प्रभाव
LibreNMS संस्करणं 24.9.1 तथा पूर्वं एकं दुर्बलता अस्ति यत् प्रमाणितप्रयोक्तृभ्यः OS आदेश-इञ्जेक्शन् [S2] कर्तुं शक्नोति । सफलशोषणं जालसर्वरप्रयोक्तुः [S1] इत्यस्य विशेषाधिकारैः सह मनमाना आदेशानां निष्पादनं सक्षमं करोति । एतेन पूर्णप्रणालीसमझौता, संवेदनशीलनिरीक्षणदत्तांशस्य अनधिकृतप्रवेशः, LibreNMS [S2] द्वारा प्रबन्धितजालसंरचनायाः अन्तः सम्भाव्यपार्श्वगतिः च भवितुम् अर्हति
मूलकारणम्
भेद्यता उपयोक्तृ-आपूर्तिकृतस्य निवेशस्य अनुचित-निष्प्रभावीकरणे मूलभूतं भवति, ततः पूर्वं तस्य संचालनप्रणाली-आदेशे [S1] इत्यस्मिन् समावेशः भवति अयं दोषः CWE-78 [S1] इति वर्गीकृतः अस्ति । प्रभावितसंस्करणेषु, विशिष्टप्रमाणीकृताः अन्त्यबिन्दवः प्रणालीस्तरीयनिष्पादनकार्यं [S2] इत्यस्मै पारयितुं पूर्वं मापदण्डान् पर्याप्तरूपेण प्रमाणीकर्तुं वा सेनेटाइज् कर्तुं वा विफलाः भवन्ति
सुधार
उपयोक्तृभिः एतस्य समस्यायाः समाधानार्थं स्वस्य LibreNMS संस्थापनं 24.10.0 अथवा ततः परं संस्करणं प्रति उन्नयनं कर्तव्यम् [S2] । सामान्यसुरक्षासर्वश्रेष्ठाभ्यासरूपेण, LibreNMS प्रशासनिक-अन्तरफलकस्य अभिगमः अग्निप्रावरणानां अथवा अभिगमनियन्त्रणसूचीनां (ACLs) [S1] इत्यस्य उपयोगेन विश्वसनीयसंजालखण्डेषु प्रतिबन्धितः भवेत्
FixVibe तस्य परीक्षणं कथं करोति
FixVibe इदानीं GitHub रेपो स्कैन् मध्ये एतत् समाविष्टं करोति । जाँच केवलं अधिकृतभण्डारनिर्भरतासञ्चिकाः पठति, यत्र composer.lock तथा composer.json च सन्ति । इदं librenms/librenms तालाबद्धसंस्करणं अथवा बाधां ध्वजयति यत् प्रभावितपरिधि <=24.9.1 इत्यनेन सह मेलनं करोति, ततः निर्भरतासञ्चिकां, रेखासङ्ख्यां, सल्लाहकार-IDs, प्रभावितपरिधिं, नियतसंस्करणं च प्रतिवेदयति
इदं स्थिरं, केवलं पठनीयं रेपो-परीक्षा अस्ति । ग्राहकसङ्केतं न निष्पादयति तथा च शोषणपेलोड् न प्रेषयति ।