摘要
作为安全审查的一部分,我们确定 Microsoft 持有的私钥(用于支持解锁 Azure Stack Hub 2005 内部版本的 Azure Stack Hub 特权终结点)未得到适当保护。 进一步调查发现没有滥用私钥的证据。 出于谨慎考虑,Microsoft 提供此修补程序以轮换用于此特权终结点支持解锁序列的公钥。
若要使用此私钥,必须满足以下条件:
-
必须具有 Azure Stack Hub 设备的云管理员凭据。
-
必须与 Azure Stack Hub 特权终结点 IP 地址建立网络连接。 请注意,这些 IP 地址位于隔离的基础结构网络上。 在标准部署中,这些地址不会利用可通过 Internet 路由的 IP 地址,使终结点只能从内部/管理网络访问。
-
必须使用私钥来处理质询响应支持令牌,并使用该令牌解锁特权终结点。 这类似于直接与 Microsoft 参与的支持方案,如使用 Azure Stack Hub 中的特权终结点的 Azure Stack Hub 一文中所述。
此修补程序旋转用于解锁 Azure Stack Hub 2005 的 Azure Stack Hub 特权终结点的公钥,并包括所有以前的 2005 修补程序。 强烈建议尽快安装此修补程序。
-
修复了错误引发警报的问题:“无法访问节点以进行 VM 放置。
-
删除了 种子林服务的无效修复接口。
-
提高了物理节点上的 SDN 网络可靠性。
-
已禁 用 winrrm 运行程序。
从以前的修补程序版本汇总的修补程序
-
修复了群集共享卷上的 bug 检查和强制实施的外部密钥保护程序。
-
修复了存储帐户可能由于 SRP 后台使用作业中的 KVS 争用条件而部分还原的问题。
-
修复了以下问题:如果将隧道移动到其他 GW VM,然后删除 VGW,则不会清理虚拟子网。
-
修复了可能导致注册和内部机密轮换失败的问题。
-
修复了内部机密轮换中可能导致下一次更新失败的问题。
-
向故障转储设置添加了特定于内存的设置。
-
重启 SQL VM,以缓解影响门户访问权限的数据库访问的潜在问题。
-
修正后的 SMB 处理由 TableServer 中的 ESENT 错误 59 事件触发的无效问题。
-
包括 AzsInfraRoleSummary Test-Azurestack 测试作为 UpdateReadiness。
-
修补程序&更新期间修正的 ERCS 内存压力。
-
将部署提供程序标识证书包含在内部机密轮换中。
-
提高了网络控制器稳定性。
-
增加网络控制器日志保留,以帮助诊断。
-
默认情况下,将 Get-NetView 添加为 Get-AzureStackLog 集合的一部分。
-
修复了市场下载可能因证书验证错误而失败的问题。
-
改进了 HealthAgent 二进制切换逻辑。
-
改进的群集共享卷在修补程序&更新 (PnU) 后重新均衡。
-
使用 ADSI 在 HealthAgent 中提取本地组成员。
-
添加了缺少的记录,当 WASP VM 在横向扩展和横向扩展期间无法使用 DNS cmdlet 同步记录和区域时。
-
提高了 PnU 期间的存储服务可靠性。
-
删除了在创建内部负载均衡器时导致问题的公共 IP 配额验证。
-
提高了 VM 删除的可靠性:确保删除无法完全创建或添加到群集的新 VM。
-
检查并强制对群集共享卷实施密钥保护程序。
-
修复了导致更新和管理员操作失败的“访问被拒绝”问题。
-
修复了 WhsFaultScanner 在停滞时重新启动以确保为用户正确生成警报的问题。
-
修复了阻止发出存储重新生成遥测事件的业务流程 bug。
-
修复了影响下载后续更新可靠性的问题。
-
改进了基于业务流程协调程序遥测诊断故障的能力。
-
修复了 2005 年 PnU 期间将系统存储帐户移动到系统内部订阅时的 SRP 争用条件。
-
修复了服务器延迟指标中的时间单位缩放错误
-
重启 SQL VM,以缓解影响门户访问权限的数据库访问的潜在问题。
-
修复了恢复已删除存储帐户的保留期配置的问题。
-
提高了存储 Blob 和表服务的可靠性。
-
解决了 Send-AzureStackDiagnosticLog PEP cmdlet 中的问题。
-
更新失败时增加了 HRP 修复时间。
修补程序信息
若要应用此修补程序,必须具有版本 1.2005.6.53 或更高版本。
重要 如 2005 年更新的发行说明中所述,请确保参考使用指定参数) 运行 Test-AzureStack (的更新活动清单,并解决找到的任何操作问题,包括所有警告和故障。 此外,请查看活动警报并解决任何需要操作的警报。
文件信息
下载以下文件。 然后,按照 Microsoft Learn 网站上“在 Azure Stack 中应用更新”页上的说明将此更新应用到 Azure Stack。