Bu makalede açıklanan güncelleştirme, daha yeni bir güncelleştirme toplaması tarafından değiştirilmiştir. En güncel güncelleştirmeyi yüklemeniz önerilir. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
Windows Azure için 10 3158609 güncelleştirme toplaması paketi
Özet
Bu makalede güncelleştirme toplaması 9.1 için Windows Azure paketi (dosya sürümü 3.32.8196.12) giderilen güvenlik konularını açıklar. Toplama için yükleme yönergeleri de içerir.
Bu güncelleştirme toplaması ile giderilen sorunlar
Sorun 1 - ZeroClipboard siteler arası komut dosyası çalıştırma güvenlik açığı
WAP 9.1 öncesi sürümleri ZeroClipboard (v 1.1.7) siteler arası komut dosyası için (XSS) güvenlik açığı bulunan bir sürümünü içerir. Güncelleştirilmiş ZeroClipboard sürüm 1.3.5, bu güvenlik açığını gideren güvenlik güncelleştirmesi toplaması 9.1 WAP içerir. Onunla ilgili ayrıntıları bulabilirsiniz burada.
Etkisi ZeroClipboard yönetim ve Kiracı portalları ve Kiracı kimlik doğrulama hizmeti bulunamadı. Tüm bu hizmetler bu güvenlik açığından yararlanılabilir. Hizmet sağlayıcısı genellikle Yönetim Portalı kiracılar tarafından erişilemeyen kalır, ancak Kiracı portal ve Kiracı kimlik doğrulama hizmeti genellikle kiracılar için kullanılabilir yapılır. Kiracı Auth hizmet üretim dağıtımlarda desteklenmiyorsa unutmayın. Saldırı başarılı olursa, düşmanın amacı WAP yönetici veya Kiracı Kullanıcı uygulamada çalışabilen bir şey çalıştırabilirsiniz. Düşmanın amacı Ayrıca bu hata yapı ve tarayıcı veya kurban iş istasyonu veya oluşturabilir veya Kiracı kaynaklara (örneğin, sanal makine ya da SQL Server). Federe kimlik doğrulama sunucusu da savunmasız olduğu için diğer saldırı seçenekleri de kullanılabilir olabilir.
Sorun 2 - Kiracı ortak API hizmeti güvenlik açığı
WAP 9.1 öncesi sürümlerinde, etkin Kiracı saldırgan ortak Kiracı API hizmeti aracılığıyla bir sertifika indirebileceğiniz ve hedef Kiracı'nın abonelik kimliği ile ilişkilendirme Bu, saldırganın hedef Kiracı kaynaklara erişim sağlar. Böyle bir saldırı toplama 9.1 blokları güncelleştirin.
Etkisi Bir düşmanın amacı WAP Kiracı ortak API hizmet erişmek için bunu kullanabilirsiniz. Ancak, bunu yapmak için saldırgan kurbanını birini subscriptionId bilmelisiniz. SubscriptionId erişmek bir düşmanın amacı için en az bir olası senaryo vardır. Uygulama, yöneticilerin ortak admins oluşturmak sağlar. Birisi co-admin kaydolduğunda, subscriptionId bilmek alın. Co-admin daha sonra kaldırılırsa, bunlar saldırısı gerçekleştirebilir.
Bu yükleme yönergeleri için aşağıdaki Windows Azure paketi bileşenleri şunlardır:
-
Kiracı sitesi
-
Kiracı API
-
Kiracı ortak API
-
Yönetim sitesi
-
Yönetim API'si
-
Kimlik doğrulama
-
Windows kimlik doğrulaması
-
Kullanım
-
İzleme
-
Microsoft SQL
-
MySQL
-
Web uygulaması Galerisi
-
Site yapılandırma
-
En iyi yöntem Çözümleyicisi
-
PowerShell API
Windows Azure Pack (WAP) her bileşen için güncelleştirme .msi dosyaları yüklemek için şu adımları izleyin:
-
(Müşteri trafik işleme), şu anda çalışır durumda zamanlama sistemi ise Azure Pack sunucuları için kapalı kalma süresi. Windows Azure paketi şu anda çalışırken yükseltmeyi desteklemiyor.
-
Durdurun veya müşteri trafik tatmin edici düşündüğünüz sitelere yönlendirin.
-
Web sunucuları ve SQL Server veritabanlarını yedekleme görüntüleri oluşturun.
Notlar-
Sanal makineleri kullanıyorsanız, şu anki durumlarına anlık görüntüsünü.
-
VMs kullanmıyorsanız, her MgmtSvc - yedeğini alın * Inetpub dizinindeki bir WAP bileşeninin yüklü olduğu her bilgisayarda klasör.
-
Bilgi ve sertifikalarınızı, ana bilgisayar üstbilgileri ve bağlantı noktası değişiklikler ilgili dosyaları toplamak.
