Ազդեցություն
Հեռավոր, չհաստատված հարձակվողը կարող է զննել ZoneMinder [S1] տեղադրման վեբ արմատի տեղեկատուները: Այս բացահայտումը թույլ է տալիս բացահայտել համակարգի զգայուն տեղեկատվությունը և կարող է հանգեցնել նույնականացման ամբողջական շրջանցման՝ թույլ տալով չարտոնված մուտք գործել հավելվածի կառավարման միջերես [S1]:
Արմատային պատճառ
Խոցելիությունը պայմանավորված է Apache HTTP սերվերի անսարք կոնֆիգուրացիայով, որը միացված է ZoneMinder 1.29 և 1.30 [S1] տարբերակներին: Կազմաձևը չի կարող սահմանափակել գրացուցակի ինդեքսավորումը, ինչը հանգեցնում է նրան, որ վեբ սերվերը տեղեկատուների ցուցակները մատուցում է չհաստատված օգտվողներին [S1]:
Վերականգնում
Այս խնդիրը լուծելու համար ադմինիստրատորները պետք է թարմացնեն ZoneMinder-ը մի տարբերակի, որը ներառում է շտկված վեբ սերվերի կազմաձևում՝ [S1]: Եթե անհապաղ թարմացումը հնարավոր չէ, ապա ZoneMinder-ի տեղադրման հետ կապված Apache-ի կազմաձևման ֆայլերը պետք է ձեռքով խստացվեն, որպեսզի անջատեն գրացուցակի ինդեքսավորումը և կիրառեն մուտքի խիստ վերահսկողություն [S1] վեբ արմատում:
Հայտնաբերման հետազոտություն
Այս խոցելիության վերաբերյալ հետազոտությունը ցույց է տալիս, որ հայտնաբերումը ներառում է ZoneMinder-ի դեպքերի նույնականացում և վեբ արմատ կամ հայտնի ենթագրքեր մուտք գործելու փորձ՝ առանց վավերացման [S1]: Խոցելի վիճակը սովորաբար մատնանշվում է ստանդարտ գրացուցակների ցուցակման օրինաչափությունների առկայությամբ, ինչպիսին է «Index of /» տողը, HTTP արձագանքման մարմնում, երբ վավեր նիստ չկա [S1]: