症状
Windows Azure Pack (WAP) 更新汇总 13 中存在的安全漏洞,该漏洞会导致脚本注入某些符号以绕过门户 UI 限制。 门户 UI 限制某些符号,例如“<script>”注入所需的大于 ( > ) 和小于 ( < ) 符号。
通过在 Fiddler 中重放请求,可以将包含 < 和 > 等字符的字符串作为订阅名称发送。 SubscriptionName 字段可以设置为最多 128 个字符的任意字符串。 在这种情况下,你可以加载和运行各种脚本,例如 <script src="https://code.jquery.com/jquery-1.10.2.min.js"> 或 <script>alert(document.cookie)</script>。
若要了解有关此漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露 CVE-2018-8652。
解决方案
下载信息
可从 Microsoft 更新下载或手动下载 Windows Azure Pack 更新程序包。
Microsoft 更新
可以通过 Windows 更新获取此安全更新。 当你开启自动更新后,系统会自动下载并安装此安全更新。 有关如何自动获取安全更新的更多信息,请参阅 Windows 更新: 常见问题解答。
手动下载更新程序包
转到以下网站,从 Microsoft 更新目录手动下载安全更新程序包:
安装信息
这些安装说明适用于以下 Windows Azure Pack 组件:
-
租户网站
-
租户 API
-
租户公共 API
-
管理网站
-
管理 API
-
身份验证
-
Windows 身份验证
-
使用情况
-
监视
-
Microsoft SQL
-
MySQL
-
Web 应用程序库
-
配置网站
-
最佳做法分析器
-
PowerShell API
若要为每个 Windows Azure Pack 组件安装更新 .msi 文件,请按照下列步骤操作:
-
如果系统当前可操作(处理客户通信),请为 Azure 服务器安排停机时间。 Windows Azure Pack 当前不支持滚动升级。
-
停止客户通信或将其重定向到你认为满意的备用网站。
-
创建计算机的备份。
注意-
如果你正在使用虚拟机,请拍摄它们当前状态的快照。
-
如果你未在使用虚拟机,则在安装了 WAP 组件的每台计算机上备份 Inetpub 目录中的每个 MgmtSvc-* 文件夹。
-
收集与你的证书、主机头和任何端口更改有关的信息和文件。
-
-
如果你正在使用自己的 Windows Azure Pack 租户网站主题,在你运行更新程序之前,请参阅 How to Persist a Windows Azure Pack Theme after Microsoft Upgrade(如何在 Microsoft 升级后保留 Windows Azure Pack 主题)。
-
通过运行正在运行相应组件的计算机上的每个 .msi 文件安装更新。 例如,在正在 IIS 中运行“MgmtSvc-AdminAPI”站点的计算机上运行 MgmtSvc-AdminAPI.msi。
-
对于负载平衡下的每个节点,请按照以下顺序运行组件更新:
-
如果你正在使用 WAP 安装的原始自签名证书,它们将被该更新操作所代替。 必须先导出新证书,然后将它导入到负载平衡下的其他节点。 这些证书有一个 CN=MgmtSvc-*(自签名)命名模式。
-
根据需要更新资源提供程序 (RP) 服务(SQL Server、My SQL、SPF/VMM、网站)。 并确保 RP 网站正在运行。
-
更新租户 API 网站、公共租户 API、管理员 API 节点以及管理员和租户身份验证网站。
-
更新管理员和租户网站。
用于获取数据库版本和更新由 MgmtSvc-PowerShellAPI.msi 安装的数据库的脚本存储在以下位置:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database 更新汇总 5 或更早版本的更新汇总进行更新,请按照这些说明更新 WAP 数据库。
如果所有的组件都已更新且按照预期方式运行,则可以打开指向已更新节点的通信。 否则,请参阅“回滚说明”部分。 注意 如果你正在从 Windows Azure Pack 的 -
如果出现问题并且你确定回滚是必需的,请按照以下步骤操作:
-
如果“安装说明”部分步骤 3 的第二个注释中所描述的快照已可用,请应用这些快照。 如果没有快照,请转到下一步。
-
使用“安装说明”部分步骤 3 的第一个和第三个注释中所描述的备份还原数据库和计算机。
注意 不要让系统处于部分更新状态。 在所有安装 Windows Azure Pack 的计算机上执行回滚操作,即使仅在一个节点上更新失败。 我们建议你在每个 Windows Azure Pack 节点上运行 Windows Azure Pack 最佳做法分析器,以确保配置项正确。 -
打开指向已还原节点的通信。