Uppdateringen som beskrivs i den här artikeln har ersatts av en senare Samlad uppdatering. Vi rekommenderar att du installerar den senaste uppdateringen. För mer information klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
3158609 av Samlad uppdatering 10 för Windows Azure Pack
Sammanfattning
Den här artikeln beskrivs säkerhetsproblem som korrigeras i uppdateringen samlade 9.1 för Windows Azure Pack (filversion 3.32.8196.12). Det innehåller även instruktioner för installation för samlade.
Problem som korrigeras i uppdateringen
Problem 1 - ZeroClipboard cross-site scripting-problem
Pre-9.1-versioner av WAP innehåller en version av ZeroClipboard (v 1.1.7) som är sårbara för cross-site scripting (XSS). Samlade säkerhetsuppdateringen 9.1 för WAP innehåller uppdaterade ZeroClipboard version 1.3.5, som löser problemet. Du kan hitta information om det här.
Påverkan ZeroClipboard finns i Admin och arrendator portaler och autentiseringstjänst för innehavaradministration. Säkerhetsproblemet kan utnyttjas på dessa tjänster. En tjänstprovider håller vanligtvis Admin portal tillgänglig av en hyresgäst, men hyresgästen portal och tjänsten autentisering av arrendatorn vanligtvis görs tillgängliga för hyresgäster. Tänk på att hyresgästen Auth-tjänsten inte stöds i produktion distributioner. Om angreppet lyckas köra adversary allt som en WAP-administratör eller hyresgästen användare kan köra i programmet. Adversary kan också bygga vidare på det här problemet och webbläsaren eller arbetsstation och skadelidande, eller skapa eller åt hyresgästen resurser (till exempel virtuella datorer eller SQL Server). Eftersom federerad autentiseringsservern är också sårbara, kanske också andra angrepp alternativ tillgängliga.
Problem 2 - attack för innehavaradministration offentliga API: N
I versioner före 9.1 WAP kan angriparen aktiva innehavare överföra ett certifikat via tjänsten Public hyresgästen API och associera den med målet hyresgästens prenumeration-ID. Detta kan angriparen få tillgång till resurser för målet innehavare. Update Rollup 9.1 block ett sådant angrepp.
Påverkan En adversary kan använda detta för att komma åt WAP innehavaradministration offentliga API-tjänsten. Dock måste angriparen måste känna subscriptionId av skadelidande. Det finns minst ett möjligt scenario för en adversary att få tillgång till subscriptionId. Programmet kan administratörer skapa co-administratörer. De Lär känna till subscriptionId när någon loggar in som admin co. Om den här co-admin senare tas bort, kan de utföra angreppet.
Dessa instruktioner gäller följande Windows Azure Pack-komponenter:
-
Webbplats för innehavaradministration
-
API för innehavaradministration
-
Innehavaradministration offentliga API: N
-
Webbplatsen för administration
-
Administration API
-
Autentisering
-
Windows-autentisering
-
Användning
-
Övervakning
-
Microsoft SQL
-
MySQL
-
Programmet Webbgalleri
-
Konfiguration av webbplats
-
Best Practices Analyzer
-
PowerShell API
Så här installerar du uppdateringen MSI-filer för varje komponent i Windows Azure Pack (WAP):
-
Om systemet är för närvarande (hanteringen av kunden trafik), Schemalägg driftstopp för Azure Pack-servrar. Windows Azure-Pack stöder för närvarande inte rullande uppgraderingar.
-
Stoppa eller dirigera kunden trafik till webbplatser som du anser vara tillfredsställande.
-
Skapa säkerhetskopior av webbservrar och SQL Server-databaser.
Kommentarer-
Om du använder virtuella maskiner ta ögonblicksbilder av deras aktuella status.
-
Om du inte använder VMs, ta en säkerhetskopia av varje MgmtSvc-*-mappen i katalogen Inetpub på varje dator som har en WAP-komponent installerad.
