ITSM “Local file disclosure vulnerability” Güvenlik Açığı Hakkında

Görüntülemede sorun yaşıyorsanız tıklayınız
ITSM “Local file disclosure vulnerability” Güvenlik Açığı Hakkında
1. Local file disclosure vulnerability (Yerel Dosya Güvenlik Açığı) Nedir? Local file disclosure vulnerability, oturum açmayan kullanıcıların, ticket oluşturmak için hazırlanmış bir e-posta göndererek sunucu makinelerinden yerel dosya indirmesini sağlar
2. Güvenlik Açığı (CVE-2022-35403) Hangi Versiyonları kapsar? İlk olarak uygulamanızın arayüzünden mevcut versiyon bilginize bakınız. Uygulama Mevcut versiyon bilginizi “About” butonuna tıklayarak öğrenebilirsiniz.

NOT: Uygulama içerisindeki versiyon geçişlerinde gerçekleşen değişiklikleri Release Notes’dan görüntüleyebilirsiniz. Servicedesk Plus Release Notes Linki: ServiceDesk Plus readme, release notes, and version history (manageengine.com) SupportCenter Plus Release Notes Linki: ManageEngine SupportCenter Plus - HotFix README, Enhancements Asset Explorer Release Notes Linki: AssetExplorer ITAM Solution ServicePacks Readme (manageengine.com) Servicedesk Plus MSP Release Notes Linki: ServiceDesk Plus MSP Edition Complete Helpdesk for MSPs (manageengine.com) Aşağıdaki tabloda bu güvenlik açığından etkilenen versiyonlar, önem derecesi ve yükseltilmesi gereken versiyon bilgileri yer almaktadır. Affected Version(s) = Güvenlik açığından etkilenen versiyonlar. Fixed Version = Güvenlik Açığının düzeltildiği versiyon.

Güncelleme işlemi adımları: - Aşağıdaki URL’den yararlanılarak, mevcut kullanmakta olduğunuz versiyon numarasından hangi üst versiyona geçiş yapabileceğinize bakabilirsiniz. Linkteki service pack alanındaki indirme iconuna tıklayarak “ppm” uzantılı güncelleme dosyasını indirebilirsiniz. Servicedesk Plus Upgrade Dosya Linki: https://www.manageengine.com/products/service - desk/on -premises/migration sequence.htm l Support Center Upgrade Dosya Linki: Download service packs - ManageEngine SupportCenter Plus AssetExplorer Upgrade Linki: ManageEngine AssetExplorer ITAM Service Pack Servicedesk Plus MSP Upgrade Linki: ServiceDesk Plus MSP Edition Complete Helpdesk for MSPs (manageengine.com) Not: Current Build = Mevcut Versiyon numaranızı bulun. Move to Build = Geçiş yapılması Gereken Versiyon satırıdır. İndirilen dosya Unblock edilir :

Akabinde uygulama servisi stop edilir ve 2 dakika beklenir. Bu aşamadan sonra uygulama sunucusunun snapshot’ı sağlıklı ve sorunsuz şekilde alınmalıdır. Localhost’da dahili olarak çalışan PGSQL veritabanı yerine uzak bir sunucuda çalışan MSSQL gibi bir DB yapısı kullanılmakta ise “Uygulama sunucusu üzerinden, uygulama servisi stop edildikten sonra hem uygulama sunucusu snapshot’ı hem de DB sunucusunda ilgili database’lerin tam yedeği alınır. Yedekleme işlemleri sağlıklı şekilde gerçekleştirildikten sonra aşağıdaki dizinde bulunan UpdateManager.bat dosyası çalıştırılır. Browse butonu ile update paketi seçilir (.ppm uzantılı güncelleme dosyası)

Install butonuna tıklanır ve işlem başlatılır. Bu süreç, versiyondan versiyona farklı süreler alabilmektedir. İşlem başarı ile gerçekleştirildiğinde aşağıdaki ibareyi görebilirsiniz.

Güncelleme işlemleri tamamlandıktan sonra Services’ den Uygulama servisi başlatılır. Bir üst versiyona başarılı bir şekilde geçtiğimiz gözlemlendiğinde uygulama servisi tekrar stop edip aynı işlemleri bir üst versiyona geçiş için tekrarlayabilirsiniz.