Effaith
Gall ymosodwr anghysbell, heb ei ddilysu bori cyfeiriaduron o fewn gwraidd gwe gosodiad ZoneMinder [S1]. Mae'r datguddiad hwn yn caniatáu ar gyfer datgelu gwybodaeth system sensitif a gall arwain at ffordd osgoi dilysu gyflawn, gan roi mynediad heb awdurdod i ryngwyneb rheoli'r cais [S1].
Achos Gwraidd
Mae'r bregusrwydd yn cael ei achosi gan gyfluniad Gweinydd HTTP Apache diffygiol wedi'i bwndelu â fersiynau ZoneMinder 1.29 a 1.30 [S1]. Mae'r ffurfweddiad yn methu â chyfyngu ar fynegeio cyfeiriadur, sy'n arwain at weinydd y we yn gwasanaethu rhestrau cyfeiriadur i ddefnyddwyr heb eu dilysu [S1].
Adferiad
Er mwyn mynd i'r afael â'r mater hwn, dylai gweinyddwyr ddiweddaru ZoneMinder i fersiwn sy'n cynnwys cyfluniad gweinydd gwe wedi'i gywiro [S1]. Os nad yw uwchraddio ar unwaith yn bosibl, dylid caledu'r ffeiliau cyfluniad Apache sy'n gysylltiedig â gosodiad ZoneMinder â llaw i analluogi mynegeio cyfeiriadur a gorfodi rheolaethau mynediad llym ar y gwraidd gwe [S1].
Ymchwil Canfod
Mae ymchwil i'r bregusrwydd hwn yn dangos bod canfod yn cynnwys nodi achosion ZoneMinder a cheisio cyrchu gwraidd y we neu is-gyfeiriaduron hysbys heb ddilysu [S1]. Mae cyflwr bregus yn nodweddiadol yn cael ei nodi gan bresenoldeb patrymau rhestru cyfeiriadur safonol, megis y llinyn "Index of /", yn y corff ymateb HTTP pan nad oes sesiwn ddilys yn bresennol [S1].