Bản Cập Nhật bảo mật 9.1 cho Windows Azure gói

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3146301
Tóm tắt
Bài viết này mô tả các vấn đề bảo mật được khắc phục trong bản Cập Nhật Rollup 9.1 Windows Azure gói (Phiên bản tập tin 3.32.8196.12). Nó cũng chứa các hướng dẫn cài đặt chuyên biệt bản Cập Nhật.
Sự cố được khắc phục trong bản cập nhật này

Vấn đề 1 - ZeroClipboard nhiều trang kịch bản lỗ hổng bảo mật

Phiên bản trước-9,1 WAP bao gồm một phiên bản của ZeroClipboard (v 1.1.7) dễ tập lệnh trang chéo (XSS). Bản Cập Nhật bảo mật 9.1 cho WAP bao gồm Cập Nhật ZeroClipboard Phiên bản 1.3.5, khắc phục lỗ hổng này. Bạn có thể tìm thấy thông tin chi tiết về việc này ở đây.

Ảnh hưởng ZeroClipboard nằm trong Cổng quản trị và người thuê và bản ghi dịch vụ thuê xác thực. Lỗ hổng này có thể khai thác trên Tất cả các dịch vụ. Nhà nhà cung cấp bản ghi dịch vụ thông thường sẽ tiếp tục quản trị cổng không thể truy cập của thuê nhưng cổng thuê và bản ghi dịch vụ thuê Auth được thường được cung cấp để thuê. Xin lưu ý rằng bản ghi dịch vụ thuê Auth không hỗ trợ triển khai sản xuất. Nếu một thành công, đối thủ có thể chạy gì WAP quản trị viên hoặc người dùng có thể chạy ứng dụng. Đối thủ có thể cũng xây dựng khi lỗi này và tấn công trình duyệt hoặc máy trạm của nạn nhân, tạo hoặc truy nhập thuê tài nguyên (như máy ảo hoặc SQL Server). Bởi vì máy chủ xác thực liên kết cũng dễ, các lựa chọn tấn công cũng có thể có.

Vấn đề 2 - lỗ hổng bảo mật bản ghi dịch vụ thuê API công cộng

Phiên bản trước-9,1 WAP, kẻ thuê hoạt động tải lên chứng chỉ qua khu vực thuê API bản ghi dịch vụ và liên kết với một mục tiêu thuê kiểm nhập của bạn. Điều này cho phép kẻ tấn công truy cập vào tài nguyên thuê mục tiêu. Cập Nhật Rollup 9.1 chặn một cuộc tấn công.

Ảnh hưởng Một đối thủ có thể sử dụng để truy cập WAP thuê khu vực API bản ghi dịch vụ. Tuy nhiên, để làm như vậy, kẻ tấn công phải biết subscriptionId nạn nhân. Đó là một tình huống có thể cho một đối thủ để truy cập vào subscriptionId. Ứng dụng cho phép quản trị viên tạo đồng quản trị. Khi ai đó kí nhập dưới tên quản trị co, họ tìm hiểu về subscriptionId. Nếu quản trị co này sau đó được gỡ bỏ, họ có thể thực hiện cuộc tấn công.

Hướng dẫn cài đặt chuyên biệt

Các hướng dẫn cài đặt chuyên biệt là dành cho các cấu phần Windows Azure gói sau:
  • Thuê web site
  • Thuê API
  • Thuê API công cộng
  • web site quản trị
  • Quản lý API
  • Xác thực
  • Xác thực của Windows
  • Sử dụng
  • Giám sát
  • Microsoft SQL
  • MySQL
  • Bộ sưu tập ứng dụng web
  • hồ sơ trang
  • Phân tích thực tiễn tốt nhất
  • API PowerShell
Để cài đặt chuyên biệt bản cập nhật tệp .msi cho mỗi cấu phần Windows Azure gói (WAP), hãy làm theo các bước sau:
  1. Nếu hệ thống đang hoạt động (xử lý lưu lượng truy cập của khách hàng), lịch thời gian cho các máy chủ Azure gói. Windows Azure gói hiện không hỗ trợ nâng cấp từng phần.
  2. Dừng hoặc chuyển hướng khách hàng lưu lượng truy cập web site mà bạn xem xét đạt yêu cầu.
  3. Tạo sao lưu hình ảnh của Máy chủ Web và bộ máy cơ sở dữ liệu SQL Server.

