Täsir
LibreNMS 24.9.1 we ondan öňki wersiýalarynda tassyklanan ulanyjylara OS buýruk sanjymyny [S2] ýerine ýetirmäge mümkinçilik berýän gowşaklyk bar. Üstünlikli peýdalanmak, web serwer ulanyjysy [S1]-iň artykmaçlyklary bilen özbaşdak buýruklary ýerine ýetirmäge mümkinçilik berýär. Bu, ulgamyň doly ylalaşygyna, duýgur gözegçilik maglumatlaryna birugsat girilmegine we LibreNMS [S2] tarapyndan dolandyrylýan tor infrastrukturasynyň içindäki potensial gapdal hereketine sebäp bolup biler.
Kök sebäp
Gowşaklyk, [S1] operasiýa ulgamy buýrugyna girizilmezden ozal ulanyjy tarapyndan üpjün edilen girişiň nädogry zyýansyzlandyrylmagyndan gözbaş alýar. Bu kemçilik CWE-78 [S1] hökmünde klassifikasiýa edilýär. Zeper ýeten wersiýalarda, [S2] ulgam derejesindäki ýerine ýetiriş funksiýalaryna geçmezden ozal, tassyklanan ahyrky nokatlar parametrleri ýeterlik derejede tassyklap ýa-da arassalap bilmeýär.
Düzediş
Ulanyjylar bu meseläni çözmek üçin LibreNMS gurnamasyny 24.10.0 wersiýasyna ýa-da has soňrak täzelemeli, [S2]. Howpsuzlygyň iň oňat tejribesi hökmünde, LibreNMS administratiw interfeýsine gorag diwarlaryny ýa-da gözegçilik sanawlaryny (ACL) [S1] ulanyp, ygtybarly ulgam segmentleri bilen çäklenmeli.
FixVibe munuň üçin nädip synag edýär
FixVibe indi muny GitHub repo skanerinde öz içine alýar. Çek, diňe composer.lock we composer.json ýaly ammar baglylyk faýllaryny okaýar. librenms/librenms gulplanan wersiýalaryny ýa-da täsir eden <=24.9.1 diapazonyna laýyk gelýän çäklendirmeleri belleýär, soňra garaşlylyk faýlyny, setir belgisini, maslahat belgilerini, täsir edilen diapazony we kesgitlenen wersiýany habar berýär.
Bu statiki, diňe okalýan repo barlag. Müşderi koduny ýerine ýetirmeýär we ekspluatasiýa ýüklerini ibermeýär.