-
-
Windows Azure Pack Kiracı site için kendi tema kullanıyorsanız, güncelleştirme çalıştırmadan önce Tema değişiklikleri korumak için aşağıdaki yönergeleri izleyin.
-
İlgili bileşen üzerinde çalıştığı bilgisayardaki her bir .msi dosyasını çalıştırarak güncelleştirme çalıştırın. Örneğin, MgmtSvc AdminAPI.msi "AdminAPI MgmtSvc" sitesini Internet Information Services (IIS) çalıştıran bir bilgisayarda çalıştırın.
-
Her düğüm için Yük Dengeleme altında bileşenlerine yönelik güncelleştirmeler aşağıdaki sırayla çalıştırın:
-
WAP tarafından yüklenen özgün otomatik olarak imzalanan sertifikalar kullanıyorsanız, güncelleştirme işlemi bunları değiştirir. Yeni sertifika vermek ve diğer düğümlerin Yük Dengeleme altında almak zorunda. Bu sertifikaları sahip bir CN = MgmtSvc-* (kendinden imzalı) adlandırma düzeni.
-
(RP) kaynak Sağlayıcı Hizmetleri (SQL Server, My SQL, SPF/VMM, Web sitelerinin) gerektiği gibi güncelleştirin. RP siteler çalışır durumda olduğundan emin olun.
-
Kiracı API sitesi, ortak Kiracı API, yönetici API düğümleri ve yönetici ve Kiracı kimlik doğrulaması siteleri güncelleştirin.
-
Yönetici ve Kiracı siteleri güncelleştirin.
-
-
Veritabanı sürümleri almak ve MgmtSvc PowerShellAPI.msi tarafından yüklenen veritabanlarını güncelleştirmek için komut dosyaları aşağıdaki konumda depolanır:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
Tüm bileşenlerinin güncelleştirilmiş ve beklendiği gibi düzgün, trafik, güncellenmiş düğümlerle açabilirsiniz. Aksi takdirde "geri alma yönergeleri" bölümüne bakın.
Not: ' E eşit veya daha eski Windows Azure paketi için Güncelleştirme Toplaması 5' ten bir güncelleştirme toplaması güncelleştiriyorsanız, WAP veritabanını güncellemek için Bu yönergeleri izleyin.
Bir sorun oluşur ve bir geri alma işlemi gerekli olduğundan emin olun, şu adımları izleyin:
-
Adım 3 "yükleme yönergeleri" bölümündeki ikinci Not anlık kullanılabilir, anlık görüntü uygulanır. Anlık görüntü yok varsa, sonraki adıma geçin.
-
Adım 3 "yükleme yönergeleri" bölümündeki birinci ve üçüncü notta veritabanları ve bilgisayarları geri çekildiği backup programını kullanın.
Not: Sistem kısmen güncelleştirilmiş bir durumda bırakmaz. Bir düğüm üzerinde güncelleştirme başarısız olsa bile tüm bilgisayarlarda Windows Azure paketi yüklendiği geri alma işlemlerini gerçekleştirin.
Önerilen Windows Azure Pack en iyi yöntem Çözümleyicisi yapılandırma öğeleri doğru olduğundan emin olmak için her Windows Azure Pack düğüm üzerinde çalışır. -
Geri yüklenen düğümleriniz trafiğine açıktır.
Yükleme yönergeleriGüncelleştirme paketleri Windows Azure paketi için Microsoft Update veya el ile karşıdan yükleme yoluyla kullanılabilir.
Microsoft UpdateEdinme ve Microsoft Update sitesinden bir güncelleştirme paketini yüklemek için uygulanabilir bileşeni yüklü olan bir bilgisayarda şu adımları izleyin:
-
Başlat'a tıklayın ve sonra Denetim Masası'na tıklayın.
-
Denetim Masası'ndaki Windows Update' ı çift tıklatın.
-
Windows Update penceresinde, Microsoft Update'ten güncelleştirmeleri çevrimiçi denetle'yitıklatın.
-
Önemli güncelleştirmeleri kullanılabilir' i tıklatın.
-
Yüklemek istediğiniz Güncelleştirme toplaması paketlerinin seçin ve Tamam' ı tıklatın.
-
Seçili güncelleştirme paketlerini yüklemek için Güncelleştirmeleri Yükle ' yi seçin.
El ile karşıdan yükleme paketleriEl ile güncelleştirme paketleri Microsoft Update Kataloğu'ndan karşıdan yüklemek için aşağıdaki Web sitesine bakın:
|
Değiştirilen dosyaları |
Sürüm |
|---|---|
|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
|
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
|
MgmtSvc-Usage.msi |
3.32.8196.12 |
|
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
|
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
|
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
|
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-Bpa.msi |
3.32.8196.12 |
|
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
|
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
|
MgmtSvc-MySQL.msi |
3.32.8196.12 |
|
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |
