ਪ੍ਰਭਾਵ
ਇੱਕ ਰਿਮੋਟ, ਅਣ-ਪ੍ਰਮਾਣਿਤ ਹਮਲਾਵਰ ਇੱਕ ਜ਼ੋਨਮਾਈਂਡਰ ਇੰਸਟਾਲੇਸ਼ਨ [S1] ਦੇ ਵੈੱਬ ਰੂਟ ਦੇ ਅੰਦਰ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਬ੍ਰਾਊਜ਼ ਕਰ ਸਕਦਾ ਹੈ। ਇਹ ਐਕਸਪੋਜ਼ਰ ਸੰਵੇਦਨਸ਼ੀਲ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਦੇ ਖੁਲਾਸੇ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ [S1] ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹੋਏ, ਇੱਕ ਪੂਰਨ ਪ੍ਰਮਾਣਿਕਤਾ ਬਾਈਪਾਸ ਦੀ ਅਗਵਾਈ ਕਰ ਸਕਦਾ ਹੈ।
ਮੂਲ ਕਾਰਨ
ਕਮਜ਼ੋਰੀ ਜ਼ੋਨਮਾਈਂਡਰ ਸੰਸਕਰਣ 1.29 ਅਤੇ 1.30 [S1] ਨਾਲ ਬੰਡਲ ਕੀਤੇ ਇੱਕ ਨੁਕਸਦਾਰ Apache HTTP ਸਰਵਰ ਸੰਰਚਨਾ ਦੇ ਕਾਰਨ ਹੈ। ਕੌਂਫਿਗਰੇਸ਼ਨ ਡਾਇਰੈਕਟਰੀ ਇੰਡੈਕਸਿੰਗ ਨੂੰ ਸੀਮਤ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹਿੰਦੀ ਹੈ, ਜਿਸਦੇ ਨਤੀਜੇ ਵਜੋਂ ਵੈੱਬ ਸਰਵਰ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਡਾਇਰੈਕਟਰੀ ਸੂਚੀਆਂ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ [S1]।
ਉਪਚਾਰ
ਇਸ ਮੁੱਦੇ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ, ਪ੍ਰਸ਼ਾਸਕਾਂ ਨੂੰ ZoneMinder ਨੂੰ ਇੱਕ ਸੰਸਕਰਣ ਵਿੱਚ ਅੱਪਡੇਟ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ ਸਹੀ ਵੈੱਬ ਸਰਵਰ ਸੰਰਚਨਾ [S1] ਸ਼ਾਮਲ ਹੈ। ਜੇਕਰ ਤੁਰੰਤ ਅੱਪਗਰੇਡ ਸੰਭਵ ਨਹੀਂ ਹੈ, ਤਾਂ ਜ਼ੋਨਮਾਈਂਡਰ ਇੰਸਟਾਲੇਸ਼ਨ ਨਾਲ ਜੁੜੀਆਂ ਅਪਾਚੇ ਸੰਰਚਨਾ ਫਾਈਲਾਂ ਨੂੰ ਡਾਇਰੈਕਟਰੀ ਇੰਡੈਕਸਿੰਗ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣ ਅਤੇ ਵੈੱਬ ਰੂਟ [S1] 'ਤੇ ਸਖਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਹੱਥੀਂ ਸਖ਼ਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਖੋਜ ਖੋਜ
ਇਸ ਕਮਜ਼ੋਰੀ ਬਾਰੇ ਖੋਜ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਖੋਜ ਵਿੱਚ [S1] ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਬਿਨਾਂ ਜ਼ੋਨਮਾਈਂਡਰ ਉਦਾਹਰਨਾਂ ਦੀ ਪਛਾਣ ਕਰਨਾ ਅਤੇ ਵੈੱਬ ਰੂਟ ਜਾਂ ਜਾਣੀਆਂ ਉਪ-ਡਾਇਰੈਕਟਰੀਆਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਇੱਕ ਕਮਜ਼ੋਰ ਸਥਿਤੀ ਆਮ ਤੌਰ 'ਤੇ ਮਿਆਰੀ ਡਾਇਰੈਕਟਰੀ ਸੂਚੀਕਰਨ ਪੈਟਰਨਾਂ ਦੀ ਮੌਜੂਦਗੀ ਦੁਆਰਾ ਦਰਸਾਈ ਜਾਂਦੀ ਹੈ, ਜਿਵੇਂ ਕਿ "/" ਸਤਰ ਦਾ ਸੂਚਕਾਂਕ, HTTP ਜਵਾਬ ਬਾਡੀ ਵਿੱਚ ਜਦੋਂ ਕੋਈ ਵੈਧ ਸੈਸ਼ਨ ਮੌਜੂਦ ਨਹੀਂ ਹੁੰਦਾ ਹੈ [S1]।