    Lưu ý:
    • Nếu bạn đang sử dụng máy ảo, có ảnh chụp nhanh trạm đậu hiện tại của họ.
    • Nếu bạn không sử dụng máy ảo, thực hiện sao lưu của mỗi MgmtSvc * mục tin thư thoại trong mục tin thư thoại Inetpub trên mỗi máy tính có phần WAP cài đặt chuyên biệt.
    • Thu thập thông tin và các tập tin liên quan đến các chứng chỉ của bạn, thông tin máy chủ thư và bất kỳ thay đổi cổng.
  4. Nếu bạn đang sử dụng chủ đề của bạn cho các web site Windows Azure gói thuê, hãy làm theo các hướng dẫn để bảo vệ thay đổi chủ đề của bạn trước khi bạn chạy bản Cập Nhật.
  5. Do bản Cập Nhật chạy mỗi tệp .msi trên máy tính có chạy phần tương ứng. Ví dụ: chạy MgmtSvc AdminAPI.msi trên máy tính đang chạy web site "MgmtSvc AdminAPI" trong bản ghi dịch vụ thông tin Internet (IIS).
  6. Mỗi nút chọn một trong cân bằng tải, chạy các bản Cập Nhật cho các thành phần theo thứ tự sau đây:
    1. Nếu bạn đang sử dụng chứng chỉ tự ký ban đầu được cài đặt chuyên biệt bằng WAP, thao tác Cập Nhật thay thế chúng. Bạn muốn xuất chuyển chứng chỉ mới và nhập vào các nút chọn một khác trong cân bằng tải. Các chứng chỉ có một CN = MgmtSvc-* mẫu đặt tên (ký tự).
    2. Cập Nhật bản ghi dịch vụ cung cấp tài nguyên (RP) (SQL Server, SQL của tôi, SPF/VMM, trang web) là cần thiết. Đảm bảo rằng web site RP đang chạy.
    3. Cập nhật các thuê API trang, khu vực thuê API, quản trị viên API nút chọn một, và quản trị viên và người thuê xác thực.
    4. Cập nhật các web site quản trị viên và người thuê.
  7. Các kịch bản để có được phiên bản bộ máy cơ sở dữ liệu và Cập Nhật bộ máy cơ sở dữ liệu cài đặt chuyên biệt MgmtSvc PowerShellAPI.msi được lưu trữ trong vị trí sau:
    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
  8. Nếu tất cả cấu phần được Cập Nhật và hoạt động như mong đợi, bạn có thể mở giao của nút chọn một Cập Nhật. Nếu không, hãy xem phần "Hướng dẫn quay lui"phần.
Lưu ý Nếu bạn được Cập Nhật từ một bản Cập Nhật bằng hoặc hơn Bản Cập Nhật 5 cho Windows Azure gói, hãy làm theo Các hướng dẫn Cập Nhật bộ máy cơ sở dữ liệu WAP.

Hướng dẫn quay lui

Nếu xảy ra sự cố và bạn kiểm tra một rollback cần thiết, hãy làm theo các bước sau:
  1. Nếu ảnh có ghi chú thứ hai trong bước 3 phần "Hướng dẫn cài đặt chuyên biệt"phần, ảnh chụp nhanh áp dụng. Nếu không có ảnh chụp nhanh, chuyển sang bước tiếp theo.
  2. Sử dụng sao lưu đã được đưa vào đầu tiên và thứ ba ghi chú trong bước 3 trong phần "Hướng dẫn cài đặt chuyên biệt"phần Khôi phục bộ máy cơ sở dữ liệu và máy tính của bạn.

    Lưu ý: Đừng để hệ thống ở trạm đậu phần Cập Nhật. Thực hiện thao tác quay lui trên tất cả các máy tính trên Windows Azure gói được cài đặt chuyên biệt, ngay cả khi bản Cập Nhật không thành công vào một nút chọn một.

    Được khuyến nghị Chạy bản Windows Azure gói Best Practice Analyzer dành cho từng nút chọn một Windows Azure gói để đảm bảo rằng mục cấu hình đúng.
  3. Mở lưu lượng truy cập vào nút chọn một khôi phục của bạn.

Tải xuống hướng dẫn

Gói Cập Nhật cho Windows Azure gói có sẵn từ Microsoft Update hoặc bằng cách tải xuống thủ công.

Microsoft Update

Để tải xuống và cài đặt chuyên biệt gói Cập Nhật từ Microsoft Update, hãy làm theo các bước sau trên máy tính có một phần áp dụng cài đặt:
  1. Bấm Bắt đầu và sau đó bấm vào Pa-nen Điều khiển
  2. Trong Panel điều khiển, bấm đúp vào Windows Update.
  3. Trong cửa sổ Windows Update, nhấp vào Kiểm tra trực tuyến cho bản Cập Nhật từ Microsoft Update.
  4. Bấm Cập Nhật quan trọng có sẵn.
  5. Chọn gói Cập Nhậtbạn muốn cài đặt chuyên biệt, và sau đó bấm OK.
  6. Chọn cài đặt chuyên biệt bản Cập Nhậtđể cài đặt chuyên biệt gói Cập Nhật đã chọn.

Tải xuống gói Cập Nhật thủ công

Hãy truy cập web site sau để tải xuống gói Cập Nhật thủ công từ danh mục cập nhật Microsoft:

Tệp được Cập Nhật trong bản cập nhật này

Tệp đã được thay đổiPhiên bản
MgmtSvc-SQLServer.msi3.32.8196.12
MgmtSvc-TenantAPI.msi3.32.8196.12
MgmtSvc-TenantPublicAPI.msi3.32.8196.12
MgmtSvc-TenantSite.msi3.32.8196.12
MgmtSvc-Usage.msi3.32.8196.12
MgmtSvc-WebAppGallery.msi3.32.8196.12
MgmtSvc-WindowsAuthSite.msi3.32.8196.12
MgmtSvc-AdminAPI.msi3.32.8196.12
MgmtSvc-AdminSite.msi3.32.8196.12
MgmtSvc-AuthSite.msi3.32.8196.12
MgmtSvc-Bpa.msi3.32.8196.12
MgmtSvc-ConfigSite.msi3.32.8196.12
MgmtSvc-Monitoring.msi3.32.8196.12
MgmtSvc-MySQL.msi3.32.8196.12
MgmtSvc-PowerShellAPI.msi3.32.8196.12

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3146301 - Xem lại Lần cuối: 03/03/2016 20:00:00 - Bản sửa đổi: 1.0

Microsoft System Center 2012 R2, Windows Azure Pack

  • kbsurveynew kbfix kbbug kbexpertiseinter kbsecbulletin kbsecvulnerability atdownload kbsecurity kbmt KB3146301 KbMtvi
Phản hồi