การปรับปรุงที่อธิบายในบทความนี้ได้ถูกแทนที่ ด้วยการปรับปรุงสะสมใหม่ เราขอแนะนำให้ คุณติดตั้งการปรับปรุงล่าสุด สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
ปริมา3158609 update Rollup 10 สำหรับ Windows Azure
สรุป
บทความนี้อธิบายถึงปัญหาด้านความปลอดภัยที่ได้รับการแก้ไขในการปรับปรุงค่าสะสม 9.1 สำหรับ Windows Azure Pack (รุ่นของแฟ้ม 3.32.8196.12) นอกจากนี้ยังประกอบด้วยคำแนะนำในการติดตั้งสำหรับค่าสะสม
การตัดสินค้าจากคลังที่คงที่ในการยกเลิกโปรแกรมปรับปรุงนี้
ฉบับที่ 1 - ช่องโหว่สคริปต์ข้ามไซต์ ZeroClipboard
WAP รุ่นก่อนหน้า 9.1 รวมรุ่น ZeroClipboard (v 1.1.7) ที่มีความเสี่ยงต่อการโจมตีแบบแฝงสคริปต์ (XSS) ยกเลิกการปรับปรุงความปลอดภัย 9.1 สำหรับ WAP รวมถึงการปรับปรุง ZeroClipboard รุ่น 1.3.5 ซึ่งสามารถแก้ไขช่องโหว่นี้ คุณสามารถค้นหารายละเอียดเกี่ยวกับงานที่นี่ได้
ผลกระทบ พบ ZeroClipboard ในพอร์ทัลการดูแลและผู้เช่า และบริการการรับรองความถูกต้องของผู้เช่า ช่องโหว่นี้สามารถถูกสามารถในบริการเหล่านี้ทั้งหมด ผู้ให้บริการจะมักจะเก็บเว็บไซต์ผู้ดูแลสามารถเข้าถึงได้ โดยผู้เช่า แต่พอร์ทัลผู้เช่าและบริการการรับรองความถูกต้องของผู้เช่าโดยทั่วไปจะเกิดขึ้นพร้อมกับผู้เช่า คุณควรตระหนักว่า บริการการรับรองความถูกต้องของผู้เช่าไม่ได้รับการสนับสนุนในระบบการผลิต ถ้ามีการโจมตีประสบความสำเร็จ adversary สามารถเรียกใช้อะไรก็ได้ที่สามารถรันเป็นผู้ดูแลระบบ WAP หรือผู้ใช้ของผู้เช่าในแอพลิเคชัน Adversary ไม่สามารถยังสร้างจุดบกพร่องนี้ และโจมตีเบราว์เซอร์หรือเวิร์กสเตชันของเหยื่อ หรือสร้าง หรือเข้าถึงทรัพยากรผู้เช่า (เช่นเครื่องเสมือนหรือ SQL Server) เนื่องจากเซิร์ฟเวอร์การรับรองความถูกต้องที่ติดต่อกับภายนอกจะมีช่องโหว่ ตัวเลือกอื่น ๆ โจมตีอาจยังมีอยู่
การตัดสินค้าจากคลัง 2 - ช่องโหว่ในบริการ API สาธารณะของผู้เช่า
ในเวอร์ชันก่อนหน้า 9.1 WAP โจมตีผู้เช่าที่ใช้งานอยู่สามารถอัปโหลดใบรับรองผ่านการบริการผู้เช่าสาธารณะ API และเชื่อมโยงกับรหัสการสมัครใช้งานของผู้เช่าเป้าหมาย ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงทรัพยากรผู้เช่าเป้าหมาย ปรับปรุงค่าสะสม 9.1 บล็อกการถูกโจมตี
ผลกระทบ Adversary สามารถใช้นี้เพื่อเข้าถึงเช่า WAP บริการ API สาธารณะ อย่างไรก็ตาม เพื่อที่จะทำเช่นนั้น ผู้โจมตีต้องทราบ subscriptionId ของความผิดฐานใช้ มีสถานการณ์สมมติที่เป็นไปได้อย่างน้อยหนึ่งสำหรับการ adversary การเข้าถึงแบบ subscriptionId อยู่ แอพลิเคชันช่วยให้ผู้ดูแลระบบสร้าง admins สินค้าพลอย เมื่อมีผู้ลงชื่อในเป็น co admin ก็ได้รับรู้ subscriptionId ถ้า admin co นี้จะถูกเอาออกในภายหลัง คุณสามารถดำเนินการการโจมตี
