Covered by FixVibehigh

ZoneMinder Apache కాన్ఫిగరేషన్ సమాచారం బహిర్గతం (CVE-2016-10140) ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG1 ZoneMinder 1.29 మరియు 1.30లు Apache తప్పు కాన్ఫిగరేషన్‌ను కలిగి ఉన్నాయి, ఇది ప్రమాణీకరించని డైరెక్టరీ బ్రౌజింగ్ మరియు సంభావ్య ప్రమాణీకరణ బైపాస్‌ను అనుమతిస్తుంది. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG2 ZoneMinder సంస్కరణలు 1.29 మరియు 1.30 బండిల్ చేయబడిన Apache HTTP సర్వర్ తప్పు కాన్ఫిగరేషన్ ద్వారా ప్రభావితమయ్యాయి. ఈ లోపం రిమోట్, ప్రామాణీకరించబడని దాడి చేసేవారిని వెబ్ రూట్ డైరెక్టరీని బ్రౌజ్ చేయడానికి అనుమతిస్తుంది, ఇది సున్నిత సమాచార బహిర్గతం మరియు ప్రామాణీకరణ బైపాస్‌కు దారితీయవచ్చు. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG3 ## ప్రభావం ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG4 రిమోట్, ప్రామాణీకరించబడని దాడి చేసే వ్యక్తి CVE-2016-10140 ZoneMinder ఇన్‌స్టాలేషన్ వెబ్ రూట్‌లో డైరెక్టరీలను బ్రౌజ్ చేయవచ్చు. ఈ ఎక్స్‌పోజర్ సున్నితమైన సిస్టమ్ సమాచారాన్ని బహిర్గతం చేయడానికి అనుమతిస్తుంది మరియు అప్లికేషన్ యొక్క నిర్వహణ ఇంటర్‌ఫేస్ ZXCVFIXVIBETOKEN1ZXCVకి అనధికార ప్రాప్యతను మంజూరు చేస్తూ పూర్తి ప్రమాణీకరణ బైపాస్‌కు దారితీయవచ్చు. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG5 ## మూల కారణం ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG6 ZoneMinder సంస్కరణలు 1.29 మరియు 1.30 CVE-2016-10140తో కూడిన లోపభూయిష్ట Apache HTTP సర్వర్ కాన్ఫిగరేషన్ కారణంగా ఈ దుర్బలత్వం ఏర్పడింది. డైరెక్టరీ ఇండెక్సింగ్‌ను పరిమితం చేయడంలో కాన్ఫిగరేషన్ విఫలమైంది, దీని ఫలితంగా వెబ్ సర్వర్ ప్రమాణీకరించని వినియోగదారులకు డైరెక్టరీ జాబితాలను అందిస్తుంది ZXCVFIXVIBETOKEN1ZXCV. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG7 ## నివారణ ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG8 ఈ సమస్యను పరిష్కరించడానికి, నిర్వాహకులు CVE-2016-10140 సరిదిద్దబడిన వెబ్ సర్వర్ కాన్ఫిగరేషన్‌ను కలిగి ఉన్న సంస్కరణకు ZoneMinderని నవీకరించాలి. తక్షణ అప్‌గ్రేడ్ సాధ్యం కాకపోతే, డైరెక్టరీ ఇండెక్సింగ్‌ను నిలిపివేయడానికి మరియు వెబ్ రూట్ ZXCVFIXVIBETOKEN1ZXCVపై కఠినమైన యాక్సెస్ నియంత్రణలను అమలు చేయడానికి ZoneMinder ఇన్‌స్టాలేషన్‌తో అనుబంధించబడిన Apache కాన్ఫిగరేషన్ ఫైల్‌లను మాన్యువల్‌గా కఠినతరం చేయాలి. ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG9 ## గుర్తింపు పరిశోధన ZXCVFIXVIBSEGEND ZXCVFIXVIBESEG10 CVE-2016-10140 ప్రామాణీకరణ లేకుండానే వెబ్ రూట్ లేదా తెలిసిన సబ్ డైరెక్టరీలను యాక్సెస్ చేయడానికి ప్రయత్నించడం మరియు జోన్‌మైండర్ ఇన్‌స్టాన్స్‌లను గుర్తించడం వంటివి గుర్తించడంలో భాగంగా ఉన్నాయని ఈ దుర్బలత్వంపై పరిశోధన సూచిస్తుంది. ZXCVFIXVIBETOKEN1ZXCV చెల్లుబాటు అయ్యే సెషన్ లేనప్పుడు HTTP ప్రతిస్పందన బాడీలో "ఇండెక్స్ ఆఫ్ /" స్ట్రింగ్ వంటి ప్రామాణిక డైరెక్టరీ జాబితా నమూనాల ఉనికి ద్వారా హాని కలిగించే స్థితి సాధారణంగా సూచించబడుతుంది.

ZoneMinder versions 1.29 and 1.30 are affected by a bundled Apache HTTP Server misconfiguration. This flaw allows remote, unauthenticated attackers to browse the web root directory, potentially leading to sensitive information disclosure and authentication bypass.

CVE-2016-10140CWE-200

Impact

A remote, unauthenticated attacker can browse directories within the web root of a ZoneMinder installation [S1]. This exposure allows for the disclosure of sensitive system information and can lead to a complete authentication bypass, granting unauthorized access to the application's management interface [S1].

Root Cause

The vulnerability is caused by a flawed Apache HTTP Server configuration bundled with ZoneMinder versions 1.29 and 1.30 [S1]. The configuration fails to restrict directory indexing, which results in the web server serving directory listings to unauthenticated users [S1].

Remediation

To address this issue, administrators should update ZoneMinder to a version that includes a corrected web server configuration [S1]. If an immediate upgrade is not possible, the Apache configuration files associated with the ZoneMinder installation should be manually hardened to disable directory indexing and enforce strict access controls on the web root [S1].

Detection Research

Research into this vulnerability indicates that detection involves identifying ZoneMinder instances and attempting to access the web root or known subdirectories without authentication [S1]. A vulnerable state is typically indicated by the presence of standard directory listing patterns, such as the "Index of /" string, in the HTTP response body when no valid session is present [S1].