Aktualizácia na zabezpečenie nedostatočného zabezpečenia IDOR v nástroji System Center Operations Manager (KB5006871)

Úvod

Tento článok popisuje problém, ktorý je opravený v nástroji System Center Operations Manager 2019, 2016 & 2012 R2. Tento článok obsahuje aj pokyny na inštaláciu tejto aktualizácie. Ďalšie informácie nájdete v týchto bežných rizikách a rizikách (CVE): 

CVE-2021-41352 | Nedostatočné zabezpečenie informácií od spoločnosti SCOM

Problém bol opravený v tejto aktualizácii

Nedostatočné zabezpečenie odkazu na priamy objekt (IDOR) na webových lokalitách APM, ktoré používateľom umožňujú prístup k ľubovoľnému súboru vo webovom priečinku a získanie prístupu k obsahu súboru.

Požiadavky

Ak chcete použiť túto aktualizáciu, musíte mať aktualizáciu nižšie.

• Súhrnná aktualizácia 3 pre System Center Operations Manager 2019

• Súhrnná aktualizácia 10 pre Operations Manager centra System Center 2016

• Súhrnná aktualizácia 14 pre Operations Manager centra System Center 2012 R2

Súbory, ktoré sú súčasťou tejto aktualizácie

KB5006871-AMD64-WebConsole-<SCOM verzie>.msp

Pokyny na inštaláciu

1. Stiahnite si samoobslužný výbalok z nižšie uvedených umiestnení.

   1. Operations Manager 2012 R2 - here.

   2. Operations Manager 2016 – here.

   3. Operations Manager 2019 - here.

2. Extrahujte súbor do lokálneho priečinka.

3. Pomocou príkazu bez oprávnení spustite extrahovaný súbor MSP (KB5006871-AMD64-WebConsole-<SCOM verzie>.msp) na serveroch webovej konzoly.