Impatt
Attakkant mill-bogħod u mhux awtentikat jista' jfittex direttorji fl-għerq tal-web ta' installazzjoni ta' ZoneMinder [S1]. Din l-espożizzjoni tippermetti l-iżvelar ta 'informazzjoni sensittiva tas-sistema u tista' twassal għal bypass ta 'awtentikazzjoni kompluta, li tagħti aċċess mhux awtorizzat għall-interface ta' ġestjoni tal-applikazzjoni [S1].
Kawża Għerq
Il-vulnerabbiltà hija kkawżata minn konfigurazzjoni difettuża ta' Apache HTTP Server miġbura mal-verżjonijiet ta' ZoneMinder 1.29 u 1.30 [S1]. Il-konfigurazzjoni tonqos milli tirrestrinġi l-indiċjar tad-direttorju, li jirriżulta fis-server tal-web li jservi listi tad-direttorju lil utenti mhux awtentikati [S1].
Rimedju
Biex jindirizzaw din il-kwistjoni, l-amministraturi għandhom jaġġornaw ZoneMinder għal verżjoni li tinkludi konfigurazzjoni korretta tas-server tal-web [S1]. Jekk ma jkunx possibbli aġġornament immedjat, il-fajls tal-konfigurazzjoni ta 'Apache assoċjati mal-installazzjoni ta' ZoneMinder għandhom jiġu mwebbsa manwalment biex jiskonnettjaw l-indiċjar tad-direttorju u jinfurzaw kontrolli stretti tal-aċċess fuq l-għerq tal-web [S1].
Riċerka tas-Sejbien
Ir-riċerka f'din il-vulnerabbiltà tindika li s-sejbien jinvolvi l-identifikazzjoni ta' każijiet ta' ZoneMinder u t-tentattiv ta' aċċess għall-għerq tal-web jew subdirettorji magħrufa mingħajr awtentikazzjoni [S1]. Stat vulnerabbli huwa tipikament indikat mill-preżenza ta 'mudelli standard ta' elenkar tad-direttorju, bħall-sekwenza "Indiċi ta '/", fil-korp tar-rispons HTTP meta ma tkun preżenti l-ebda sessjoni valida [S1].