Ta'sir
Masofaviy, autentifikatsiya qilinmagan buzg'unchi ZoneMinder o'rnatish [S1] veb-ildizidagi kataloglarni ko'rib chiqishi mumkin. Ushbu ta'sir qilish nozik tizim ma'lumotlarini oshkor qilish imkonini beradi va ilovaning [S1] boshqaruv interfeysiga ruxsatsiz kirishni ta'minlab, autentifikatsiyani to'liq chetlab o'tishga olib kelishi mumkin.
Asosiy sabab
Zaiflik ZoneMinder 1.29 va 1.30 [S1] versiyalari bilan toʻplangan Apache HTTP serverining notoʻgʻri konfiguratsiyasi tufayli yuzaga keladi. Konfiguratsiya kataloglarni indekslashni cheklay olmadi, buning natijasida veb-server autentifikatsiya qilinmagan foydalanuvchilarga [S1] katalog ro'yxatini taqdim etadi.
Tuzatish
Ushbu muammoni hal qilish uchun administratorlar ZoneMinder-ni [S1] tuzatilgan veb-server konfiguratsiyasini o'z ichiga olgan versiyaga yangilashlari kerak. Agar zudlik bilan yangilanish imkoni bo'lmasa, ZoneMinder o'rnatilishi bilan bog'liq Apache konfiguratsiya fayllari kataloglarni indekslashni o'chirib qo'yish va [S1] veb ildizida qat'iy kirish nazoratini amalga oshirish uchun qo'lda qattiqlashtirilishi kerak.
Aniqlash tadqiqoti
Ushbu zaiflik bo'yicha tadqiqotlar shuni ko'rsatadiki, aniqlash ZoneMinder misollarini aniqlash va [S1] autentifikatsiyasisiz veb-ildiz yoki ma'lum pastki kataloglarga kirishga urinishlarni o'z ichiga oladi. Zaif holat odatda hech qanday to'g'ri sessiya mavjud bo'lmaganda HTTP javob tanasida "Indeksi /" qatori kabi standart katalog ro'yxati naqshlarining mavjudligi bilan ko'rsatiladi [S1].