Covered by FixVibehigh

ZoneMinder அப்பாச்சி உள்ளமைவு தகவல் வெளிப்படுத்தல் (CVE-2016-10140) ZXCVFIXVIBESGEND ZXCVFIXVIBESEG1 ZoneMinder 1.29 மற்றும் 1.30 இல் Apache தவறான உள்ளமைவு உள்ளது, இது அங்கீகரிக்கப்படாத அடைவு உலாவல் மற்றும் சாத்தியமான அங்கீகார பைபாஸை அனுமதிக்கிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG2 ZoneMinder பதிப்புகள் 1.29 மற்றும் 1.30 ஆகியவை தொகுக்கப்பட்ட Apache HTTP சர்வர் தவறான உள்ளமைவால் பாதிக்கப்பட்டுள்ளன. இந்த குறைபாடு ரிமோட், அங்கீகரிக்கப்படாத தாக்குபவர்களை வலை ரூட் கோப்பகத்தை உலாவ அனுமதிக்கிறது, இது முக்கியமான தகவல் வெளிப்படுத்தல் மற்றும் அங்கீகரிப்பு பைபாஸ் ஆகியவற்றிற்கு வழிவகுக்கும். ZXCVFIXVIBESGEND ZXCVFIXVIBESEG3 ## பாதிப்பு ZXCVFIXVIBESGEND ZXCVFIXVIBESEG4 ரிமோட், அங்கீகரிக்கப்படாத தாக்குபவர் CVE-2016-10140 ZoneMinder நிறுவலின் வலை மூலத்திற்குள் கோப்பகங்களை உலாவலாம். இந்த வெளிப்பாடு உணர்திறன் கணினி தகவலை வெளிப்படுத்த அனுமதிக்கிறது மற்றும் முழுமையான அங்கீகார பைபாஸுக்கு வழிவகுக்கும், இது பயன்பாட்டின் மேலாண்மை இடைமுகமான ZXCVFIXVIBETOKEN1ZXCVக்கு அங்கீகரிக்கப்படாத அணுகலை வழங்குகிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG5 ## மூல காரணம் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG6 ZoneMinder பதிப்புகள் 1.29 மற்றும் 1.30 CVE-2016-10140 உடன் தொகுக்கப்பட்ட குறைபாடுள்ள Apache HTTP சர்வர் உள்ளமைவால் பாதிப்பு ஏற்படுகிறது. கோப்பக அட்டவணையிடலைக் கட்டுப்படுத்துவதில் உள்ளமைவு தோல்வியடைந்தது, இதன் விளைவாக இணைய சேவையகம் அங்கீகரிக்கப்படாத பயனர்களுக்கு ZXCVFIXVIBETOKEN1ZXCV கோப்பகப் பட்டியல்களை வழங்குகிறது. ZXCVFIXVIBESGEND ZXCVFIXVIBESEG7 ## பரிகாரம் ZXCVFIXVIBESGEND ZXCVFIXVIBESEG8 இந்தச் சிக்கலைத் தீர்க்க, நிர்வாகிகள் CVE-2016-10140 சரி செய்யப்பட்ட இணைய சேவையக உள்ளமைவை உள்ளடக்கிய பதிப்பிற்கு ZoneMinder ஐப் புதுப்பிக்க வேண்டும். உடனடி மேம்படுத்தல் சாத்தியமில்லை என்றால், ZXCVFIXVIBETOKEN1ZXCV என்ற இணைய மூலத்தில், அடைவு அட்டவணைப்படுத்தலை முடக்கவும் மற்றும் கடுமையான அணுகல் கட்டுப்பாடுகளைச் செயல்படுத்தவும் ZoneMinder நிறுவலுடன் தொடர்புடைய Apache கட்டமைப்பு கோப்புகள் கைமுறையாக கடினமாக்கப்பட வேண்டும். ZXCVFIXVIBESGEND ZXCVFIXVIBESEG9 ## கண்டறிதல் ஆராய்ச்சி ZXCVFIXVIBESGEND ZXCVFIXVIBESEG10 CVE-2016-10140 அங்கீகாரம் இல்லாமல் இணைய ரூட் அல்லது அறியப்பட்ட துணை அடைவுகளை அணுக முயற்சிப்பது மற்றும் ZoneMinder நிகழ்வுகளைக் கண்டறிவது ஆகியவை கண்டறிதலை உள்ளடக்கியதாக இந்த பாதிப்பு பற்றிய ஆராய்ச்சி குறிப்பிடுகிறது. செல்லுபடியாகும் அமர்வு எதுவும் இல்லாதபோது, HTTP மறுமொழி அமைப்பில் "இன்டெக்ஸ் /" சரம் போன்ற நிலையான கோப்பக பட்டியல் வடிவங்கள் இருப்பதால் பாதிக்கப்படக்கூடிய நிலை பொதுவாகக் குறிக்கப்படுகிறது.

ZoneMinder versions 1.29 and 1.30 are affected by a bundled Apache HTTP Server misconfiguration. This flaw allows remote, unauthenticated attackers to browse the web root directory, potentially leading to sensitive information disclosure and authentication bypass.

CVE-2016-10140CWE-200

Impact

A remote, unauthenticated attacker can browse directories within the web root of a ZoneMinder installation [S1]. This exposure allows for the disclosure of sensitive system information and can lead to a complete authentication bypass, granting unauthorized access to the application's management interface [S1].

Root Cause

The vulnerability is caused by a flawed Apache HTTP Server configuration bundled with ZoneMinder versions 1.29 and 1.30 [S1]. The configuration fails to restrict directory indexing, which results in the web server serving directory listings to unauthenticated users [S1].

Remediation

To address this issue, administrators should update ZoneMinder to a version that includes a corrected web server configuration [S1]. If an immediate upgrade is not possible, the Apache configuration files associated with the ZoneMinder installation should be manually hardened to disable directory indexing and enforce strict access controls on the web root [S1].

Detection Research

Research into this vulnerability indicates that detection involves identifying ZoneMinder instances and attempting to access the web root or known subdirectories without authentication [S1]. A vulnerable state is typically indicated by the presence of standard directory listing patterns, such as the "Index of /" string, in the HTTP response body when no valid session is present [S1].