-
При использовании виртуальных машин, создавать снимки их текущее состояние.
-
Если вы не используете виртуальных машин, производить резервное копирование каждого MgmtSvc-* папка в каталоге Inetpub на каждом компьютере установлен компонент WAP.
-
Собирать сведения и файлы, которые относятся к любой порт изменения, сертификатов и заголовков узлов.
-
-
При использовании собственной темы для сайта клиента пакетом Windows Azure, выполните эти инструкции, чтобы сохранить внесенные изменения темы перед выполнением обновления.
-
Запустите обновление с помощью каждый файл .msi на компьютере, на котором выполняется соответствующий компонент. Например запустите на компьютере, на котором выполняется в служб (IIS) веб-узла «MgmtSvc AdminAPI» MgmtSvc-AdminAPI.msi.
-
Для каждого узла в разделе Балансировка нагрузки запустите обновления для компонентов в следующем порядке:
-
При использовании исходного самозаверяющие сертификаты, которые устанавливаются по WAP операции обновления заменяет их. Необходимо экспортировать новый сертификат и импортировать на другие узлы в разделе балансировки нагрузки. Эти сертификаты имеют CN = MgmtSvc-* (самоподписанного) шаблон именования.
-
При необходимости обновления служб поставщика ресурсов (RP) (SQL Server, Мой SQL, SPF/VMM, веб-узлы). Убедитесь, что выполнение сайтов RP.
-
Обновление сайта клиента API, открытый API-Интерфейс клиента, узлы API администратора и администратора и клиентов проверки подлинности узлов.
-
Обновление сайтов администратора и клиентов.
-
-
Сценарии для получения версии базы данных и обновления баз данных, установленных по MgmtSvc-PowerShellAPI.msi хранятся в следующей папке:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
Если все компоненты будут обновлены и должным образом, можно открыть трафик для обновленных узлов. В противном случае обратитесь к разделу «инструкции по откату».
Примечание. При обновлении из накопительный пакет обновления, равен или больше 5 накопительный пакет обновления пакета Windows Azure, следуйте этим инструкциям для обновления базы данных WAP.
Если проблема возникает и проверки необходимости отката, выполните следующие действия:
-
Если моментальные снимки доступны из второй заметки на шаге 3 раздела «инструкции по установке», применение моментальных снимков. Если нет моментальных снимков, перейдите к следующему шагу.
-
С помощью резервной копии, сделанной в первый и третий Обратите внимание на шаге 3 раздела «инструкции по установке» для восстановления баз данных и компьютеров.
Примечание. Не оставляйте в частично обновленное состояние системы. Операции отката на всех компьютерах, на которых установлен пакет Windows Azure, даже если не удалось выполнить обновление на одном узле.
Рекомендуется На каждом узле пакета Windows Azure, чтобы убедиться в правильности настройки запуска Windows Azure пакет анализатор соответствия рекомендациям. -
Откройте трафик, восстановленных узлов.
Инструкции загрузкиПакеты обновлений для пакета Windows Azure доступны из центра обновления Майкрософт или загрузка вручную.
Центр обновления МайкрософтЧтобы получить и установить пакет обновления из центра обновления Майкрософт, выполните следующие действия на компьютере, который имеет соответствующий компонент.
-
Нажмите кнопку Пуск и выберите Панель управления.
-
На панели управления дважды щелкните Центр обновления Windows.
-
В окне центра обновления Windows щелкните Проверка в сети обновлений из центра обновления Майкрософт.
-
Выберите доступные важные обновления.
-
Установите Накопительный пакет обновления пакетов, которые требуется установить и нажмите кнопку ОК.
-
Выбор обновлений для установки пакетов обновления.
Загрузка пакетов обновлений вручнуюПосетите следующий веб-сайт вручную загрузить обновления из каталога Центра обновления Майкрософт:
|
Файлы, которые были изменены |
Версия |
|---|---|
|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
|
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
|
MgmtSvc-Usage.msi |
3.32.8196.12 |
|
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
|
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
|
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
|
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-Bpa.msi |
3.32.8196.12 |
|
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
|
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
|
MgmtSvc-MySQL.msi |
3.32.8196.12 |
|
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |
