本文介绍的更新已由较新的更新汇总所取代。我们建议你安装最新的更新程序。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
3158609 Windows Azure Pack 的更新汇总 10
概要
本文介绍了在 Windows Azure Pack 的更新汇总 9.1(文件版本 3.32.8196.12)中修复的安全问题。还包含此汇总的安装说明。
此更新汇总中修复的问题
问题 1 - ZeroClipboard 跨网站脚本漏洞
WAP 9.1 之前的版本包含易受跨网站脚本 (XSS) 攻击的 ZeroClipboard (v 1.1.7) 版本。WAP 的安全更新汇总 9.1 包含已更新的 ZeroClipboard 版本 1.3.5,这解决了此漏洞。你可以在此处找到相关的详细信息。
影响 ZeroClipboard 是在管理员和租户门户以及租户身份验证服务中被发现的。此漏洞可在所有这些服务上被利用。服务提供商通常保持不允许租户访问管理员门户,但通常允许租户访问租户门户和租户身份验证服务。请注意,租户身份验证服务在生产部署中不受支持。如果攻击成功,对手可以运行 WAP 管理员或租户用户可以在应用程序中运行的任何程序。对手还可以基于此错误建立并攻击受害者的浏览器或工作站,或者创建或访问租户资源(如虚拟机或 SQL Server)。因为此联合身份验证服务器也易受到攻击,其他攻击选项可能也可用。
问题 2 - 租户公共 API 服务漏洞
在 WAP 9.1 之前的版本中,活跃的租户攻击者可通过公共租户 API 服务上传证书并将其与目标租户的订阅 ID 相关联。这让攻击者获得访问目标租户资源的权限。更新汇总 9.1 阻止此类攻击。
影响 对手可以利用此权限访问 WAP 租户公共 API 服务。然而,为此,攻击者必须知道受害者的订阅 ID。对手至少有一种可行的方案来获得访问订阅 ID 的权限。该应用程序可让管理员创建共同管理员。当某人以共同管理员身份登录时,他们便会知道订阅 ID。如果之后删除此共同管理员,他们便能进行攻击。
这些安装说明适用于以下 Windows Azure Pack 组件:
-
租户网站
-
租户 API
-
租户公共 API
-
管理网站
-
管理 API
-
身份验证
-
Windows 身份验证
-
使用情况
-
监视
-
Microsoft SQL
-
MySQL
-
Web 应用程序库
-
配置网站
-
最佳做法分析器
-
PowerShell API
若要为每个 Windows Azure Pack (WAP) 组件安装更新 .msi 文件,请按照下列步骤操作:
-
如果系统当前可操作(处理客户通信),请为 Azure Pack 服务器安排停机时间。Windows Azure Pack 当前不支持滚动升级。
-
停止客户通信或将其重定向到你认为满意的网站。
-
创建 Web 服务器和 SQL Server 数据库的备份映像。
注意-
如果你正在使用虚拟机,请拍摄它们当前状态的快照。
-
如果你未在使用虚拟机,则在每个安装了 WAP 组件的计算机上,对 Inetpub 目录中的每个 MgmtSvc-* 文件夹进行备份。
-
收集与你的证书、主机头和任何端口更改有关的信息和文件。
-
-
如果你正在使用自己的 Windows Azure Pack 租户网站主题,请按照以下说明在运行更新程序之前保留主题更改。
-
通过运行正在运行相应组件的计算机上的每个 .msi 文件运行更新。例如,在正在 Internet Information Services (IIS) 中运行“MgmtSvc-AdminAPI”站点的计算机上运行 MgmtSvc-AdminAPI.msi。
-
对于负载平衡下的每个节点,请按照以下顺序运行组件更新:
-
如果你正在使用 WAP 安装的原始自签名证书,它们将被该更新操作所代替。必须先导出新证书,然后将它导入到负载平衡下的其他节点。这些证书有一个 CN=MgmtSvc-*(自签名)命名模式。
-
根据需要更新资源提供程序 (RP) 服务(SQL Server、My SQL、SPF/VMM、网站)。确保 RP 网站正在运行。
-
更新租户 API 网站、公共租户 API、管理员 API 节点以及管理员和租户身份验证网站。
-
更新管理员和租户网站。
-
-
用于获取数据库版本和更新由 MgmtSvc-PowerShellAPI.msi 安装的数据库的脚本存储在以下位置:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
如果所有的组件都已更新且按照预期方式运行,则可以打开指向已更新节点的通信。否则,请参阅“回滚说明”部分。
注意 如果你正在从 Windows Azure Pack 的更新汇总 5 或更早版本的更新汇总进行更新,请按照这些说明更新 WAP 数据库。
下载说明可从 Microsoft 更新下载或手动下载 Windows Azure Pack 更新程序包。
Microsoft 更新若要从 Microsoft 更新获取和安装更新程序包,请在已安装可用组件的计算机上按照下列步骤操作:
-
单击“开始”,然后单击“控制面板”。
-
在“控制面板”中,双击“Windows 更新”。
-
在“Windows 更新”窗口中,单击“联机查找‘Microsoft 更新’中的更新”。
-
单击“重要更新可用”。
-
选择你想要安装的更新汇总程序包,然后单击“确认”。
-
选择“安装更新”以安装所选更新程序包。
手动下载更新程序包转到以下网站,从 Microsoft 更新目录手动下载更新程序包:
已更改的文件 |
版本 |
---|---|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
MgmtSvc-Usage.msi |
3.32.8196.12 |
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
MgmtSvc-Bpa.msi |
3.32.8196.12 |
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
MgmtSvc-MySQL.msi |
3.32.8196.12 |
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |