Athari
Matoleo ya LibreNMS 24.9.1 na ya awali yana athari ambayo inaruhusu watumiaji walioidhinishwa kutekeleza sindano ya amri ya Mfumo wa Uendeshaji [S2]. Unyonyaji uliofanikiwa huwezesha utekelezaji wa amri kiholela na haki za mtumiaji wa seva ya wavuti [S1]. Hii inaweza kusababisha maelewano kamili ya mfumo, ufikiaji usioidhinishwa wa data nyeti ya ufuatiliaji, na uwezekano wa kusonga mbele ndani ya miundombinu ya mtandao inayodhibitiwa na LibreNMS [S2].
Chanzo Chanzo
Athari hii inatokana na utenganishaji usiofaa wa ingizo lililotolewa na mtumiaji kabla ya kujumuishwa katika amri ya mfumo wa uendeshaji [S1]. Dosari hii imeainishwa kama CWE-78 [S1]. Katika matoleo yaliyoathiriwa, ncha mahususi zilizoidhinishwa hushindwa kuthibitisha au kutakasa vigezo vya kutosha kabla ya kuvipitisha kwa vipengele vya utekelezaji vya kiwango cha mfumo [S2].
Marekebisho
Watumiaji wanapaswa kusasisha usakinishaji wao wa LibreNMS hadi toleo la 24.10.0 au toleo jipya zaidi ili kutatua suala hili [S2]. Kama mbinu bora ya jumla ya usalama, ufikiaji wa kiolesura cha msimamizi wa LibreNMS unapaswa kuzuiwa kwa sehemu za mtandao zinazoaminika kwa kutumia ngome au orodha za udhibiti wa ufikiaji (ACLs) [S1].
Jinsi FixVibe inavyoifanyia majaribio
FixVibe sasa inajumuisha hii katika uchanganuzi wa repo wa GitHub. Hundi husoma faili za utegemezi za hazina pekee, zikiwemo composer.lock na composer.json. Hualamisha librenms/librenms matoleo au vikwazo vilivyofungwa vinavyolingana na masafa yaliyoathiriwa <=24.9.1, kisha huripoti faili tegemezi, nambari ya laini, vitambulisho vya ushauri, masafa yaliyoathiriwa na toleo lisilobadilika.
Huu ni ukaguzi tuli, wa kusoma-tu repo. Haitekelezi msimbo wa mteja na haitumii mizigo ya unyonyaji.