Təsir
Uzaqdan, təsdiqlənməmiş təcavüzkar ZoneMinder quraşdırma [S1] veb kökündəki qovluqlara baxa bilər. Bu ifşa həssas sistem məlumatlarının açıqlanmasına imkan verir və tətbiqin [S1] idarəetmə interfeysinə icazəsiz giriş imkanı verən tam autentifikasiyadan yan keçməyə səbəb ola bilər.
Kök Səbəb
Zəifliyə ZoneMinder 1.29 və 1.30 [S1] versiyaları ilə birləşdirilmiş qüsurlu Apache HTTP Server konfiqurasiyası səbəb olur. Konfiqurasiya kataloq indeksləşdirməni məhdudlaşdıra bilmir, bu da veb serverin [S1] naməlum istifadəçilərə kataloq siyahılarını təqdim etməsi ilə nəticələnir.
Təmir
Bu problemi həll etmək üçün administratorlar ZoneMinder-ı [S1] korrektə edilmiş veb server konfiqurasiyasını ehtiva edən versiyaya yeniləməlidirlər. Dərhal təkmilləşdirmə mümkün deyilsə, ZoneMinder quraşdırılması ilə əlaqəli Apache konfiqurasiya faylları qovluq indeksləşdirməni söndürmək və [S1] veb kökündə ciddi giriş nəzarətlərini tətbiq etmək üçün əl ilə sərtləşdirilməlidir.
Aşkarlama Tədqiqatı
Bu boşluqla bağlı araşdırma göstərir ki, aşkarlama ZoneMinder instansiyalarının müəyyən edilməsini və [S1] identifikasiyası olmadan veb kökünə və ya məlum alt kataloqlara daxil olmaq cəhdini əhatə edir. Həssas vəziyyət adətən heç bir etibarlı sessiya mövcud olmadıqda HTTP cavab orqanında "/İndeksi" sətri kimi standart kataloq siyahısı nümunələrinin olması ilə göstərilir [S1].