Таасири
LibreNMS 24.9.1 жана андан мурунку версиялары аутентификацияланган колдонуучуларга [S2] OS буйрук инъекциясын аткарууга мүмкүндүк берген кемчиликти камтыйт. Ийгиликтүү эксплуатация [S1] веб-сервер колдонуучусунун артыкчылыктары менен каалаган буйруктарды аткарууга мүмкүндүк берет. Бул системанын толук бузулушуна, сезгич мониторинг маалыматтарына уруксатсыз кирүүгө жана LibreNMS [S2] тарабынан башкарылган тармактык инфраструктуранын ичинде потенциалдуу капталдан жылышына алып келиши мүмкүн.
Негизги себеп
Алсыздык [S1] операциялык тутумунун буйругуна киргизилгенге чейин колдонуучу тарабынан киргизилген киргизүүнүн туура эмес нейтралдашуусунан келип чыккан. Бул кемчилик CWE-78 [S1] катары классификацияланат. Таасирленген версияларда, аныктыгы текшерилген атайын акыркы чекиттер параметрлерди [S2] тутум деңгээлиндеги аткаруу функцияларына өткөрүүдөн мурун адекваттуу түрдө текшере албайт же санитардык тазалай албайт.
Оңдоо
Бул маселени [S2] чечүү үчүн колдонуучулар LibreNMS орнотуусун 24.10.0 же андан кийинки версиясына жаңыртыш керек. Жалпы коопсуздуктун эң мыкты тажрыйбасы катары, LibreNMS административдик интерфейсине жетүү брандмауэрлерди же кирүүнү көзөмөлдөө тизмелерин (ACLs) [S1] колдонгон ишенимдүү тармак сегменттери менен чектелиши керек.
FixVibe аны кантип сынайт
FixVibe эми муну GitHub репо скандоолоруна камтыйт. Текшерүү composer.lock жана composer.json сыяктуу ыйгарым укуктуу репозиторийдик көз карандылык файлдарын гана окуйт. Ал librenms/librenms кулпуланган версияларын же жабыркаган <=24.9.1 диапазонуна дал келген чектөөлөрдү белгилейт, андан кийин көз карандылык файлын, саптын номерин, кеңеш берүүчү идентификаторлорду, таасир эткен диапазонду жана бекитилген версияны билдирет.
Бул статикалык, окуу үчүн гана репо текшерүүсү. Ал кардар кодун аткарбайт жана эксплуатациянын пайдалуу жүктөрүн жөнөтпөйт.