Windows Azure 套件的安全性更新彙總套件 9.1

注意事項
本文所描述的更新已被一個更新的更新彙總套件取代。我們建議您安裝最新更新。如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
3158609 Windows Azure 套件的更新彙總套件 10
結論
本文章說明 Windows Azure 套件更新彙總套件 9.1 (檔案版本 3.32.8196.12) 所修正的安全性問題。此外,它也包含彙總套件的安裝指示。
此更新彙總套件所修正的問題

問題 1 - ZeroClipboard 跨網站指令碼弱點

WAP 9.1 之前的版本含有容易遭受跨網站指令碼 (XSS) 攻擊的 ZeroClipboard 版本 (v 1.1.7)。WAP 安全性更新彙總套件 9.1 含有更新的 ZeroClipboard 1.3.5 版,該版本解決了這個弱點。您可以在這裡找到詳細資訊。

影響 ZeroClipboard 位於管理入口網站、租用戶入口網站及租用戶驗證服務中。有心人士可以透過前述所有服務利用該弱點。服務提供者通常會禁止租用戶存取管理入口網站,不過租用戶普遍可以取用租用戶入口網站和租用戶驗證服務。請注意,生產環境部署不支援租用戶驗證服務。如果攻擊成功,有心人士將能執行 WAP 管理員或租用戶使用者能在應用程式中執行的所有功能。有心人士還能藉由這個 Bug 來攻擊受害者的瀏覽器或工作站,抑或是建立或存取租用戶資源 (如虛擬機器或 SQL Server)。由於同盟驗證伺服器同樣容易遭受攻擊,因此有心人士也可能使用其他攻擊選項。

問題 2 - 租用戶公用 API 服務弱點

在 WAP 9.1 之前的版本中,活動中的租用戶攻擊者能透過公用租用戶 API 服務上傳憑證,並使其與目標租用戶的訂閱識別碼相關聯。如此一來,攻擊者將能取得目標租用戶資源的存取權限。更新彙總套件 9.1 會封鎖這類攻擊。

影響有心人士能使用這個弱點來存取 WAP 租用戶公用 API 服務。不過,若要得手,攻擊者必須知道受害者的 subscriptionId。讓有心人士取得 subscriptionId 的可能情況至少有一種。應用程式可讓系統管理員建立共同管理員。當有心人士以共同管理員身分登入時,他們將能得知 subscriptionId。如果這個共同管理員太慢遭到移除,他們便可以執行攻擊。

安裝指示

以下安裝指示適用於下列 Windows Azure 套件元件:
  • 租用戶網站
  • 租用戶 API
  • 租用戶公用 API
  • 管理網站
  • 系統管理 API
  • 驗證
  • Windows 驗證
  • 用法
  • 監視
  • Microsoft SQL
  • MySQL
  • Web 應用程式庫
  • 組態站台
  • 最佳做法分析程式
  • PowerShell API
若要安裝每個 Windows Azure 套件 (WAP) 元件的更新 .msi 檔案,請依照下列步驟執行:
  1. 如果系統目前處於運作狀態 (正在處理客戶流量),請排程 Azure 套件伺服器的停機時間。Windows Azure 套件目前不支援循環式升級。
  2. 停止客戶流量或重新導向至您滿意的站台。
  3. 建立 Web 伺服器和 SQL Server 資料庫的備份映像。

    注意
    • 如果您正在使用虛擬機器,請為它們目前的狀態建立快照集。
    • 如果您未使用 VM,請在每部安裝 WAP 元件的電腦上,為 Inetpub 目錄中的每個 MgmtSvc-* 資料夾建立備份。
    • 收集與憑證、主機標頭及任何連接埠變更相關的資訊和檔案。
  4. 如果您的 Windows Azure 套件租用戶網站目前使用自己的佈景主題,在執行更新之前,請遵循以下指示保留佈景主題變更。
  5. 在執行對應元件的電腦上執行每個 .msi 檔案,藉此進行更新。例如,對於在 Internet Information Services (IIS) 中執行 "MgmtSvc-AdminAPI" 站台的電腦,請在該電腦上執行 MgmtSvc-AdminAPI.msi。
  6. 針對每個處於負載平衡狀態的節點,請依照下列順序執行元件更新:
    1. 如果您使用由 WAP 安裝的原始自我簽署憑證,更新作業將會取代憑證。您必須匯出新憑證,再匯入其他處於負載平衡狀態的節點。這些憑證具有 CN=MgmtSvc-* (自我簽署) 的命名模式。
    2. 視需要更新資源提供者 (BP) 服務 (SQL Server、My SQL、SPF/VMM、網站)。請確認 RP 站台正在執行中。
    3. 更新租用戶 API 網站、公用租用戶 API、系統管理員 API 節點、系統管理員和租用戶驗證網站。
    4. 更新系統管理員和租用戶網站。
  7. 取得資料庫版本和更新 MgmtSvc-PowerShellAPI.msi 安裝之資料庫的指令碼會儲存在下列位置:
    C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
  8. 如果所有元件均已更新且如預期般運作,您便可以開放傳輸到已更新之節點的流量。否則,請參閱<復原指示>一節。
注意 如果您要更新 Windows Azure 套件更新彙總套件 5 或更早之前的版本,請遵循以下指示來更新 WAP 資料庫。

復原指示

如果發生問題且您認為需要進行復原,請遵循下列步驟:
  1. 如果您已備妥<安裝指示>一節中步驟 3 之第二點注意事項的快照集,請套用快照集。如果沒有可用的快照集,請前往下一個步驟。
  2. 使用在<安裝指示>一節中步驟 3 之第一和第三點注意事項建立的備份來還原資料庫和電腦。

    注意 請勿讓系統處於部分更新狀態。請針對所有安裝 Windows Azure 套件的電腦執行復原作業 (即使某個節點上的更新作業失敗)。

    建議做法 在每個 Windows Azure 套件節點上執行 Windows Azure 套件最佳做法分析程式,確認組態項目正確無誤。
  3. 開放傳輸到已還原之節點的流量。

下載指示

從 Microsoft Update 或藉由手動下載即可取得 Windows Azure 套件的更新套件。

Microsoft Update

若要從 Microsoft Update 取得並安裝更新套件,請在已安裝適當元件的電腦上執行下列步驟:
  1. 按一下 [開始],然後按一下 [控制台]
  2. 在 [控制台] 中,按兩下 [Windows Update]
  3. 在 [Windows Update] 視窗中,按一下 [線上檢查來自 Microsoft Update 的更新]
  4. 按一下 [有可用的重要更新]
  5. 選取要安裝的 [更新彙總套件] 套件,然後按一下 [確定]
  6. 選取 [安裝更新] 以安裝選取的更新套件。

手動下載更新套件

前往下列網站來從 Microsoft Update Catalog 手動下載更新套件:

此更新彙總套件更新的檔案

已變更的檔案版本
MgmtSvc-SQLServer.msi3.32.8196.12
MgmtSvc-TenantAPI.msi3.32.8196.12
MgmtSvc-TenantPublicAPI.msi3.32.8196.12
MgmtSvc-TenantSite.msi3.32.8196.12
MgmtSvc-Usage.msi3.32.8196.12
MgmtSvc-WebAppGallery.msi3.32.8196.12
MgmtSvc-WindowsAuthSite.msi3.32.8196.12
MgmtSvc-AdminAPI.msi3.32.8196.12
MgmtSvc-AdminSite.msi3.32.8196.12
MgmtSvc-AuthSite.msi3.32.8196.12
MgmtSvc-Bpa.msi3.32.8196.12
MgmtSvc-ConfigSite.msi3.32.8196.12
MgmtSvc-Monitoring.msi3.32.8196.12
MgmtSvc-MySQL.msi3.32.8196.12
MgmtSvc-PowerShellAPI.msi3.32.8196.12
內容

文章識別碼:3146301 - 最後檢閱時間:06/27/2016 14:26:00 - 修訂: 2.0

Microsoft System Center 2012 R2, Windows Azure Pack

  • kbsurveynew kbfix kbbug kbexpertiseinter kbsecbulletin kbsecvulnerability atdownload kbsecurity KB3146301
意見反應