AXIS логотибиAXIS OS аялуу сканери
Гид

Мазмуну жашыруу
1 Introduction
2 Колдонуу чөйрөсү
3 Ыкчам баштоо колдонмосу Ыкчам баштоо колдонмосу
4 Эң кеңири таралган эскертүүлөр
5 Apache web сервер
6 Эң кеңири таралган эскертүүлөр
7 OpenSSL
8 Өз алдынча кол коюлган күбөлүк
9 Web сервердин эскертүүлөрү
10 Микропрограмманын эскертүүлөрү
11 Тармактык эскертүүлөр
12 Аппараттык эскертүүлөр
13 Документтер / Ресурстар
13.1 Шилтемелер
14 Окшош билдирүүлөр

Introduction

AXIS OS аялуу сканери - сөлөкөтү Axis четиндеги түзмөктөр үчүн AXIS OS аялуу сканеринин колдонмосу
Алсыздыктар жана тобокелдиктер
Бардык программалык камсыздоодо пайдаланылышы мүмкүн болгон аялуу жерлери бар. Алсыздыктар автоматтык түрдө коркунуч келтирбейт. Тобокелдик алсыздыкты пайдалануу коркунучунун ыктымалдыгы жана ийгиликтүү эксплуатация жасай турган потенциалдуу терс таасир менен аныкталат. Экөөнүн кайсынысын азайтсаңыз, сиз тобокелдикти азайтасыз. Киберкоопсуздук - бул тобокелдиктерди башкаруу жана тобокелдиктерди жоюу абдан кыйын. Тобокелдиктин деңгээли аппараттын/программанын орнотулушуна, иштетилишине жана башкарылышына жараша болот. Экспозицияны азайтуу (мүмкүнчүлүктөрдү азайтуу) тобокелдиктерди азайтуунун натыйжалуу жолу болуп саналат. AXIS OS катаалдаштыруу колдонмосу Axis түзмөгүн жайылтууда, иштетүүдө жана тейлөөдө тобокелдиктерди азайтуу боюнча бир нече коопсуздук көзөмөлүн жана сунуштарды сүрөттөйт. Кээ бир аялуу жерлерди колдонуу оңой, ал эми кээ бирлери жогорку деңгээлдеги татаалдыкты, атайын чеберчиликти жана/же убакытты жана чечкиндүүлүктү талап кылышы мүмкүн. Коркунуч түзмөккө физикалык же тармакка кирүүнү талап кылат.
Кээ бир алсыздыктар пайдалануу үчүн администратор артыкчылыктарын талап кылат. CVSS (Жалпы аялууларды баалоо системасы) – бул аялуу канчалык оңой пайдаланууну жана мүмкүн болуучу терс таасирин аныктоого жардам берүү үчүн кеңири колдонулган өлчөм. Бул упайлар көбүнчө критикалык системалардагы программалык камсыздоого же колдонуучулардын жана/же Интернеттин таасири жогору болгон программалык камсыздоого негизделет. Axis Axis түзмөктөрүндө колдонулган ачык булак пакеттерине тиешелүү CVE жазуулары үчүн программалык камсыздоодогу белгилүү аялуу жерлерди жарыялаган CVE (Жалпы аялуулуктар жана Exposure) маалымат базасын көзөмөлдөйт. Axis чектелген тобокелдик катары аныктаган алсыздыктар келечектеги микропрограмманын чыгарылыштарында оңдолот. Axis жогорулаган тобокелдик катары аныктаган алсыздыктар артыкчылыктуу түрдө каралат, натыйжада пландаштырылбаган микропрограммалык патч же коркунуч жана сунуштар жөнүндө маалымат берүүчү коопсуздук боюнча кеңеш жарыялоо болот. Скандоочу куралдар жалган позитивдерди билдирет
Скандоочу куралдар, адатта, түзмөктө табылган программалык камсыздоонун жана пакеттердин версия номерлерин изилдөө аркылуу белгилүү кемчиликтерди аныктоого аракет кылат. Скандоочу куралдын жалган-позитивдүү эскертүүлөрдү берүү мүмкүнчүлүгү ар дайым бар, башкача айтканда, аппаратта чындыгында алсыздык жок. Мындай сканерлөө куралдарындагы бардык эскертүүлөр, алар чындыгында аппаратка тиешелүү экендигин тастыктоо үчүн талданышы керек. Сиз Axis түзмөгүндө эң акыркы микропрограмма версиясы бар экенине ынанышыңыз керек, анткени ал бир нече кемчиликтерди чечүүчү тактарды камтышы мүмкүн.

Колдонуу чөйрөсү

Бул колдонмо AXIS OS LTS же активдүү трек микропрограммасын иштетип жаткан бардык AXIS OS негизиндеги өнүмдөр үчүн жазылган жана аларга колдонулушу мүмкүн. 4.xx жана 5.xx микропрограммасы менен иштеген эски өнүмдөр да камтылган.
AXIS OS аялуу сканери - сөлөкөтү Axis четиндеги түзмөктөр үчүн иштөө тутуму.

Ыкчам баштоо колдонмосу Ыкчам баштоо колдонмосу

Axis түзмөгүнүн бир бөлүгү болуп саналган инфраструктуранын, ошондой эле Axis түзмөгүнүн өзүнүн да аялуулугун үзгүлтүксүз баалоо сунушталат. Бул аялуу баалоо, адатта, тармактык коопсуздук сканерлери тарабынан жүзөгө ашырылат. Аялуулугун баалоонун максаты системалуу кайра камсыз кылуу болуп саналатview потенциалдуу коопсуздук кемчиликтери жана туура эмес конфигурациялар. Скандоочу отчеттун сапатын жогорулатуу, ошондой эле жалпы каталарды жана жалган позитивдерди болтурбоо үчүн Axis түзмөгүндө аялуу жерлерди сканерлөөдөн мурун төмөнкү сунуштарды баса белгилегибиз келет.

  • Axis түзмөгүнүн микропрограммасы AXIS OS узак мөөнөттүү колдоо (LTS) трегинде же активдүү тректе акыркы жеткиликтүү релиз менен жаңыртылганын текшериңиз. Акыркы жеткиликтүү AXIS OS микропрограммасын бул жерден жүктөп алсаңыз болот.
  • AXIS OS катаалдаштыруу колдонмосундагы сунуштар сканерден мурун колдонулушу керек, ошондой эле Axis түзмөгү Axis киберкоопсуздук сунуштарына ылайык иштетилгенин текшериңиз.
  • Мисал үчүн коопсуздук сканерине HTTP(S) же SSH аркылуу Axis түзмөгүнө кирүүгө уруксат берилгенде, аныктык тастыкталган аялуу сканерлөөсүн аткаруу сунушталат. Ишенимдүү коопсуздук сканерлөө натыйжалуураак, анткени скандоочу бет бир кыйла кеңейет.
  • Биз кенен билими жана атайын октук сканерлөө топтому бар жакшы түзүлгөн өнөктөштөрдүн жардамы менен аялууларды сканерлөөнүн маанилүүлүгүн баса белгилейбиз. plugins рынокто, мисалы, Tenable, Rapid7, Qualys, же башкалар.

Эң кеңири таралган эскертүүлөр

Эскирген программалык камсыздоо компоненттери
Фондук коопсуздук сканерлери түзмөк программалык камсыздоо компонентинин эскирген версиясын иштетип жатканда баса белгилешет. Ал тургай, коопсуздук сканери иш жүзүндө кайсы версия иштеп жатканын аныктай албай, аны баары бир белгилейт. Коопсуздук сканери Axis түзмөгүндө иштеген программалык камсыздоо компоненттеринин версиясын эң акыркы жеткиликтүү версияга салыштырат. Андан кийин коопсуздук сканери коопсуздук кемчиликтеринин тизмесин чыгарат, атүгүл текшерилип жаткан түзмөк чындап эле ушундай таасир эткенин ырастабастан. Бул Linux ядросунда байкалган, OpenSSL, Apache, BusyBox, OpenSSH, Curl, жана башкалар.
Ачык булактуу программалык камсыздоонун компоненттери жаңы функцияларды, мүчүлүштүктөрдү оңдоолорду жана коопсуздук патчтарын иштеп чыгуу процессинде алышат, натыйжада жогорку релиз цикли пайда болот. Ошондуктан, сыноодон өтүп жаткан Axis түзмөгү программалык камсыздоо компонентинин акыркы версиясын иштетпей жатканы сейрек эмес. Бирок, Axis ачык булактуу программалык камсыздоонун компоненттерин Axis тарабынан критикалык деп эсептей турган коопсуздуктун кемчилдиктери үчүн көзөмөлдөйт жана ошого жараша аларды коопсуздук боюнча кеңешмеде жарыялайт.
Жалпы отчеттуулук шарттары

