១.ព័ត៌មានទូទៅ
នាពេលថ្មីៗនេះក្រុមហ៊ុន VMware បានចេញសេចក្តីណែនាំសន្តិសុខ (VMSA-2020-0016) បន្ទាន់មួយអំពីការទប់ស្កាត់ទៅលើភាពងាយរងគ្រោះ ដើម្បីបិទចន្លោះប្រហោង (ចំណុចខ្សោយ) ចំនួនមួយ (០១) ដែលមាននៅក្នុងកម្មវិធី VeloCloud Orchestrator សម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Linux។
- ចំណុចខ្សោយដែលមានលេខសម្គាល់ CVE-2020-3973 ជាប្រភេទ input validation ដែលមានកម្រិតសុវត្ថិភាពធ្ងន់ធ្ងរមធ្យម និងទទួលបានពិន្ទុ CVSSv3 8.5 អាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចធ្វើការ បញ្ចូលព័ត៌មានដែលមិនត្រឹមត្រូវដូចជា SQL-injection។
២.ផលិតផលប៉ះពាល់ដែលរងផលប៉ះពាល់
- VeloCloud Orchestrator ដែលមានកំណែ 3.x និងកំណែមុននេះ
៣.ផលវិបាក
ការវាយប្រហារដោយជោគជ័យលើចំណុចខ្សោយខាងលើនេះអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដំណើរការកូដ SQL-injection ដើម្បីទាញយកទិន្នន័យសំខាន់ៗ ។
៤.អនុសាសន៏ណែនាំ
- ការិយាល័យ CamCERT សូមផ្តល់អនុសាសន៍ឱ្យអភិបាលគ្រប់គ្រងប្រព័ន្ធ និងអ្នកប្រើប្រាស់ទាំងអស់ធ្វើបច្ចុប្បន្នភាព ជាបន្ទាន់តាមតែធ្វើទៅបាន។
- សូមធ្វើបច្ចុប្បន្នភាពទៅកំណែ 3.4.0
៥.សម្រាប់ព័ត៌មានបន្ថែម
- https://us-cert.cisa.gov/ncas/current-activity/2020/07/08/vmware-releases-security-update-velocloud
- https://www.vmware.com/security/advisories/VMSA-2020-0016.html
