Symptom
Det finns ett säkerhetsproblem i Update Rollup 13 för Windows Azure Pack (WAP) som orsakar skriptinmatning vissa symboler att kringgå begränsningarna för portal UI. Portalen UI begränsar vissa symboler som större än (<) och mindre än (>) symboler som krävs för ”< script >” injektion.
Genom att spela upp en begäran i Fiddler kan strängar som innehåller tecken som < och > skickas som prenumerationsnamn. Fältet SubscriptionName kan ställas in till valfri sträng upp till 128 tecken. I det här scenariot kan läsa in och köra olika skript som < script src = ”https://code.jquery.com/jquery-1.10.2.min.js” > eller alert(document.cookie) < script > < / script >.
Mer information om detta säkerhetsproblem finns i vanliga säkerhetsproblem i Microsoft och exponeringar CVE-2018-8652.
Lösning
Information om hämtning
Uppdateringspaketen för Windows Azure Pack är tillgängliga från Microsoft Update eller genom manuell hämtning.
Microsoft Update
Den här säkerhetsuppdateringen är tillgänglig via Windows Update. När du aktiverar automatisk uppdatering, kommer den här säkerhetsuppdateringen hämtas och installeras automatiskt. Mer information om hur du automatiskt hämta säkerhetsuppdateringar finns Windows Update: vanliga frågor om.
Manuell hämtning av uppdateringspaketet
Gå till följande webbplats för att hämta paketet med uppdateringen manuellt från Microsoft Update-katalogen:
Hämta uppdateringspaketet för Windows Azure Pack säkerhet nu.
Installationsinformation
Dessa instruktioner gäller följande Windows Azure Pack-komponenter:
-
Webbplats för innehavaradministration
-
API för innehavaradministration
-
Innehavaradministration offentliga API: N
-
Webbplatsen för administration
-
Administration API
-
Autentisering
-
Windows-autentisering
-
Användning
-
Övervakning
-
Microsoft SQL
-
MySQL
-
Programmet Webbgalleri
-
Konfiguration av webbplats
-
Best Practices Analyzer
-
PowerShell API
Så här installerar du uppdateringen MSI-filer för varje komponent i Windows Azure Pack:
-
Om systemet är för närvarande (hanteringen av kunden trafik), Schemalägg driftstopp för Azure-servrar. Windows Azure Pack stöder inte rullande uppgraderingar.
-
Stoppa eller dirigera kunden trafik till alternativa platser som du anser vara tillfredsställande.
-
Skapa säkerhetskopior av datorer. Anteckningar
-
Om du använder virtuella maskiner ta ögonblicksbilder av deras aktuella status.
-
Om du inte använder virtuella datorer kan säkerhetskopiera varje MgmtSvc-* -mappen i katalogen Inetpub på varje dator som har en WAP-komponent installerad.
-
Samla in information och filer som är relaterade till ditt certifikat, värdhuvuden och ändringar port.
-
-
Om du använder ett eget tema för webbplatsen Windows Azure Pack innehavare kan du se hur du kvarstår ett tema Windows Azure Pack efter uppgradering av Microsoft innan du kör uppdateringen.
-
Installera uppdateringen genom att köra varje.msi-fil på den dator där motsvarande komponent körs. Till exempel MgmtSvc-AdminAPI.msi på datorn som kör webbplatsen ”MgmtSvc AdminAPI” i IIS.
-
För varje nod under load balancing kör uppdateringar för komponenterna i följande ordning:
-
Om du använder de ursprungliga självsignerade certifikat som har installerats med WAP ersätter uppdateringen dem. Du måste exportera det nya certifikatet och importera den till de andra noderna som belastningsutjämning. Dessa certifikat har en CN = MgmtSvc-* (självsignerade) mönster.
-
Uppdatera resurs Provider (RP) tjänster (SQL Server, min SQL, SPF/VMM, webbplatser) som behövs. Och kontrollera att RP-platser körs.
-
Uppdatera webbplats för innehavaradministration API, offentliga arrendator API, administratör API-noder och administratör och autentisering av arrendatorn platser.
-
Uppdatera platser för administratören och innehavare.
Skript för att hämta databasversioner och uppdatera databaser som installerats av MgmtSvc-PowerShellAPI.msi lagras på följande plats:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database Om alla komponenter är uppdaterad och fungerar som förväntat kan öppna du trafik till din uppdaterade noder. Annars finns i avsnittet ”återställa instruktioner”. Obs! Om du uppdaterar från en samlad uppdatering som är samma som eller senare än Update Rollup 5 för Windows Azure Pack, Följ instruktionerna för att uppdatera WAP-databasen.
-
Om ett problem uppstår och du bestämmer att det krävs en återställning, så här:
-
Om ögonblicksbilder finns beskrivna i den andra anmärkningen i steg 3 i avsnittet ”instruktioner” använda ögonblicksbilder. Om det finns inga ögonblicksbilder, gå till nästa steg.
-
Använda säkerhetskopian som utfördes enligt första och tredje anteckningar i steg 3 i avsnittet ”instruktioner” för att återställa databaser och datorer. Obs! Låt inte systemet i ett delvis uppdaterad tillstånd. Utför återställningen åtgärder på alla datorer där Windows Azure Pack har installerats, även om uppdateringen misslyckades på en nod. Vi rekommenderar att du kör Windows Azure Pack Best Practice Analyzer på varje nod för Windows Azure Pack för att säkerställa att konfigurationsobjekt är korrekta.
-
Öppna trafik till din återställda noder.