  • "Linux'тун аялуу версиясы колдонулганы аныкталды"
  • "Анын баннерине ылайык, Apache версиясы иштеп жатат"
  • "Анын баннерине ылайык, OpenSSL версиясы иштеп жатат..."
  • "Сервердин версиясынын ачылышы (баш аты)…"

Тобокелдиктер жана сунуштар
AXIS OS 10.6 жана андан кийин, OpenSSL жана Apache баш маалыматын Plain config > Системде HTTP Server Header Comments параметрин өчүрүү менен өчүрүүгө болот. Пакеттин версиясы оңой аныкталбагандыктан, бул коопсуздук сканерлери тарабынан аялуулардын аныкталбай калышына алып келиши мүмкүн. Axis түзмөгүңүздүн микропрограммасын жаңыртып турууну катуу сунуштайт жана түзмөктөрүңүздө коопсуздук аудитин жүргүзүүгө үндөйт.

Apache web сервер

Фон
Ось приборлорунун негизи алардын web интерфейс жана башкалар web- Apache боюнча тиешелүү функциялар web сервер. The web Axis түзмөктөрүндөгү сервер негизинен эки сценарийде колдонулат:

  • Жалпы максатта Axis түзмөгү менен ал туташтырылган системанын ортосундагы машинадан машинага байланыш үчүн, адатта, ONVIF жана VAPIX сыяктуу API интерфейстери аркылуу Axis түзмөгүнө кире турган видео башкаруу тутуму.
  • Орнотуучу, администраторлор жана акыркы колдонуучу (баштапкы) конфигурациялоо жана тейлөө тапшырмаларын аткарат.

Apache web сервер модулга негизделген ачык булак пакети. Бул жеке модулдар кемчиликтерди камтышы мүмкүн. Төмөндө көбүнчө Axis түзмөктөрүндө жүктөлгөн жана колдонулган модулдардын тизмеси келтирилген:

core_module (статикалык) unixd_module (бөлүштүрүлгөн) authn_core_module (бөлүшүлгөн) proxy_fcgi_module (бөлүшүлгөн) автор en- coded_user_file_модуль (бөлүштүрүлгөн)
so_module (статикалык) alias_module (бөлүшүлгөн) auth негизги модулу (бөлүшүлгөн) proxy_http_module (бөлүшүлгөн) аутентификациялоо мүмкүнчүлүгү модулу (бөлүштүрүлгөн)
filter_module (статикалык) кайра жазуу модулу (бөлүштүрүлгөн) authn file модулу (бөлүштүрүлгөн) proxy_wstunnel_mod- ule (бөлүштүрүлгөн) trax_module (бөлүшүлгөн)
brotli_module (статикалык) cgid_module (бөлүшүлгөн) authz колдонуучу модулу (бөлүштүрүлгөн) баш модулу (бөлүштүрүлгөн) iptos_module (бөлүшүлгөн)
http_module (статикалык) log_config_module (бөлүшүлгөн) authz_owner_module (бөлүшүлгөн) http2_module (бөлүштүрүлгөн) axsyslog_module (бөлүшүлгөн)

Эң кеңири таралган эскертүүлөр

suexec_module (статикалык) setenvif_module (бөлүшүлгөн) auth_digest_module (бөлүшүлгөн) systemd_module (бөлүшүлгөн) ws_module (бөлүшүлгөн)
mime_module (бөлүшүлгөн) ssl_module (бөлүшүлгөн) auth_basic_module (бөлүшүлгөн) authn axisbasic модуль (бөлүштүрүлгөн)
mpm_worker_module (бөлүшүлгөн) socache_shmcb_mod- ule (бөлүштүрүлгөн) proxy_module (бөлүшүлгөн) authz_axisgroupfile_модуль (бөлүштүрүлгөн)

Apache'деги белгилүү бир модулга тиешелүү болгон аялуу Axis edge түзмөгү тарабынан жүктөлүшү жана колдонулушу керек. Жүктөлбөгөн модулдардын алсыздыктары тиешелүү эмес.
Жалпы отчеттуулук шарттары

