Таасири
Алыскы, аутентификацияланбаган чабуулчу [S1] ZoneMinder орнотуусунун желе тамырындагы каталогдорду карап чыга алат. Бул экспозиция сезимтал система маалыматын ачууга мүмкүндүк берет жана колдонмонун [S1] башкаруу интерфейсине уруксатсыз кирүү мүмкүнчүлүгүн берип, толук аутентификацияны айланып өтүүгө алып келиши мүмкүн.
Негизги себеп
Алсыздык ZoneMinder 1.29 жана 1.30 [S1] версиялары менен бириктирилген Apache HTTP серверинин ката конфигурациясынан келип чыккан. Конфигурация каталогдун индексациясын чектей албайт, натыйжада веб-сервер аныктыгы текшерилбеген колдонуучуларга [S1] каталогдор тизмесин тейлейт.
Оңдоо
Бул маселени чечүү үчүн администраторлор ZoneMinderди [S1] оңдолгон веб сервер конфигурациясын камтыган версияга жаңыртыш керек. Эгерде дароо жаңыртуу мүмкүн болбосо, ZoneMinder орнотуусу менен байланышкан Apache конфигурация файлдары каталог индексин өчүрүү жана [S1] веб-тамырында катуу жеткиликтүүлүктү көзөмөлдөө үчүн кол менен катуулатылышы керек.
Detection Research
Бул кемчиликти изилдөө көрсөткөндөй, аныктоо ZoneMinder инстанцияларын аныктоону жана [S1] аутентификациясы жок желе түбүнө же белгилүү подкаталогдорго кирүүгө аракет кылууну камтыйт. Эч кандай жарактуу сеанс жок болгондо аялуу абал адатта HTTP жооп корпусунда "/" сабы сыяктуу стандарттык каталогдор тизмегинин үлгүлөрүнүн болушу менен белгиленет. [S1].