การอัปเดตช่องโหว่ของ IDOR ใน System Center Operations Manager (KB5006871)

บทนำ

บทความนี้จะอธิบายเกี่ยวกับปัญหาที่ได้รับการแก้ไขแล้วใน System Center Operations Manager 2019, 2016 & 2012 R2 บทความนี้ยังมีคําแนะนําในการติดตั้งการอัปเดตนี้ ดูข้อมูลเพิ่มเติมที่ ช่องโหว่ทั่วไปและแสง (CVE) ต่อไปนี้: 

CVE-2021-41352 | ช่องโหว่ในการเปิดเผยข้อมูลของ SCOM

ปัญหาได้รับการแก้ไขในการอัปเดตนี้

ช่องโหว่ที่ไม่ปลอดภัย Direct Object Reference (IDOR) ในเว็บไซต์ APM ที่ช่วยให้ผู้ใช้สามารถเข้าถึงไฟล์ใดๆ ภายใต้โฟลเดอร์เว็บและเข้าถึงเนื้อหาไฟล์ได้

ข้อกำหนดเบื้องต้น

เมื่อต้องการใช้การอัปเดตนี้ คุณต้องมีการอัปเดตด้านล่างตามลําดับ

• Rollup การอัปเดต 3 for System Center Operations Manager 2019

• Rollup การอัปเดต 10 ของ System Center 2016 Operations Manager

• Rollup ของการอัปเดต 14 for System Center 2012 R2 Operations Manager

ไฟล์ต่างๆ ที่รวมอยู่ในการอัปเดตนี้

KB5006871-AMD64-WebConsole-<SCOM version>.msp

คําแนะนําในการติดตั้ง

1. ดาวน์โหลดตัวแยกตัวเองจากด้านล่างของที่ตั้ง

   1. Operations Manager 2012 R2 -here

   2. ตัวจัดการการดําเนินการ 2016 -ที่นี่

   3. ตัวจัดการการดําเนินการ 2019 -ที่นี่

2. แยกไฟล์ไปยังโฟลเดอร์ภายในเครื่อง

3. เรียกใช้ MSP ที่แยกออกมา (KB5006871-AMD64-WebConsole-<SCOM เวอร์ชัน>.msp) บนเซิร์ฟเวอร์ Web Console จากสั่งที่ยกระดับ