วิธีการติดตั้งเหล่านี้มีไว้สำหรับคอมโพเนนต์ของ Windows Azure Pack ดังต่อไปนี้:
-
ไซต์ผู้เช่า
-
ผู้เช่า API
-
API สาธารณะของผู้เช่า
-
ไซต์การดูแล
-
จัดการ API
-
รับรองความถูกต้อง
-
การพิสูจน์ตัวจริงของ Windows
-
การใช้งาน
-
การตรวจสอบ
-
Microsoft SQL
-
MySQL
-
แกลเลอรีโปรแกรมประยุกต์บนเว็บ
-
ตั้งค่าคอนฟิกไซต์
-
ตัววิเคราะห์วิธีปฏิบัติที่ดีที่สุด
-
PowerShell API
เมื่อต้องการติดตั้งการปรับปรุงแฟ้ม.msi แต่ละคอมโพเนนต์ของ Windows Azure Pack (WAP) ให้ทำตามขั้นตอนเหล่านี้:
-
ถ้าระบบไม่มีตารางเวลาในการดำเนินงานอยู่ในขณะนี้ (การจัดการปริมาณการใช้งานของลูกค้า), เสียก่อนสำหรับเซิร์ฟเวอร์ Azure Pack Windows Azure Pack ในปัจจุบันไม่สนับสนุนการปรับรุ่นกำลังย้อน
-
หยุด หรือเปลี่ยนเส้นทางปริมาณการใช้งานของลูกค้าไปยังไซต์ที่คุณพิจารณาว่าน่าพอใจ
-
สร้างรูปสำรองของเว็บเซิร์ฟเวอร์และฐานข้อมูล SQL Server
หมายเหตุ-
ถ้าคุณกำลังใช้เครื่องเสมือน ทำ snapshot ของสถานะปัจจุบันของตนเอง
-
ถ้าคุณไม่ได้ใช้ VMs ทำสำเนาสำรองของแต่ละ MgmtSvc- * โฟลเดอร์ในไดเรกทอรี Inetpub บนคอมพิวเตอร์แต่ละเครื่องที่มีคอมโพเนนต์ WAP ที่ติดตั้งไว้
-
เก็บรวบรวมข้อมูลและแฟ้มที่เกี่ยวข้องกับใบรับรองของคุณ ส่วนหัวของโฮสต์ และการเปลี่ยนแปลงใด ๆ ของพอร์ต
-
-
ถ้าคุณกำลังใช้ชุดรูปแบบของคุณเองสำหรับไซต์ผู้เช่า Pack ของ Windows Azure ทำตามคำแนะนำเหล่านี้เพื่อเก็บรักษาการเปลี่ยนแปลงชุดรูปแบบของคุณก่อนที่คุณรันการปรับปรุง
-
เรียกใช้การปรับปรุง โดยการเรียกใช้แฟ้ม.msi แต่ละแฟ้มบนคอมพิวเตอร์ที่กำลังเรียกใช้คอมโพเนนต์ที่สอดคล้องกัน ตัวอย่างเช่น รัน MgmtSvc-AdminAPI.msi บนคอมพิวเตอร์ที่กำลังเรียกใช้ "MgmtSvc AdminAPI" ไซต์ใน Internet Information Services (IIS)
-
สำหรับแต่ละโหนภายใต้การปรับสมดุลการโหลด เรียกใช้โปรแกรมปรับปรุงสำหรับคอมโพเนนต์ในลำดับต่อไปนี้:
-
ถ้าคุณกำลังใช้ใบรับรองถูกลงชื่อเองเดิมที่ติดตั้ง โดย WAP การดำเนินการปรับปรุงแทนเหล่านั้น คุณต้องส่งออกใบรับรองใหม่ และนำเข้าไปยังโหนดอื่น ๆ ภายใต้การปรับสมดุลการโหลด ใบรับรองเหล่านี้มีการ CN = MgmtSvc- * (ถูกลงชื่อเอง) รูปแบบการตั้งชื่อ
-
ปรับปรุงการบริการของผู้ให้บริการทรัพยากร (RP) (SQL Server, SQL ของฉัน SPF/VMM เว็บไซต์) ตามความจำเป็น ตรวจสอบให้แน่ใจว่า จุดคืนค่าไซต์ที่กำลังเรียกใช้อยู่
-
ปรับปรุงไซต์ผู้เช่า API, API สาธารณะของผู้เช่า โหน API ผู้ดูแลระบบ และไซต์การพิสูจน์ตัวจริงของผู้ดูแลและผู้เช่า
-
ปรับปรุงไซต์ผู้ดูแลและผู้เช่า
-
-
