# ተጽዕኖ የLibreNMS ስሪቶች 24.9.1 እና ቀደም ብሎ የተረጋገጡ ተጠቃሚዎች የስርዓተ ክወና ትዕዛዝ መርፌ [S2] እንዲፈጽሙ የሚያስችል ተጋላጭነት አላቸው። ስኬታማ ብዝበዛ የዘፈቀደ ትዕዛዞችን ከድር አገልጋይ ተጠቃሚ [S1] መብቶች ጋር ማስፈጸሚያ ያስችላል። ይህ ወደ ሙሉ የስርዓት መደራደር፣ ያልተፈቀደ የክትትል ውሂብ መዳረሻ እና በሊብሬኤንኤምኤስ [S2] በሚተዳደረው የአውታረ መረብ መሠረተ ልማት ውስጥ ሊኖር የሚችል የጎን እንቅስቃሴን ያስከትላል።
የስር መንስኤ
ተጋላጭነቱ ወደ ኦፐሬቲንግ ሲስተም ትዕዛዝ [S1] ከመካተቱ በፊት በተጠቃሚ የሚቀርብ ግብአት ተገቢ ባልሆነ ገለልተኛነት ላይ የተመሰረተ ነው። ይህ ጉድለት እንደ CWE-78 [S1] ተመድቧል። በተጎዱት ስሪቶች ውስጥ፣ የተወሰኑ የተረጋገጡ የመጨረሻ ነጥቦች መለኪያዎችን ወደ የስርዓት ደረጃ አፈጻጸም ተግባራት [S2] ከማለፉ በፊት በበቂ ሁኔታ ማረጋገጥ ወይም ማጽዳት አይችሉም።
ማገገሚያ
ይህንን ችግር [S2] ለመፍታት ተጠቃሚዎች የLibreNMS መጫኑን ወደ ስሪት 24.10.0 ወይም ከዚያ በኋላ ማሻሻል አለባቸው። እንደ አጠቃላይ የደህንነት ምርጥ ተሞክሮ፣ የLibreNMS አስተዳደራዊ በይነገጽ መዳረሻ ፋየርዎሎችን ወይም የመዳረሻ መቆጣጠሪያ ዝርዝሮችን (ኤሲኤሎችን) [S1] በመጠቀም የታመኑ የአውታረ መረብ ክፍሎችን መገደብ አለበት።
FixVibe እንዴት እንደሚፈትሽ
FixVibe አሁን ይህንን በGitHub ሬፖ ስካን ያካትታል። ቼኩ composer.lock እና composer.jsonን ጨምሮ የተፈቀደላቸው የውሂብ ማከማቻ ጥገኝነት ፋይሎችን ብቻ ያነባል። ከlibrenms/librenms የተቆለፉ ስሪቶችን ወይም ገደቦችን ከተጎዳው ክልል <=24.9.1 ጋር ይጠቁማል፣ከዚያም የጥገኝነት ፋይሉን፣የመስመር ቁጥርን፣የአማካሪ መታወቂያዎችን፣የተጎዳውን ክልል እና ቋሚ ስሪት ሪፖርት ያደርጋል።
ይህ የማይንቀሳቀስ፣ ተነባቢ-ብቻ የድጋሚ ፍተሻ ነው። የደንበኛ ኮድ አይሰራም እና የብዝበዛ ጭነት አይልክም።