प्रभाव
LibreNMS आवृत्त्या 24.9.1 आणि पूर्वीच्या आवृत्त्यांमध्ये एक भेद्यता आहे जी प्रमाणीकृत वापरकर्त्यांना OS कमांड इंजेक्शन [S2] करण्यास अनुमती देते. यशस्वी शोषण [S1] वेब सर्व्हर वापरकर्त्याच्या विशेषाधिकारांसह अनियंत्रित आदेशांची अंमलबजावणी करण्यास सक्षम करते. यामुळे संपूर्ण सिस्टम तडजोड, संवेदनशील मॉनिटरिंग डेटावर अनधिकृत प्रवेश आणि LibreNMS [S2] द्वारे व्यवस्थापित नेटवर्क इन्फ्रास्ट्रक्चरमध्ये संभाव्य पार्श्व हालचाल होऊ शकते.
मूळ कारण
[S1] ऑपरेटिंग सिस्टम कमांडमध्ये समाविष्ट होण्यापूर्वी वापरकर्त्याने पुरवलेल्या इनपुटच्या अयोग्य तटस्थतेमध्ये असुरक्षिततेचे मूळ आहे. हा दोष CWE-78 [S1] म्हणून वर्गीकृत आहे. प्रभावित आवृत्त्यांमध्ये, विशिष्ट प्रमाणीकृत एंडपॉइंट्स सिस्टम-स्तरीय अंमलबजावणी फंक्शन्स [S2] मध्ये पास करण्यापूर्वी पॅरामीटर्सचे पुरेसे प्रमाणीकरण किंवा निर्जंतुकीकरण करण्यात अयशस्वी होतात.
उपाय
[S2] या समस्येचे निराकरण करण्यासाठी वापरकर्त्यांनी त्यांचे LibreNMS इंस्टॉलेशन आवृत्ती 24.10.0 किंवा नंतरच्या आवृत्तीमध्ये अपग्रेड केले पाहिजे. सामान्य सुरक्षा सर्वोत्तम सराव म्हणून, LibreNMS प्रशासकीय इंटरफेसचा प्रवेश फायरवॉल किंवा ऍक्सेस कंट्रोल लिस्ट (ACLs) [S1] वापरून विश्वसनीय नेटवर्क विभागांपुरता मर्यादित असावा.
त्यासाठी FixVibe चाचण्या कशा करतात
FixVibe आता हे GitHub रेपो स्कॅनमध्ये समाविष्ट करते. चेक केवळ composer.lock आणि composer.json सह अधिकृत रेपॉजिटरी अवलंबित्व फाइल्स वाचतो. हे librenms/librenms लॉक केलेल्या आवृत्त्या किंवा प्रतिबंधांना फ्लॅग करते जे प्रभावित श्रेणी <=24.9.1 शी जुळतात, नंतर अवलंबन फाइल, लाइन क्रमांक, सल्लागार आयडी, प्रभावित श्रेणी आणि निश्चित आवृत्तीचा अहवाल देते.
हा एक स्थिर, केवळ-वाचनीय रेपो चेक आहे. हे ग्राहक कोड कार्यान्वित करत नाही आणि शोषण पेलोड पाठवत नाही.