Windows Azure Pack 的安全更新汇总 9.1

注意
本文介绍的更新已由较新的更新汇总所取代。我们建议你安装最新的更新程序。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
3158609 Windows Azure Pack 的更新汇总 10
概要
本文介绍了在 Windows Azure Pack 的更新汇总 9.1(文件版本 3.32.8196.12)中修复的安全问题。还包含此汇总的安装说明。
此更新汇总中修复的问题

问题 1 - ZeroClipboard 跨网站脚本漏洞

WAP 9.1 之前的版本包含易受跨网站脚本 (XSS) 攻击的 ZeroClipboard (v 1.1.7) 版本。WAP 的安全更新汇总 9.1 包含已更新的 ZeroClipboard 版本 1.3.5,这解决了此漏洞。你可以在此处找到相关的详细信息。

影响 ZeroClipboard 是在管理员和租户门户以及租户身份验证服务中被发现的。此漏洞可在所有这些服务上被利用。服务提供商通常保持不允许租户访问管理员门户,但通常允许租户访问租户门户和租户身份验证服务。请注意,租户身份验证服务在生产部署中不受支持。如果攻击成功,对手可以运行 WAP 管理员或租户用户可以在应用程序中运行的任何程序。对手还可以基于此错误建立并攻击受害者的浏览器或工作站,或者创建或访问租户资源(如虚拟机或 SQL Server)。因为此联合身份验证服务器也易受到攻击,其他攻击选项可能也可用。

问题 2 - 租户公共 API 服务漏洞

在 WAP 9.1 之前的版本中,活跃的租户攻击者可通过公共租户 API 服务上传证书并将其与目标租户的订阅 ID 相关联。这让攻击者获得访问目标租户资源的权限。更新汇总 9.1 阻止此类攻击。

影响 对手可以利用此权限访问 WAP 租户公共 API 服务。然而,为此,攻击者必须知道受害者的订阅 ID。对手至少有一种可行的方案来获得访问订阅 ID 的权限。该应用程序可让管理员创建共同管理员。当某人以共同管理员身份登录时,他们便会知道订阅 ID。如果之后删除此共同管理员,他们便能进行攻击。

安装说明

这些安装说明适用于以下 Windows Azure Pack 组件:
  • 租户网站
  • 租户 API
  • 租户公共 API
  • 管理网站
  • 管理 API
  • 身份验证
  • Windows 身份验证
  • 使用情况
  • 监视
  • Microsoft SQL
  • MySQL
  • Web 应用程序库
  • 配置网站
  • 最佳做法分析器
  • PowerShell API
若要为每个 Windows Azure Pack (WAP) 组件安装更新 .msi 文件,请按照下列步骤操作:
  1. 如果系统当前可操作(处理客户通信),请为 Azure Pack 服务器安排停机时间。Windows Azure Pack 当前不支持滚动升级。
  2. 停止客户通信或将其重定向到你认为满意的网站。
  3. 创建 Web 服务器和 SQL Server 数据库的备份映像。

    注意
    • 如果你正在使用虚拟机,请拍摄它们当前状态的快照。
    • 如果你未在使用虚拟机,则在每个安装了 WAP 组件的计算机上,对 Inetpub 目录中的每个 MgmtSvc-* 文件夹进行备份。
    • 收集与你的证书、主机头和任何端口更改有关的信息和文件。
  4. 如果你正在使用自己的 Windows Azure Pack 租户网站主题,请按照以下说明在运行更新程序之前保留主题更改。
  5. 通过运行正在运行相应组件的计算机上的每个 .msi 文件运行更新。例如,在正在 Internet Information Services (IIS) 中运行“MgmtSvc-AdminAPI”站点的计算机上运行 MgmtSvc-AdminAPI.msi。
  6. 对于负载平衡下的每个节点,请按照以下顺序运行组件更新:
    1. 如果你正在使用 WAP 安装的原始自签名证书,它们将被该更新操作所代替。必须先导出新证书,然后将它导入到负载平衡下的其他节点。这些证书有一个 CN=MgmtSvc-*(自签名)命名模式。
    2. 根据需要更新资源提供程序 (RP) 服务(SQL Server、My SQL、SPF/VMM、网站)。确保 RP 网站正在运行。
    3. 更新租户 API 网站、公共租户 API、管理员 API 节点以及管理员和租户身份验证网站。
    4. 更新管理员和租户网站。
  7. 用于获取数据库版本和更新由 MgmtSvc-PowerShellAPI.msi 安装的数据库的脚本存储在以下位置:
    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
  8. 如果所有的组件都已更新且按照预期方式运行,则可以打开指向已更新节点的通信。否则,请参阅“回滚说明”部分。
注意 如果你正在从 Windows Azure Pack 的更新汇总 5 或更早版本的更新汇总进行更新,请按照这些说明更新 WAP 数据库。

回滚说明

如果出现问题并且你验证回滚是必需的,请按照以下步骤操作:
  1. 如果“安装说明”部分步骤 3 的第二个注释中的快照已可用,请应用这些快照。如果没有快照,请转到下一步。
  2. 使用“安装说明”部分步骤 3 的第一个和第三个注释中的备份还原数据库和计算机。

    注意 不要让系统处于部分更新状态。在所有安装 Windows Azure Pack 的计算机上执行回滚操作,即使在其中一个节点上更新失败。

    推荐 在每个 Windows Azure Pack 节点上运行 Windows Azure Pack 最佳做法分析器,以确保配置项正确。
  3. 打开指向已还原节点的通信。

下载说明

可从 Microsoft 更新下载或手动下载 Windows Azure Pack 更新程序包。

Microsoft 更新

若要从 Microsoft 更新获取和安装更新程序包,请在已安装可用组件的计算机上按照下列步骤操作:
  1. 单击“开始”,然后单击“控制面板”
  2. 在“控制面板”中,双击“Windows 更新”
  3. 在“Windows 更新”窗口中,单击“联机查找‘Microsoft 更新’中的更新”
  4. 单击“重要更新可用”
  5. 选择你想要安装的更新汇总程序包,然后单击“确认”
  6. 选择“安装更新”以安装所选更新程序包。

手动下载更新程序包

转到以下网站,从 Microsoft 更新目录手动下载更新程序包:

此更新汇总中已更新的文件

已更改的文件版本
MgmtSvc-SQLServer.msi3.32.8196.12
MgmtSvc-TenantAPI.msi3.32.8196.12
MgmtSvc-TenantPublicAPI.msi3.32.8196.12
MgmtSvc-TenantSite.msi3.32.8196.12
MgmtSvc-Usage.msi3.32.8196.12
MgmtSvc-WebAppGallery.msi3.32.8196.12
MgmtSvc-WindowsAuthSite.msi3.32.8196.12
MgmtSvc-AdminAPI.msi3.32.8196.12
MgmtSvc-AdminSite.msi3.32.8196.12
MgmtSvc-AuthSite.msi3.32.8196.12
MgmtSvc-Bpa.msi3.32.8196.12
MgmtSvc-ConfigSite.msi3.32.8196.12
MgmtSvc-Monitoring.msi3.32.8196.12
MgmtSvc-MySQL.msi3.32.8196.12
MgmtSvc-PowerShellAPI.msi3.32.8196.12
属性

文章 ID:3146301 - 上次审阅时间:06/27/2016 14:25:00 - 修订版本: 2.0

Microsoft System Center 2012 R2, Windows Azure Pack

  • kbsurveynew kbfix kbbug kbexpertiseinter kbsecbulletin kbsecvulnerability atdownload kbsecurity KB3146301
反馈