බලපෑම
LibreNMS අනුවාද 24.9.1 සහ ඊට පෙර OS විධාන එන්නත් [S2] සිදු කිරීමට සත්යාපනය කළ පරිශීලකයින්ට ඉඩ සලසන අවදානමක් ඇත. සාර්ථක සූරාකෑම මඟින් වෙබ් සේවාදායක පරිශීලක [S1] ගේ වරප්රසාද සමඟ අත්තනෝමතික විධාන ක්රියාත්මක කිරීමට හැකියාව ලැබේ. මෙය LibreNMS [S2] මගින් කළමනාකරණය කරනු ලබන ජාල යටිතල ව්යුහය තුළ පූර්ණ පද්ධති සම්මුතියකට, සංවේදී අධීක්ෂණ දත්තවලට අනවසරයෙන් ප්රවේශ වීමට සහ පාර්ශ්වික චලනය වීමට හේතු විය හැක.
මූල හේතුව
[S1] මෙහෙයුම් පද්ධති විධානයකට ඇතුළත් කිරීමට පෙර පරිශීලක-සැපයූ ආදානය අනිසි ලෙස උදාසීන කිරීම තුළ අවදානම මුල් බැස ඇත. මෙම දෝෂය CWE-78 [S1] ලෙස වර්ගීකරණය කර ඇත. බලපෑමට ලක් වූ අනුවාදවල, නිශ්චිත සත්යාපනය කළ අන්ත ලක්ෂ්යයන් පද්ධති මට්ටමේ ක්රියාත්මක කිරීමේ ක්රියාකාරකම් [S2] වෙත යැවීමට පෙර පරාමිති ප්රමාණවත් ලෙස වලංගු කිරීමට හෝ සනීපාරක්ෂාව කිරීමට අසමත් වේ.
පිළියම්
[S2] ගැටළුව විසඳීම සඳහා පරිශීලකයින් ඔවුන්ගේ LibreNMS ස්ථාපනය 24.10.0 හෝ ඊට පසු අනුවාදයට උත්ශ්රේණි කළ යුතුය. සාමාන්ය ආරක්ෂිත හොඳම භාවිතයක් ලෙස, LibreNMS පරිපාලන අතුරුමුහුණත වෙත ප්රවේශය ෆයර්වෝල් හෝ ප්රවේශ පාලන ලැයිස්තු (ACLs) [S1] භාවිතා කරන විශ්වාසදායී ජාල කොටස්වලට සීමා කළ යුතුය.
FixVibe ඒ සඳහා පරීක්ෂා කරන ආකාරය
FixVibe දැන් මෙය GitHub repo ස්කෑන් තුළ ඇතුළත් වේ. චෙක්පත කියවන්නේ composer.lock සහ composer.json ඇතුළුව බලයලත් ගබඩා පරායත්ත ගොනු පමණි. එය බලපෑමට ලක් වූ පරාසයට ගැලපෙන librenms/librenms අගුලු දැමූ අනුවාද හෝ සීමාවන් සලකුණු කරයි, පසුව පරායත්ත ගොනුව, රේඛා අංකය, උපදේශන හැඳුනුම්පත, බලපෑමට ලක් වූ පරාසය සහ ස්ථාවර අනුවාදය වාර්තා කරයි.
මෙය ස්ථිතික, කියවීමට පමණක් repo චෙක්පතකි. එය පාරිභෝගික කේතය ක්රියාත්මක නොකරන අතර සූරාකෑමේ ගෙවීම් යවන්නේ නැත.