-
Samla in information och filer som är relaterade till ditt certifikat, värdhuvuden och ändringar port.
-
-
Följ instruktionerna för att bevara ändringarna tema innan du kör uppdateringen om du använder ett eget tema för webbplatsen Windows Azure Pack innehavare.
-
Kör uppdateringen genom att köra varje.msi-fil på den dator där motsvarande komponent körs. Till exempel MgmtSvc-AdminAPI.msi på den dator som kör "MgmtSvc AdminAPI"-webbplats i Internet Information Services (IIS).
-
För varje nod under Load Balancing kör uppdateringar för komponenterna i följande ordning:
-
Om du använder de ursprungliga självsignerade certifikat som har installerats av WAP ersätter uppdateringen dem. Du måste exportera det nya certifikatet och importera till andra noder under Load Balancing. Dessa certifikat har en CN = MgmtSvc-* (självsignerade) mönster.
-
Uppdatera resurs Provider (RP) tjänster (SQL Server, min SQL, SPF/VMM, webbplatser) som behövs. Kontrollera att RP-platser körs.
-
Uppdatera webbplats för innehavaradministration API, offentliga arrendator API, administratör API-noder och administratör och arrendator platser för autentisering.
-
Uppdatera platser för administratören och innehavare.
-
-
Skript för att hämta databasversioner och uppdatera databaser som installerats av MgmtSvc-PowerShellAPI.msi lagras på följande plats:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
Om alla komponenter är uppdaterad och fungerar som förväntat kan öppna du trafik till din uppdaterade noder. Annars finns i avsnittet "instruktioner för återställning".
Obs! Följ dessa instruktioner om du vill uppdatera WAP-databasen om du uppdaterar från en samlad uppdatering som är lika med eller äldre än Samlad uppdatering 5 för Windows Azure Pack.
Om ett problem uppstår och du har kontrollerat att det krävs en återställning, så här:
-
Om det finns ögonblicksbilder från den andra anmärkningen i steg 3 i avsnittet "instruktioner" använda ögonblicksbilder. Om det finns inga ögonblicksbilder, gå till nästa steg.
-
Använd säkerhetskopia som togs i första och tredje anmärkning i steg 3 i avsnittet "instruktioner" för att återställa databaser och datorer.
Obs! Låt inte systemet i ett delvis uppdaterad tillstånd. Utför återställningen åtgärder på alla datorer där Windows Azure Pack har installerats, även om uppdateringen misslyckades på en nod.
Rekommenderas Kör Windows Azure Pack Best Practice Analyzer på varje nod för Windows Azure Pack för att säkerställa att konfigurationsobjekt är korrekta. -
Öppna trafik till din återställda noder.
Hämta instruktionerUppdateringspaketen för Windows Azure Pack är tillgängliga från Microsoft Update eller genom manuell hämtning.
Microsoft UpdateSå här om du vill hämta och installera ett uppdateringspaket från Microsoft Update på en dator som har en gällande komponent installerad:
-
Klicka på Start och sedan på Kontrollpanelen.
-
Dubbelklicka på Windows Updatepå Kontrollpanelen.
-
I fönstret Windows Update klickar du på Kontrollera Online efter uppdateringar från Microsoft Update.
-
Klicka på viktiga uppdateringar är tillgängliga.
-
Markera de Samlade uppdateringspaket som du vill installera och klicka sedan på OK.
-
Välj installera uppdateringar att installera de valda uppdateringspaket.
Manuellt hämta uppdateringspaketGå till följande webbplats för att manuellt hämta uppdateringspaket från Microsoft Update-katalogen:
|
Filer som har ändrats |
Version |
|---|---|
|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
|
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
|
MgmtSvc-Usage.msi |
3.32.8196.12 |
|
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
|
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
|
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
|
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-Bpa.msi |
3.32.8196.12 |
|
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
|
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
|
MgmtSvc-MySQL.msi |
3.32.8196.12 |
|
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |
