Security Update Rollup 9.1 for Windows Azure Pack
Wie alle Leser wissen sollten haben wir bei ACP das Microsoft Azure Pack als Self Service Plattform im Einsatz. Wir konzentrieren uns hauptsächlich auf den IaaS Teil (Details hier), haben aber auch SQL as a Service im Einsatz und bieten das auch an.
Das Update Rollup 8.0 hat uns einige Features neu geliefert und nun steht das Update 9.1 an.
Die Fixes sind diesmal hauptsächlich:
-
Issue 1 – ZeroClipboard cross-site scripting vulnerability
Das Tenant Portal verwendet eine externe Library, die auf Cross-Site Scripting anfällig ist, daher wurde das Update Rollup 9.1 nachgereucht! Hier finden Sie weitere Info zu dieser Bibliothek.
-
Issue 2 – Tenant Public API service vulnerability
Eine weitere Lücke wurde nun geschlossen, da das Tenant-Portal-API (!) für fremde Zertifikats Uploads anfällig war. Damit konnte ein Hacker Zugriff auf eine Subskription erhalten. Voraussetzung war es aber immer, dass der Angreifer die Subscription ID kennt!
Die Installationanleitung und das Rollup Update 9.1 kann hier heruntergeladen werden.
Auf manage.acpcloud.rocks ist es bereits installiert und funktioniert wie erwartet!