Windows Azure 套件的安全性更新彙總套件 9.1


本文所描述的更新已被一個更新的更新彙總套件取代。我們建議您安裝最新更新。如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

3158609 Windows Azure 套件的更新彙總套件 10

結論

本文章說明 Windows Azure 套件更新彙總套件 9.1 (檔案版本 3.32.8196.12) 所修正的安全性問題。此外,它也包含彙總套件的安裝指示。

此更新彙總套件所修正的問題

問題 1 - ZeroClipboard 跨網站指令碼弱點

WAP 9.1 之前的版本含有容易遭受跨網站指令碼 (XSS) 攻擊的 ZeroClipboard 版本 (v 1.1.7)。WAP 安全性更新彙總套件 9.1 含有更新的 ZeroClipboard 1.3.5 版,該版本解決了這個弱點。您可以在這裡找到詳細資訊。

影響 ZeroClipboard 位於管理入口網站、租用戶入口網站及租用戶驗證服務中。有心人士可以透過前述所有服務利用該弱點。服務提供者通常會禁止租用戶存取管理入口網站,不過租用戶普遍可以取用租用戶入口網站和租用戶驗證服務。請注意,生產環境部署不支援租用戶驗證服務。如果攻擊成功,有心人士將能執行 WAP 管理員或租用戶使用者能在應用程式中執行的所有功能。有心人士還能藉由這個 Bug 來攻擊受害者的瀏覽器或工作站,抑或是建立或存取租用戶資源 (如虛擬機器或 SQL Server)。由於同盟驗證伺服器同樣容易遭受攻擊,因此有心人士也可能使用其他攻擊選項。

問題 2 - 租用戶公用 API 服務弱點

在 WAP 9.1 之前的版本中,活動中的租用戶攻擊者能透過公用租用戶 API 服務上傳憑證,並使其與目標租用戶的訂閱識別碼相關聯。如此一來,攻擊者將能取得目標租用戶資源的存取權限。更新彙總套件 9.1 會封鎖這類攻擊。

影響有心人士能使用這個弱點來存取 WAP 租用戶公用 API 服務。不過,若要得手,攻擊者必須知道受害者的 subscriptionId。讓有心人士取得 subscriptionId 的可能情況至少有一種。應用程式可讓系統管理員建立共同管理員。當有心人士以共同管理員身分登入時,他們將能得知 subscriptionId。如果這個共同管理員太慢遭到移除,他們便可以執行攻擊。

以下安裝指示適用於下列 Windows Azure 套件元件:

  • 租用戶網站

  • 租用戶 API

  • 租用戶公用 API

  • 管理網站

  • 系統管理 API

  • 驗證

  • Windows 驗證

  • 用法

  • 監視

  • Microsoft SQL

  • MySQL

  • Web 應用程式庫

  • 組態站台

  • 最佳做法分析程式

  • PowerShell API

若要安裝每個 Windows Azure 套件 (WAP) 元件的更新 .msi 檔案,請依照下列步驟執行:

  1. 如果系統目前處於運作狀態 (正在處理客戶流量),請排程 Azure 套件伺服器的停機時間。Windows Azure 套件目前不支援循環式升級。

  2. 停止客戶流量或重新導向至您滿意的站台。

  3. 建立 Web 伺服器和 SQL Server 資料庫的備份映像。

    注意

    • 如果您正在使用虛擬機器,請為它們目前的狀態建立快照集。

    • 如果您未使用 VM,請在每部安裝 WAP 元件的電腦上,為 Inetpub 目錄中的每個 MgmtSvc-* 資料夾建立備份。

    • 收集與憑證、主機標頭及任何連接埠變更相關的資訊和檔案。

  4. 如果您的 Windows Azure 套件租用戶網站目前使用自己的佈景主題,在執行更新之前,請遵循以下指示保留佈景主題變更。

  5. 在執行對應元件的電腦上執行每個 .msi 檔案,藉此進行更新。例如,對於在 Internet Information Services (IIS) 中執行 "MgmtSvc-AdminAPI" 站台的電腦,請在該電腦上執行 MgmtSvc-AdminAPI.msi。

