Windows Azure Pack 的安全更新汇总 9.1


本文介绍的更新已由较新的更新汇总所取代。我们建议你安装最新的更新程序。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
3158609 Windows Azure Pack 的更新汇总 10

概要

本文介绍了在 Windows Azure Pack 的更新汇总 9.1(文件版本 3.32.8196.12)中修复的安全问题。还包含此汇总的安装说明。

此更新汇总中修复的问题

问题 1 - ZeroClipboard 跨网站脚本漏洞

WAP 9.1 之前的版本包含易受跨网站脚本 (XSS) 攻击的 ZeroClipboard (v 1.1.7) 版本。WAP 的安全更新汇总 9.1 包含已更新的 ZeroClipboard 版本 1.3.5,这解决了此漏洞。你可以在此处找到相关的详细信息。

影响 ZeroClipboard 是在管理员和租户门户以及租户身份验证服务中被发现的。此漏洞可在所有这些服务上被利用。服务提供商通常保持不允许租户访问管理员门户,但通常允许租户访问租户门户和租户身份验证服务。请注意,租户身份验证服务在生产部署中不受支持。如果攻击成功,对手可以运行 WAP 管理员或租户用户可以在应用程序中运行的任何程序。对手还可以基于此错误建立并攻击受害者的浏览器或工作站,或者创建或访问租户资源(如虚拟机或 SQL Server)。因为此联合身份验证服务器也易受到攻击,其他攻击选项可能也可用。

问题 2 - 租户公共 API 服务漏洞

在 WAP 9.1 之前的版本中,活跃的租户攻击者可通过公共租户 API 服务上传证书并将其与目标租户的订阅 ID 相关联。这让攻击者获得访问目标租户资源的权限。更新汇总 9.1 阻止此类攻击。

影响 对手可以利用此权限访问 WAP 租户公共 API 服务。然而,为此,攻击者必须知道受害者的订阅 ID。对手至少有一种可行的方案来获得访问订阅 ID 的权限。该应用程序可让管理员创建共同管理员。当某人以共同管理员身份登录时,他们便会知道订阅 ID。如果之后删除此共同管理员,他们便能进行攻击。
安装说明
回滚说明

下载说明

可从 Microsoft 更新下载或手动下载 Windows Azure Pack 更新程序包。

Microsoft 更新

若要从 Microsoft 更新获取和安装更新程序包,请在已安装可用组件的计算机上按照下列步骤操作:
  1. 单击“开始”,然后单击“控制面板”
  2. 在“控制面板”中,双击“Windows 更新”
  3. 在“Windows 更新”窗口中,单击“联机查找‘Microsoft 更新’中的更新”
  4. 单击“重要更新可用”
  5. 选择你想要安装的更新汇总程序包,然后单击“确认”
  6. 选择“安装更新”以安装所选更新程序包。

手动下载更新程序包

转到以下网站,从 Microsoft 更新目录手动下载更新程序包:
此更新汇总中已更新的文件
属性

文章 ID:3146301 - 上次审阅时间:2016年6月27日 - 修订版本: 1

反馈