אימפאקט
LibreNMS ווערסיעס 24.9.1 און פריער אַנטהאַלטן אַ וואַלנעראַביליטי וואָס אַלאַוז אָטענטאַקייטאַד ניצערס צו דורכפירן OS באַפֿעלן ינדזשעקשאַן [S2]. געראָטן עקספּלויטיישאַן ינייבאַלז די דורכפירונג פון אַרביטראַריש קאַמאַנדז מיט די פּריווילאַדזשאַז פון די וועב סערווער באַניצער [S1]. דאָס קען פירן צו פול סיסטעם קאָמפּראָמיס, אַנאָטערייזד אַקסעס צו שפּירעוודיק מאָניטאָרינג דאַטן און פּאָטענציעל לאַטעראַל באַוועגונג אין די נעץ ינפראַסטראַקטשער געראטן דורך LibreNMS [S2].
וואָרצל גרונט
די וואַלנעראַביליטי איז איינגעווארצלט אין די ימפּראַפּער נוטראַלאַזיישאַן פון באַניצער-סאַפּלייד אַרייַנשרייַב איידער עס איז ינקאָרפּערייטיד אין אַ אָפּערייטינג סיסטעם באַפֿעל [S1]. דער פלאָ איז קלאַסאַפייד ווי CWE-78 [S1]. אין אַפעקטאַד ווערסיעס, ספּעציפיש אָטענטאַקייטאַד ענדפּוינץ קענען נישט אַדאַקוואַטלי וואַלאַדייט אָדער סאַניטיזירן פּאַראַמעטערס איידער זיי פאָרן צו סיסטעם-מדרגה דורכפירונג פאַנגקשאַנז [S2].
# # רעמעדיציע יוזערז זאָל אַפּגרייד זייער LibreNMS ינסטאַלירונג צו ווערסיע 24.10.0 אָדער שפּעטער צו סאָלווע דעם אַרויסגעבן [S2]. ווי אַ גענעראַל זיכערהייט בעסטער פיר, אַקסעס צו די LibreNMS אַדמיניסטראַטיווע צובינד זאָל זיין לימיטעד צו טראַסטיד נעץ סעגמאַנץ ניצן פירעוואַללס אָדער אַקסעס קאָנטראָל רשימות (ACLs) [S1].
ווי FixVibe טעסץ פֿאַר עס
FixVibe איצט ינקלודז דעם אין GitHub רעפּאָ סקאַנז. דער טשעק לייענט בלויז אָטערייזד ריפּאַזאַטאָרי דעפּענדענסי טעקעס, אַרייַנגערעכנט composer.lock און composer.json. עס פלאַגס librenms/librenms פארשפארט ווערסיעס אָדער קאַנסטריינץ וואָס גלייַכן די אַפעקטיד קייט <=24.9.1, און ריפּאָרץ די דעפּענדענסי טעקע, שורה נומער, אַדווייזערי ידס, אַפעקטאַד קייט און פאַרפעסטיקט ווערסיע.
דאָס איז אַ סטאַטיק, לייענען-בלויז רעפּאָ טשעק. עס טוט נישט ויספירן קונה קאָד און טוט נישט שיקן גווורע פּיילאָודז.