本文所描述的更新已被一個更新的更新彙總套件取代。我們建議您安裝最新更新。如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
3158609 Windows Azure 套件的更新彙總套件 10
結論
本文章說明 Windows Azure 套件更新彙總套件 9.1 (檔案版本 3.32.8196.12) 所修正的安全性問題。此外,它也包含彙總套件的安裝指示。
此更新彙總套件所修正的問題
問題 1 - ZeroClipboard 跨網站指令碼弱點
WAP 9.1 之前的版本含有容易遭受跨網站指令碼 (XSS) 攻擊的 ZeroClipboard 版本 (v 1.1.7)。WAP 安全性更新彙總套件 9.1 含有更新的 ZeroClipboard 1.3.5 版,該版本解決了這個弱點。您可以在這裡找到詳細資訊。
影響 ZeroClipboard 位於管理入口網站、租用戶入口網站及租用戶驗證服務中。有心人士可以透過前述所有服務利用該弱點。服務提供者通常會禁止租用戶存取管理入口網站,不過租用戶普遍可以取用租用戶入口網站和租用戶驗證服務。請注意,生產環境部署不支援租用戶驗證服務。如果攻擊成功,有心人士將能執行 WAP 管理員或租用戶使用者能在應用程式中執行的所有功能。有心人士還能藉由這個 Bug 來攻擊受害者的瀏覽器或工作站,抑或是建立或存取租用戶資源 (如虛擬機器或 SQL Server)。由於同盟驗證伺服器同樣容易遭受攻擊,因此有心人士也可能使用其他攻擊選項。
問題 2 - 租用戶公用 API 服務弱點
在 WAP 9.1 之前的版本中,活動中的租用戶攻擊者能透過公用租用戶 API 服務上傳憑證,並使其與目標租用戶的訂閱識別碼相關聯。如此一來,攻擊者將能取得目標租用戶資源的存取權限。更新彙總套件 9.1 會封鎖這類攻擊。
影響有心人士能使用這個弱點來存取 WAP 租用戶公用 API 服務。不過,若要得手,攻擊者必須知道受害者的 subscriptionId。讓有心人士取得 subscriptionId 的可能情況至少有一種。應用程式可讓系統管理員建立共同管理員。當有心人士以共同管理員身分登入時,他們將能得知 subscriptionId。如果這個共同管理員太慢遭到移除,他們便可以執行攻擊。
以下安裝指示適用於下列 Windows Azure 套件元件:
-
租用戶網站
-
租用戶 API
-
租用戶公用 API
-
管理網站
-
系統管理 API
-
驗證
-
Windows 驗證
-
用法
-
監視
-
Microsoft SQL
-
MySQL
-
Web 應用程式庫
-
組態站台
-
最佳做法分析程式
-
PowerShell API
若要安裝每個 Windows Azure 套件 (WAP) 元件的更新 .msi 檔案,請依照下列步驟執行:
-
如果系統目前處於運作狀態 (正在處理客戶流量),請排程 Azure 套件伺服器的停機時間。Windows Azure 套件目前不支援循環式升級。
-
停止客戶流量或重新導向至您滿意的站台。
-
建立 Web 伺服器和 SQL Server 資料庫的備份映像。
注意-
如果您正在使用虛擬機器,請為它們目前的狀態建立快照集。
-
如果您未使用 VM,請在每部安裝 WAP 元件的電腦上,為 Inetpub 目錄中的每個 MgmtSvc-* 資料夾建立備份。
-
收集與憑證、主機標頭及任何連接埠變更相關的資訊和檔案。
-
-
如果您的 Windows Azure 套件租用戶網站目前使用自己的佈景主題,在執行更新之前,請遵循以下指示保留佈景主題變更。
-
在執行對應元件的電腦上執行每個 .msi 檔案,藉此進行更新。例如,對於在 Internet Information Services (IIS) 中執行 "MgmtSvc-AdminAPI" 站台的電腦,請在該電腦上執行 MgmtSvc-AdminAPI.msi。
-
針對每個處於負載平衡狀態的節點,請依照下列順序執行元件更新:
-
如果您使用由 WAP 安裝的原始自我簽署憑證,更新作業將會取代憑證。您必須匯出新憑證,再匯入其他處於負載平衡狀態的節點。這些憑證具有 CN=MgmtSvc-* (自我簽署) 的命名模式。
-
視需要更新資源提供者 (BP) 服務 (SQL Server、My SQL、SPF/VMM、網站)。請確認 RP 站台正在執行中。
-
更新租用戶 API 網站、公用租用戶 API、系統管理員 API 節點、系統管理員和租用戶驗證網站。
-
更新系統管理員和租用戶網站。
-
-
取得資料庫版本和更新 MgmtSvc-PowerShellAPI.msi 安裝之資料庫的指令碼會儲存在下列位置:
C:\Program Files\Management Service\MgmtSvc-PowerShellAPI\Samples\Database
-
如果所有元件均已更新且如預期般運作,您便可以開放傳輸到已更新之節點的流量。否則,請參閱<復原指示>一節。
注意 如果您要更新 Windows Azure 套件更新彙總套件 5 或更早之前的版本,請遵循以下指示來更新 WAP 資料庫。
下載指示從 Microsoft Update 或藉由手動下載即可取得 Windows Azure 套件的更新套件。
Microsoft Update若要從 Microsoft Update 取得並安裝更新套件,請在已安裝適當元件的電腦上執行下列步驟:
-
按一下 [開始],然後按一下 [控制台]。
-
在 [控制台] 中,按兩下 [Windows Update]。
-
在 [Windows Update] 視窗中,按一下 [線上檢查來自 Microsoft Update 的更新]。
-
按一下 [有可用的重要更新]。
-
選取要安裝的 [更新彙總套件] 套件,然後按一下 [確定]。
-
選取 [安裝更新] 以安裝選取的更新套件。
手動下載更新套件前往下列網站來從 Microsoft Update Catalog 手動下載更新套件:
已變更的檔案 |
版本 |
---|---|
MgmtSvc-SQLServer.msi |
3.32.8196.12 |
MgmtSvc-TenantAPI.msi |
3.32.8196.12 |
MgmtSvc-TenantPublicAPI.msi |
3.32.8196.12 |
MgmtSvc-TenantSite.msi |
3.32.8196.12 |
MgmtSvc-Usage.msi |
3.32.8196.12 |
MgmtSvc-WebAppGallery.msi |
3.32.8196.12 |
MgmtSvc-WindowsAuthSite.msi |
3.32.8196.12 |
MgmtSvc-AdminAPI.msi |
3.32.8196.12 |
MgmtSvc-AdminSite.msi |
3.32.8196.12 |
MgmtSvc-AuthSite.msi |
3.32.8196.12 |
MgmtSvc-Bpa.msi |
3.32.8196.12 |
MgmtSvc-ConfigSite.msi |
3.32.8196.12 |
MgmtSvc-Monitoring.msi |
3.32.8196.12 |
MgmtSvc-MySQL.msi |
3.32.8196.12 |
MgmtSvc-PowerShellAPI.msi |
3.32.8196.12 |