徵狀
Windows Azure 套件 (WAP) 的更新彙總套件 13 中存在的安全性弱點,此弱點會造成指令碼插入特定符號,以略過入口網站 UI 限制。 入口網站 UI 會限制 “<script>” 插入所需的特定符號,例如大於 ( < ) 和小於 ( > ) 符號。
透過在 Fiddler 中重播要求,包含 < 和 > 等字元的字串可以當做訂用帳戶名稱傳送。 SubscriptionName 欄位可以設定為最長 128 個字元的任何字串。 在這個案例中,您可以載入並執行不同指令碼,例如 <script src="https://code.jquery.com/jquery-1.10.2.min.js"> 或 <script>alert(document.cookie)</script>。
若要深入了解此弱點,請參閱 Microsoft 一般弱點及安全風險 CVE-2018-8652。
解決方案
下載資訊
Windows Azure 套件的更新套件可透過 Microsoft Update 取得或手動下載。
Microsoft Update
您可以透過 Windows Update 取得此安全性更新。 開啟自動更新後,就會自動下載並安裝此安全性更新。 如需有關如何自動取得安全性更新的詳細資訊,請參閱 Windows Update: 常見問題集。
手動下載更新套件
請前往下列網站,從 Microsoft Update Catalog 手動下載安全性更新套件:
安裝資訊
以下安裝指示適用於下列 Windows Azure 套件元件:
-
租用戶網站
-
租用戶 API
-
租用戶公用 API
-
管理網站
-
系統管理 API
-
驗證
-
Windows 驗證
-
用法
-
監視
-
Microsoft SQL
-
MySQL
-
Web 應用程式庫
-
組態站台
-
最佳做法分析程式
-
PowerShell API
若要安裝每個 Windows Azure 套件元件的更新 .msi 檔案,請依照下列步驟執行:
-
如果系統目前處於運作狀態 (正在處理客戶流量),請排程 Azure 伺服器的停機時間。 Windows Azure 套件目前不支援輪流升級。
-
停止客戶流量或重新導向至您認為滿意的替代網站。
-
建立電腦的備份。
注意事項-
如果您使用虛擬機器,請為虛擬機器的目前狀態建立快照集。
-
如果您未使用虛擬機器,請在每部安裝 WAP 元件的電腦上,為 Inetpub 目錄中的每個 MgmtSvc-* 資料夾建立備份。
-
收集與憑證、主機標頭及任何連接埠變更相關的資訊和檔案。
-
-
如果您的 Windows Azure 套件租用戶網站使用自己的主題,在執行更新之前,請先參閱如何在 Microsoft 升級後保留 Windows Azure 套件主題 (英文)。
-
在執行對應元件的電腦上安裝每個 .msi 檔案,藉此進行更新。 例如,對於在 IIS 中執行 "MgmtSvc-AdminAPI" 網站的電腦,請在該電腦上執行 MgmtSvc-AdminAPI.msi。
-
針對每個處於負載平衡狀態的節點,依照下列順序執行元件更新:
-
如果您使用由 WAP 安裝的原始自我簽署憑證,更新作業將會取代憑證。 您必須匯出新憑證,再匯入其他處於負載平衡狀態的節點。 這些憑證具有 CN=MgmtSvc-* (自我簽署) 的命名模式。
-
視需要更新資源提供者 (BP) 服務 (SQL Server、My SQL、SPF/VMM、網站), 並且確認 RP 網站正在執行中。
-
更新租用戶 API 網站、公用租用戶 API、系統管理員 API 節點、系統管理員和租用戶驗證網站。
-
更新系統管理員和租用戶網站。
取得資料庫版本並更新 MgmtSvc-PowerShellAPI.msi 所安裝之資料庫的指令碼會儲存在下列位置:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database 更新彙總套件 5 或先前的版本,請依照這些指示更新 WAP 資料庫。
如果所有元件都已更新且如預期般運作,就可以開放傳輸到已更新之節點的流量。 否則,請參閱<復原指示>一節。 注意:如果您要更新 Windows Azure 套件 -
如果發生問題且您判斷需要進行復原,請依照下列步驟執行:
-
如果您已依照<安裝指示>一節中步驟 3 的第二點注意事項所述備妥快照集,請套用快照集。 如果沒有可用的快照集,請前往下一個步驟。
-
使用依照<安裝指示>一節中步驟 3 的第一和第三點注意事項所述而建立的備份,還原資料庫和電腦。
注意:請勿讓系統處於部分更新的狀態。 請針對所有安裝 Windows Azure 套件的電腦執行復原作業 (即使只有一個節點的更新作業失敗)。 建議您,在每個 Windows Azure 套件節點上執行 Windows Azure 套件最佳做法分析程式,以確認組態項目正確無誤。 -
開放傳輸到已還原之節點的流量。