اثر
هڪ ريموٽ، غير تصديق ٿيل حملو ڪندڙ هڪ ZoneMinder تنصيب [S1] جي ويب روٽ اندر ڊائريڪٽرن کي براؤز ڪري سگهي ٿو. هي نمائش حساس سسٽم جي معلومات کي ظاهر ڪرڻ جي اجازت ڏئي ٿي ۽ مڪمل تصديق جي بائي پاس تائين پهچائي سگھي ٿي، ايپليڪيشن جي مئنيجمينٽ انٽرفيس [S1] تائين غير مجاز رسائي فراهم ڪندي.
بنيادي سبب
ڪمزوري Apache HTTP سرور جي ناقص ترتيب جي ڪري آهي جيڪا ZoneMinder ورجن 1.29 ۽ 1.30 [S1] سان گڏ ٿيل آهي. ڊاريڪٽري انڊيڪسنگ کي محدود ڪرڻ لاءِ ٺاھ جوڙ ناڪام ٿئي ٿي، جنھن جي نتيجي ۾ ويب سرور سرور ڪري ٿو ڊاريڪٽري لسٽنگ غير مستند استعمال ڪندڙن کي [S1].
اصلاح
ھن مسئلي کي حل ڪرڻ لاءِ، منتظمين کي ZoneMinder کي ھڪڙي ورزن ۾ اپڊيٽ ڪرڻ گھرجي جنھن ۾ درست ڪيل ويب سرور جي ترتيب [S1] شامل آھي. جيڪڏهن فوري طور تي اپ گريڊ ممڪن نه آهي، ZoneMinder تنصيب سان لاڳاپيل Apache ترتيب واري فائلن کي دستي طور تي سخت ڪيو وڃي ڊائريڪٽري انڊيڪسنگ کي غير فعال ڪرڻ ۽ ويب روٽ [S1] تي سخت رسائي ڪنٽرول لاڳو ڪرڻ لاءِ.
ڳولڻ جي تحقيق
هن خطري جي تحقيق مان ظاهر ٿئي ٿو ته پتو لڳائڻ ۾ شامل آهي زون مائنڈر جي مثالن جي سڃاڻپ ڪرڻ ۽ ويب روٽ يا سڃاتل ذيلي ڊائريڪٽريز تائين رسائي جي ڪوشش ڪرڻ بغير تصديق [S1]. هڪ خطرناڪ حالت عام طور تي معياري ڊاريڪٽري لسٽنگ جي نمونن جي موجودگي سان اشارو ڪيو ويندو آهي، جهڙوڪ "انڊيڪس آف /" اسٽرنگ، HTTP جوابي جسم ۾ جڏهن ڪو صحيح سيشن موجود ناهي [S1].