  6. 針對每個處於負載平衡狀態的節點,請依照下列順序執行元件更新:

    1. 如果您使用由 WAP 安裝的原始自我簽署憑證,更新作業將會取代憑證。您必須匯出新憑證,再匯入其他處於負載平衡狀態的節點。這些憑證具有 CN=MgmtSvc-* (自我簽署) 的命名模式。

    2. 視需要更新資源提供者 (BP) 服務 (SQL Server、My SQL、SPF/VMM、網站)。請確認 RP 站台正在執行中。

    3. 更新租用戶 API 網站、公用租用戶 API、系統管理員 API 節點、系統管理員和租用戶驗證網站。

    4. 更新系統管理員和租用戶網站。

  7. 取得資料庫版本和更新 MgmtSvc-PowerShellAPI.msi 安裝之資料庫的指令碼會儲存在下列位置:

    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database

  8. 如果所有元件均已更新且如預期般運作,您便可以開放傳輸到已更新之節點的流量。否則,請參閱<復原指示>一節。

注意 如果您要更新 Windows Azure 套件更新彙總套件 5 或更早之前的版本,請遵循以下指示來更新 WAP 資料庫。

如果發生問題且您認為需要進行復原,請遵循下列步驟:

  1. 如果您已備妥<安裝指示>一節中步驟 3 之第二點注意事項的快照集,請套用快照集。如果沒有可用的快照集,請前往下一個步驟。

  2. 使用在<安裝指示>一節中步驟 3 之第一和第三點注意事項建立的備份來還原資料庫和電腦。

    注意 請勿讓系統處於部分更新狀態。請針對所有安裝 Windows Azure 套件的電腦執行復原作業 (即使某個節點上的更新作業失敗)。

    建議做法 在每個 Windows Azure 套件節點上執行 Windows Azure 套件最佳做法分析程式,確認組態項目正確無誤。

  3. 開放傳輸到已還原之節點的流量。


下載指示從 Microsoft Update 或藉由手動下載即可取得 Windows Azure 套件的更新套件。

Microsoft Update若要從 Microsoft Update 取得並安裝更新套件,請在已安裝適當元件的電腦上執行下列步驟:

  1. 按一下 [開始],然後按一下 [控制台]。

  2. 在 [控制台] 中,按兩下 [Windows Update]。

  3. 在 [Windows Update] 視窗中,按一下 [線上檢查來自 Microsoft Update 的更新]。

  4. 按一下 [有可用的重要更新]。

  5. 選取要安裝的 [更新彙總套件] 套件,然後按一下 [確定]。

  6. 選取 [安裝更新] 以安裝選取的更新套件。

手動下載更新套件前往下列網站來從 Microsoft Update Catalog 手動下載更新套件:

立即下載更新套件

已變更的檔案

版本

MgmtSvc-SQLServer.msi

3.32.8196.12

MgmtSvc-TenantAPI.msi

3.32.8196.12

MgmtSvc-TenantPublicAPI.msi

3.32.8196.12

MgmtSvc-TenantSite.msi

3.32.8196.12

MgmtSvc-Usage.msi

3.32.8196.12

MgmtSvc-WebAppGallery.msi

3.32.8196.12

MgmtSvc-WindowsAuthSite.msi

3.32.8196.12

MgmtSvc-AdminAPI.msi

3.32.8196.12

MgmtSvc-AdminSite.msi

3.32.8196.12

MgmtSvc-AuthSite.msi

3.32.8196.12

MgmtSvc-Bpa.msi

3.32.8196.12

MgmtSvc-ConfigSite.msi

3.32.8196.12

MgmtSvc-Monitoring.msi

3.32.8196.12

MgmtSvc-MySQL.msi

3.32.8196.12

MgmtSvc-PowerShellAPI.msi

3.32.8196.12


Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×