Әсер
Қашықтағы, аутентификацияланбаған шабуылдаушы ZoneMinder орнату [S1] веб-түбіріндегі каталогтарды шола алады. Бұл әсер ету құпия жүйе ақпаратын ашуға мүмкіндік береді және қолданбаның басқару интерфейсіне [S1] рұқсатсыз кіруге мүмкіндік беретін толық аутентификацияны айналып өтуге әкелуі мүмкін.
Негізгі себеп
Осалдық ZoneMinder 1.29 және 1.30 [S1] нұсқаларымен жинақталған ақаулы Apache HTTP сервер конфигурациясынан туындаған. Конфигурация каталогты индекстеуді шектей алмайды, соның нәтижесінде веб-сервер аутентификацияланбаған пайдаланушыларға [S1] каталогтар тізімін береді.
Түзету
Бұл мәселені шешу үшін әкімшілер ZoneMinder-ді [S1] түзетілген веб-сервер конфигурациясын қамтитын нұсқаға жаңартуы керек. Егер дереу жаңарту мүмкін болмаса, ZoneMinder орнатуымен байланысты Apache конфигурация файлдары каталогты индекстеуді өшіру және [S1] веб-түбірінде қатал қатынасты басқару элементтерін қолдану үшін қолмен қатайтылуы керек.
Анықтауды зерттеу
Бұл осалдықты зерттеу анықтауға ZoneMinder даналарын анықтау және [S1] аутентификациясыз веб-түбірге немесе белгілі ішкі каталогтарға кіру әрекетін қамтитынын көрсетеді. Ешқандай жарамды сеанс жоқ [S1] кезінде осал күй әдетте HTTP жауап корпусындағы "/ индексі" сияқты стандартты каталог тізімінің үлгілерінің болуы арқылы көрсетіледі.