Уплыў
LibreNMS версіі 24.9.1 і раней утрымліваюць уразлівасць, якая дазваляе аўтэнтыфікаваным карыстальнікам выконваць ін'екцыю каманд АС [S2]. Паспяховае выкарыстанне дазваляе выконваць адвольныя каманды з прывілеямі карыстальніка вэб-сервера [S1]. Гэта можа прывесці да поўнага ўзлому сістэмы, несанкцыянаванага доступу да канфідэнцыяльных даных маніторынгу і патэнцыйнага бакавога перамяшчэння ў сеткавай інфраструктуры, якой кіруе LibreNMS [S2].
Першапрычына
Уразлівасць караніцца ў няправільнай нейтралізацыі ўведзенага карыстальнікам уводу перад яго ўключэннем у каманду аперацыйнай сістэмы [S1]. Гэты недахоп класіфікуецца як CWE-78 [S1]. У закранутых версіях пэўныя канчатковыя пункты з аўтэнтыфікацыяй не спраўляюцца належным чынам або дэзінфікуюць параметры перад перадачай іх у функцыі выканання на сістэмным узроўні [S2].
Выпраўленне
Карыстальнікі павінны абнавіць сваю ўстаноўку LibreNMS да версіі 24.10.0 або больш позняй, каб вырашыць гэтую праблему [S2]. У якасці агульнай перадавой практыкі бяспекі доступ да адміністрацыйнага інтэрфейсу LibreNMS павінен быць абмежаваны даверанымі сегментамі сеткі з дапамогай брандмаўэраў або спісаў кантролю доступу (ACL) [S1].
Як FixVibe правярае гэта
FixVibe цяпер уключае гэта ў сканаванне рэпазітара GitHub. Праверка чытае толькі файлы залежнасцей аўтарызаванага сховішча, уключаючы composer.lock і composer.json. Ён пазначае заблакаваныя версіі або абмежаванні librenms/librenms, якія адпавядаюць закранутаму дыяпазону <=24.9.1, затым паведамляе файл залежнасці, нумар радка, рэкамендацыйныя ідэнтыфікатары, закрануты дыяпазон і фіксаваную версію.
Гэта статычная праверка РЭПО толькі для чытання. Ён не выконвае код кліента і не адпраўляе карысныя нагрузкі.