ផលប៉ះពាល់
ZXCVFIXVIBESEG ៤ LibreNMS កំណែ 24.9.1 និងមុននេះមានចំណុចងាយរងគ្រោះដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដើម្បីអនុវត្តការចាក់បញ្ចូលពាក្យបញ្ជា OS [S2] ។ ការកេងប្រវ័ញ្ចដោយជោគជ័យអាចឱ្យការប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្តជាមួយនឹងសិទ្ធិរបស់អ្នកប្រើម៉ាស៊ីនមេគេហទំព័រ [S1] ។ នេះអាចនាំទៅដល់ការសម្របសម្រួលប្រព័ន្ធពេញលេញ ការចូលប្រើប្រាស់ទិន្នន័យត្រួតពិនិត្យដែលរសើបដោយគ្មានការអនុញ្ញាត និងចលនានៅពេលក្រោយដែលមានសក្តានុពលនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញដែលគ្រប់គ្រងដោយ LibreNMS [S2] ។
ZXCVFIXVIBESEG ៥
មូលហេតុ
ZXCVFIXVIBESEG ៦ ភាពងាយរងគ្រោះត្រូវបានចាក់ឫសនៅក្នុងអព្យាក្រឹតភាពមិនត្រឹមត្រូវនៃការបញ្ចូលដែលផ្តល់ដោយអ្នកប្រើប្រាស់ មុនពេលវាត្រូវបានបញ្ចូលទៅក្នុងពាក្យបញ្ជាប្រព័ន្ធប្រតិបត្តិការ [S1] ។ គុណវិបត្តិនេះត្រូវបានចាត់ថ្នាក់ជា CWE-78 [S1] ។ នៅក្នុងកំណែដែលរងផលប៉ះពាល់ ចំណុចបញ្ចប់ដែលបានផ្ទៀងផ្ទាត់ជាក់លាក់មិនអាចធ្វើសុពលភាព ឬអនាម័យប៉ារ៉ាម៉ែត្រឱ្យបានគ្រប់គ្រាន់ មុនពេលបញ្ជូនពួកវាទៅមុខងារប្រតិបត្តិកម្រិតប្រព័ន្ធ [S2] ។
ZXCVFIXVIBESEG ៧
សំណង
ZXCVFIXVIBESEG ៨ អ្នកប្រើប្រាស់គួរតែដំឡើងកំណែការដំឡើង LibreNMS របស់ពួកគេទៅកំណែ 24.10.0 ឬខ្ពស់ជាងនេះ ដើម្បីដោះស្រាយបញ្ហានេះ [S2] ។ ជាការអនុវត្តល្អបំផុតផ្នែកសុវត្ថិភាពទូទៅ ការចូលប្រើចំណុចប្រទាក់រដ្ឋបាល LibreNMS គួរតែត្រូវបានដាក់កម្រិតចំពោះផ្នែកបណ្តាញដែលអាចទុកចិត្តបានដោយប្រើជញ្ជាំងភ្លើង ឬបញ្ជីត្រួតពិនិត្យការចូលប្រើ (ACLs) [S1] ។
របៀបដែល FixVibe ធ្វើតេស្តសម្រាប់វា។
ZXCVFIXVIBESEG ១០ FixVibe ឥឡូវនេះរួមបញ្ចូលវានៅក្នុងការស្កេន GitHub repo ។ មូលប្បទានប័ត្រនេះអានឯកសារពឹងផ្អែកឃ្លាំងដែលមានការអនុញ្ញាតតែប៉ុណ្ណោះ រួមទាំង composer.lock និង composer.json ។ វាដាក់ទង់ librenms/librenms កំណែចាក់សោ ឬឧបសគ្គដែលត្រូវគ្នានឹងជួរដែលរងផលប៉ះពាល់ <=24.9.1 បន្ទាប់មករាយការណ៍ឯកសារអាស្រ័យ លេខបន្ទាត់ លេខសម្គាល់ទីប្រឹក្សា ជួរដែលរងផលប៉ះពាល់ និងកំណែថេរ។
ZXCVFIXVIBESEG ១១ នេះគឺជាការពិនិត្យមើលឡើងវិញដែលបានតែអានតែប៉ុណ្ណោះ។ វាមិនប្រតិបត្តិកូដអតិថិជន ហើយមិនផ្ញើបន្ទុកកេងប្រវ័ញ្ច