Оновлення, у цій статті описано замінено на новіший зведене оновлення. Корпорація Майкрософт рекомендує, інсталювати останні оновлення. Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
Зведене оновлення 3158609 10 для Windows Azure оновлень.
Загальні відомості
У цій статті описано, з питань безпеки, які містить 9.1 з зведене оновлення для оновлень для Windows Azure (версія файлу 3.32.8196.12). Вона також містить інструкції з інсталяції для на пакет.
Проблеми, які усуваються за допомогою цього зведеного оновлення
Проблема 1 - ZeroClipboard-міжсайтових сценаріїв уразливість
Pre-9.1 версіях WAP-включають версії ZeroClipboard (v 1.1.7) вразливим до міжсайтових сценаріїв (XSS). Сукупне поновлення безпеки 9.1 для WAP включає в себе оновлений ZeroClipboard версії 1.3.5, який усуває цю вразливість. Докладні відомості про це можна знайти тут.
Вплив ZeroClipboard буде знайдено, адміністратор і клієнта, портали та служби компонентів автентифікації. Цей дефект, можуть бути використані у всіх цих служб. Постачальник зазвичай буде тримати до порталу недоступні наймача, але портал клієнта та служби компонентів автентифікації зазвичай доступні орендарів. Майте на увазі, що служба автентифікації в клієнта, не підтримується в виробництва розгортання. Якщо атаки, противнику можна запустити те, що WAP адміністратора або користувача для клієнта, можна запустити застосунок. Противнику можуть також від цей дефект та атак браузера, або робоча станція жертвою, або створити або отримати доступ до клієнта ресурсів (наприклад, віртуальні машини або SQL Server). Федеративні автентифікації, сервер також є вразливим, інші варіанти-атака також можуть бути доступні.
Проблема 2 - клієнта, спільних API служби вразливості
У версіях pre-9.1 WAP якими активних компонентів завантаження сертифіката через службу спільні API для клієнта та пов'язати його з цільового компонента підписки код Таким чином, зловмисник отримати доступ до ресурсів призначення клієнта. Оновлення поточних 9.1 блоки на такі атаки.
Вплив Противник, можна скористатися цим для доступу до WAP-клієнта спільних API служби. Проте для цього зловмисник потрібно знати subscriptionId, з жертвою. Існує, можливо, принаймні один сценарій супротивника, щоб отримати доступ до subscriptionId. Застосунок, дає змогу адміністраторам, які створюють Колорадо адміністратори. Якщо хтось входить як спільно адміністратора, вони отримують знати на subscriptionId. Якщо співпраця admin пізніше, вони можуть виконувати, атак.
Ці вказівки з інсталяції, які для цих компонентів Windows Azure оновлень:
-
Сайт для клієнта
-
Клієнта API
-
Клієнта спільних API.
-
Адміністрування сайту
-
Адміністрування API
-
Автентифікація
-
Автентифікація Windows
-
Використання
-
Моніторинг
-
Microsoft SQL
-
MySQL
-
Колекція веб-застосунку
-
Настроювання сайту
-
Аналізатор Best Practices Analyzer
-
Інтерфейс API PowerShell
Щоб інсталювати оновлення MSI-файли для компонентів Windows Azure оновлень (WAP), виконайте такі дії:
-
Якщо система зараз діє (з обслуговування клієнтів), розклад час простою, для серверів Azure оновлень. Пакет Windows Azure наразі не підтримує рухомого оновлення.
-
Зупинити або перенаправлення клієнтів веб-сайтів, які ви вважаєте, що задовільною.
-
Створення резервної копії зображення на веб-сервера та баз даних SQL Server.
Примітки-
Якщо використовується віртуальних машин, робити знімки поточний стан.
-
Якщо використовується віртуальних машин, взяти на резервну копію кожного MgmtSvc-* папку, в каталозі Inetpub на кожному комп'ютері інстальовано компонент WAP.
-
Збирати відомості та файли, пов'язані з сертифікатами хост-заголовки та зміни порту.
-
-
Якщо ви використовуєте Windows Azure оновлень-клієнта сайту власної теми, виконайте наведені інструкції, щоб зберегти внесені зміни теми, перш ніж виконати оновлення.
-
Виконайте оновлення, за допомогою файли на комп'ютері, на якому запущено відповідних компонентів. Наприклад, запустіть MgmtSvc-AdminAPI.msi, на комп'ютері під керуванням "MgmtSvc-AdminAPI" сайту в інформаційних службах Інтернету (IIS).
-
Для кожного вузла у розділі балансування навантаження запустіть оновлення компонентів, в такому порядку:
-
Якщо використовується вихідний власним підписом сертифікати, інстальовані WAP операцію оновлення замінює їх. Який потрібно експортувати нового сертифіката та імпортувати до інших вузлів у розділі навантаження. Ці сертифікати, мають CN = MgmtSvc-* (власним підписом,), найменування шаблон.
-
Оновлення ресурсів, постачальник (RP) служби, (мій SQL, SQL Server, SPF/VMM, веб-сайтів), якщо потрібно. Переконайтеся, що використовуєте RP веб-сайтів.
-
Оновити сайт клієнта API спільних API для клієнта, адміністратора API вузлів і адміністратор і компонентів перевірки автентичності веб-сайтів.
-
Оновлення клієнта, адміністратора і веб-сайтів.
-
-
Сценарії, щоб отримати базу даних версії та оновлення бази даних, які інсталюються з MgmtSvc-PowerShellAPI.msi, які зберігаються в такому розташуванні:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
Якщо всі компоненти, які оновлюються функціонує належним чином, ви можете відкрити трафік до оновленої вузли. В іншому випадку, див. розділ "відкочування інструкцій".
Примітка Якщо потрібно оновити з зведене оновлення, що дорівнює або перевищує 5 зведене оновлення для Windows Azure оновлень, виконайте вказані нижче дії , щоб оновити WAP-бази даних.
Якщо проблема виникла, переконайтеся, що необхідна відкочування, виконайте такі дії:
-
Якщо знімки друге примітку у кроці 3, у розділі "інструкції з інсталяції", на веб-сайті, застосовуються до знімки. Якщо немає знімки, перейдіть до наступного кроку.
-
За допомогою програми архівації, що взята у перший і третій зверніть увагу на кроці 3, у розділі "інструкції з інсталяції", для відновлення бази даних і комп'ютерів.
Примітка. Не залишити системи у стані, що частково оновлено. Скасування операції на всіх комп'ютерах, на якому інстальовано Windows Azure оновлень слід виконувати, навіть, якщо оновлення не вдається одного вузла.
Рекомендовано Запустити на Windows Azure оновлень аналізаторі кожного вузла Windows Azure оновлень, щоб переконатися, що правильні елементи конфігурації. -
Відкрийте трафік на ваш відновлені вузлів.
Завантажити інструкціїПакетів оновлень для Windows Azure оновлень доступні через службу Microsoft Update або завантаження вручну.
Microsoft UpdateЩоб отримати та інсталювати пакет оновлень зі служби Microsoft Update, виконайте наведені нижче дії на комп'ютері, який має відповідні компонент, що інстальовано:
-
Натисніть кнопку Пуск і виберіть Панель керування.
-
На панелі керування двічі клацніть пункт Windows Update.
-
У вікні служби Windows Update клацніть Перевірити онлайн, наявність оновлень від Microsoft Update.
-
Натисніть кнопку на наявність важливих оновлень.
-
Виберіть пакет Зведене оновлення , потрібно інсталювати і натисніть кнопку OK.
-
Виберіть, чи інсталювати оновлення для інсталяції пакетів оновлень, вибраний.
Завантаження вручну пакетів оновленьПерейдіть на веб-сайт завантаження пакетів оновлень з каталогу Microsoft Update вручну.
|
Файли, які змінюються |
Версія |
|---|---|
|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
|
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
|
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
|
MgmtSvc-Usage.msi |
3.32.8196.12 |
|
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
|
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
|
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
|
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
|
MgmtSvc-Bpa.msi |
3.32.8196.12 |
|
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
|
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
|
MgmtSvc-MySQL.msi |
3.32.8196.12 |
|
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |
