اثر
LibreNMS ورجن 24.9.1 ۽ اڳوڻن ۾ هڪ ڪمزوري شامل آهي جيڪا تصديق ٿيل صارفين کي اجازت ڏئي ٿي OS ڪمانڊ انجيڪشن [S2]. ڪامياب استحصال ويب سرور استعمال ڪندڙ [S1] جي استحقاق سان صوابديدي حڪمن جي عمل کي قابل بڻائي ٿو. اهو مڪمل سسٽم سمجھوتي، حساس مانيٽرنگ ڊيٽا تائين غير مجاز رسائي، ۽ ليبر اين ايم ايس [S2] پاران منظم ڪيل نيٽ ورڪ انفراسٽرڪچر جي اندر امڪاني پس منظر واري حرڪت جي ڪري سگھي ٿو.
بنيادي سبب
ڪمزوري جو بنياد صارف جي فراهم ڪيل ان پٽ جي غلط غيرجانبداري ۾ آهي ان کان اڳ جو ان کي آپريٽنگ سسٽم ڪمانڊ [S1] ۾ شامل ڪيو وڃي. هي نقص CWE-78 [S1] جي طور تي درجه بندي ڪيو ويو آهي. متاثر ٿيل نسخن ۾، مخصوص تصديق ٿيل آخري پوائنٽون انهن کي سسٽم-سطح جي عمل جي ڪارڪردگي [S2] ڏانهن منتقل ڪرڻ کان اڳ پيرا ميٽرن کي مناسب طور تي صحيح يا صاف ڪرڻ ۾ ناڪام ٿين ٿيون.
اصلاح
صارفين کي گهرجي ته هن مسئلي کي حل ڪرڻ لاءِ پنهنجي LibreNMS انسٽاليشن کي 24.10.0 ورجن يا بعد ۾ اپ گريڊ ڪن [S2]. عام سيڪيورٽي جي بهترين عمل جي طور تي، LibreNMS انتظامي انٽرفيس تائين رسائي کي قابل اعتماد نيٽ ورڪ حصن تائين محدود ڪيو وڃي جيڪو فائر والز يا رسائي ڪنٽرول لسٽ (ACLs) [S1] استعمال ڪندي.
ڪيئن FixVibe ان لاءِ ٽيسٽ ڪري ٿو
FixVibe ھاڻي ھي شامل آھي GitHub ريپو اسڪين ۾. چيڪ صرف بااختيار مخزن جي انحصار فائلن کي پڙهي ٿو، بشمول composer.lock ۽ composer.json. اهو librenms/librenms لاڪ ٿيل ورزن يا رڪاوٽن کي جھنڊو ڏئي ٿو جيڪي متاثر ٿيل رينج <=24.9.1 سان ملن ٿا، پوءِ رپورٽ ڪري ٿو انحصار فائل، لائن نمبر، مشاورتي IDs، متاثر ٿيل رينج، ۽ مقرر ٿيل ورزن.
هي هڪ مستحڪم، صرف پڙهڻ لاءِ ريپو چيڪ آهي. اهو ڪسٽمر ڪوڊ تي عمل نٿو ڪري ۽ استحصال پيل لوڊ نه موڪليندو آهي.