สคริปต์เพื่อรับรุ่นของฐานข้อมูล และฐานข้อมูล โดย MgmtSvc-PowerShellAPI.msi การติดตั้งการปรับปรุงจะเก็บอยู่ในตำแหน่งที่ตั้งต่อไปนี้:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
ถ้ามีการปรับปรุงคอมโพเนนต์ทั้งหมด และทำงานตามที่คาดไว้ คุณสามารถเปิดปริมาณการใช้งานกับโหนดที่ปรับปรุงแล้วของคุณ มิฉะนั้น ดูส่วน "ขั้นตอนการย้อนกลับ"
หมายเหตุ ถ้าคุณกำลังปรับปรุงจากค่าสะสมของการปรับปรุงที่เท่ากับ หรือเก่ากว่าการปรับปรุงสะสม 5 สำหรับ Windows Azure Packทำตามคำแนะนำเหล่านี้อัพเดตฐานข้อมูล WAP
หากเกิดปัญหา และตรวจสอบว่า การย้อนกลับเป็นสิ่งจำเป็น ให้ทำตามขั้นตอนเหล่านี้:
-
ถ้ามีสแนปช็อตจากบันทึกย่อที่สองในขั้นตอนที่ 3 ในส่วน "วิธีการติดตั้ง" สแนปช็อตนำไปใช้ ถ้ามีสแนปช็อตไม่มี ไปขั้นตอนถัดไป
-
ใช้การสำรองข้อมูลที่เกิดขึ้นในครั้งแรก และที่สามหมายเหตุในขั้นตอนที่ 3 ในส่วน "วิธีการติดตั้ง" เพื่อคืนค่าฐานข้อมูลและคอมพิวเตอร์ของคุณ
หมายเหตุ ปล่อยให้ระบบในสถานะปรับปรุงแล้วบางส่วน ดำเนินการย้อนกลับบนคอมพิวเตอร์ทั้งหมดที่ Windows Azure Pack ถูกติดตั้งไว้ ถึงแม้ว่าการปรับปรุงล้มเหลวบนโหนหนึ่ง
ขอแนะนำ เรียกใช้ตัว Windows Azure Pack สุดแบบฝึกหัดวิเคราะห์บนโหนดแต่ละโหน Pack Azure ของ Windows เพื่อให้แน่ใจว่า สินค้าที่ตั้งค่าคอนฟิกไม่ถูกต้อง -
ปริมาณการใช้งานกับโหนกู้คืนข้อมูลของคุณให้ตรงกัน
คำแนะนำในการดาวน์โหลดแพคเกจการปรับปรุงสำหรับ Windows Azure Pack จะพร้อมใช้งาน จาก Microsoft Update หรือ โดยการดาวน์โหลดด้วยตนเอง
Microsoft Updateเมื่อต้องการขอรับ และติดตั้งแพ็คเกจการปรับปรุงจาก Microsoft Update ให้ทำตามขั้นตอนเหล่านี้บนคอมพิวเตอร์ที่มีการติดตั้งส่วนประกอบที่เกี่ยวข้อง:
-
คลิก เริ่ม แล้วคลิก แผงควบคุม
-
ในแผงควบคุม คลิกสองครั้งที่การปรับปรุง Windows
-
ในหน้าต่างการปรับปรุงของ Windows คลิกตรวจสอบแบบออนไลน์สำหรับโปรแกรมปรับปรุงจาก Microsoft Update
-
คลิกการปรับปรุงที่สำคัญพร้อมใช้งาน
-
เลือกแพคเกจโปรแกรมปรับปรุงที่คุณต้องการติดตั้ง และจากนั้น คลิกตกลง
-
เลือกการติดตั้งโปรแกรมปรับปรุงเพื่อติดตั้งแพคเกจโปรแกรมปรับปรุงที่เลือก
ดาวน์โหลดแพคเกจการปรับปรุงด้วยตนเองไปที่เว็บไซต์ต่อไปนี้เพื่อดาวน์โหลดแพคเกจการปรับปรุงจาก Microsoft Update Catalog ด้วยตนเอง:
แฟ้มที่มีการเปลี่ยนแปลง |
รุ่น |
---|---|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
MgmtSvc-Usage.msi |
3.32.8196.12 |
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
MgmtSvc-Bpa.msi |
3.32.8196.12 |
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
MgmtSvc-MySQL.msi |
3.32.8196.12 |
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |