ထိခိုက်မှု
LibreNMS ဗားရှင်း 24.9.1 နှင့် အစောပိုင်းတွင် OS အမိန့်ပေးစာထိုးခြင်း [S2] အစစ်အမှန်အသုံးပြုသူများကို လုပ်ဆောင်ခွင့်ပြုသည့် အားနည်းချက်တစ်ခုပါရှိသည်။ အောင်မြင်စွာ အသုံးချခြင်းသည် ဝဘ်ဆာဗာအသုံးပြုသူ [S1] ၏ အခွင့်ထူးများဖြင့် မတရားသော အမိန့်များကို အကောင်အထည်ဖော်နိုင်စေပါသည်။ ၎င်းသည် အပြည့်အဝစနစ်အပေးအယူလုပ်ခြင်း၊ ထိလွယ်ရှလွယ်စောင့်ကြည့်ခြင်းဒေတာကို ခွင့်မပြုဘဲဝင်ရောက်ခွင့်နှင့် LibreNMS [S2] မှစီမံခန့်ခွဲသော ကွန်ရက်အခြေခံအဆောက်အအုံအတွင်း ဖြစ်ပေါ်လာနိုင်သော ဘေးထွက်ရွေ့လျားမှုများကို ဖြစ်ပေါ်စေနိုင်သည်။
အကြောင်းအရင်း
အားနည်းချက်သည် အသုံးပြုသူမှ ပံ့ပိုးပေးထားသော ထည့်သွင်းမှုအား မလျော်ကန်စွာ ကြားနေခြင်းကြောင့် ၎င်းကို လည်ပတ်မှုစနစ် အမိန့်ပေးချက် [S1] တွင် ထည့်သွင်းထားသည်။ ဤချို့ယွင်းချက်ကို CWE-78 [S1] အဖြစ် ခွဲခြားထားသည်။ သက်ရောက်မှုရှိသောဗားရှင်းများတွင်၊ တိကျသောစစ်မှန်သည့်အဆုံးမှတ်များသည် ၎င်းတို့အား စနစ်အဆင့်လုပ်ဆောင်မှုလုပ်ဆောင်ချက်များသို့မပေးပို့မီ တိကျသောစစ်မှန်ကြောင်းအထောက်အထားများကို လုံလောက်စွာအတည်ပြုခြင်း သို့မဟုတ် သန့်စင်ရန်ပျက်ကွက်ပါသည်။
ပြုပြင်ခြင်း။
အသုံးပြုသူများသည် ဤပြဿနာကိုဖြေရှင်းရန် [S2] ဗားရှင်း 24.10.0 သို့မဟုတ် နောက်ပိုင်းတွင် ၎င်းတို့၏ LibreNMS ထည့်သွင်းမှုကို အဆင့်မြှင့်သင့်သည်။ ယေဘူယျ လုံခြုံရေး အကောင်းဆုံး အလေ့အကျင့်တစ်ခုအနေဖြင့် LibreNMS စီမံခန့်ခွဲရေး အင်တာဖေ့စ်သို့ ဝင်ရောက်ခွင့်ကို firewalls သို့မဟုတ် access control lists (ACLs) [S1] သုံးပြီး ယုံကြည်ရသော ကွန်ရက်အပိုင်းများသို့ ကန့်သတ်ထားသင့်သည်။
FixVibe စမ်းသပ်နည်း
ZXCVFIXVIBESEG၁၀ FixVibe ယခု ၎င်းကို GitHub repo စကင်န်များတွင် ပါ၀င်ပါသည်။ ချက်လက်မှတ်သည် composer.lock နှင့် composer.json အပါအဝင် ခွင့်ပြုထားသော သိုလှောင်မှုမှီခိုမှုဖိုင်များကိုသာ ဖတ်သည်။ ၎င်းသည် librenms/librenms လော့ခ်ချထားသောဗားရှင်းများ သို့မဟုတ် ကန့်သတ်ချက်များကို <=24.9.1 နှင့် ကိုက်ညီသော သော့ခတ်ထားသောဗားရှင်းများကို အလံပြထားပြီး၊ ထို့နောက် မှီခိုမှုဖိုင်၊ လိုင်းနံပါတ်၊ အကြံပေး IDs၊ ထိခိုက်သည့်အပိုင်းအခြားနှင့် ပုံသေဗားရှင်းတို့ကို အစီရင်ခံပါသည်။
ZXCVFIXVIBESEG ၁၁ ၎င်းသည် တည်ငြိမ်သော၊ ဖတ်ရန်-သပ်သပ် repo စစ်ဆေးမှုတစ်ခုဖြစ်သည်။ ၎င်းသည် ဖောက်သည်ကုဒ်ကို လုပ်ဆောင်ခြင်းမရှိသည့်အပြင် exploit payloads များကို မပို့ပါ။