  • "Apache HTTPD: mod_proxy_ftp башталбаган маанини колдонуу (CVE-2020-1934)"

Тобокелдиктер жана сунуштар
Apache алсыздыктары, адатта, коомчулук үчүн коркунучту жогорулатат web коомдук колдонуучуларга багытталган Интернетке ачык кызматтар. The web Axis түзмөктөрүндөгү сервер орнотуучулар, администраторлор жана тейлөөчүлөр тарабынан гана колдонулушу керек. Axis түзмөктөрүн Интернет аркылуу жеткиликтүү кылуу сунушталбайт жана колдонуучуларга web күнүмдүк операциялар учурунда түзмөккө кирүү үчүн браузер. Кошумча коопсуздук көзөмөлү, мисалы, IP таблицалары, бекитилген кардарларга гана кирүүгө уруксат берүү жана өчүрүү/болтурбоо web тобокелдиктерди андан ары азайтуу үчүн браузерлердин кирүүсүнөн колдонсо болот.

OpenSSL

Фон
Axis түзмөктөрү, мисалы, HTTPS, тастыктама жана шифрлөө учурлары үчүн коопсуздук функцияларын камсыз кылуу үчүн жалпы коопсуздуктун негизги компоненти катары OpenSSL колдонушат. "Эскирген OpenSSL версиясы" Axis түзмөктөрүндө кеңири таралган сканерлөө эскертүүсү жана OpenSSLде жаңы кемчиликтер көп кездешет.
Апачиге окшош web сервер, OpenSSL модулдук платформа болуп саналат; Axis өнүмдөрү тарабынан колдонулбаган модулдардын тизмесин төмөндө караңыз:

жок-камелия жүрөктүн согушу жок жок-mdc2 жок-SRP
жабуу жок жок-хв no-rc5 subthreads жок
жок даталар ой жок жок-SCTP
no-dtls1 жок-md2 үрөн жок

OpenSSLдеги белгилүү бир модулга тиешелүү болгон аялуу Axis edge түзмөгү тарабынан жүктөлүшү жана колдонулушу керек. Жүктөлбөгөн модулдардын алсыздыктары тиешелүү эмес, бирок сканерлөө куралы тарабынан белгилениши мүмкүн.
Тобокелдиктер жана сунуштар OpenSSLдеги аялуу, эгерде система HTTPS же 802.1x (TLS), SRTP (RTSPS) же SNMPv3 сыяктуу кызматтарды колдонбосо, эч кандай коркунуч туудурбайт. Түзмөктүн өзүн бузуп салуу мүмкүн эмес, анткени потенциалдуу чабуул TLS байланыштарын жана трафикти бутага алат. OpenSSL алсыздыктарын пайдалануу тармакка кирүү мүмкүнчүлүгүн, жогорку чеберчиликти жана көп чечкиндүүлүктү талап кылат.

Өз алдынча кол коюлган күбөлүк

Фон
Axis түзмөктөрү шифрленген HTTPS туташуусу аркылуу продуктуга кирүү мүмкүнчүлүгүн камсыз кылуу жана продуктунун баштапкы орнотуусун улантуу үчүн биринчи жүктөөдө автоматтык түрдө түзүлө турган өзүнөн өзү кол коюлган сертификат менен келет. Коопсуздук сканерлери өзүнөн өзү кол коюлган сертификаттын бар экенин кооптуу деп баса белгилеши мүмкүн жана Axis өзү кол койгон сертификатты түзмөктөн алып салууну жана аны уюмуңузда ишенимдүү сервер сертификатына алмаштырууну сунуштайт. Өзүн-өзү кол койгон сертификат бул мааниде баштапкы конфигурациялоо үчүн жашыруун жана коопсуз механизмди камсыз кылат, бирок колдонуучудан аппараттын өзүнүн аныктыгын текшерүүнү талап кылат.
Жалпы отчеттуулук шарттары

  • "SSL сертификатына ишенүүгө болбойт..."
  • "SSL өзү кол коюлган күбөлүк"
  • "X.509 Сертификаттын CN темасы Юридикалык Аты менен дал келбейт..."

Тобокелдиктер жана сунуштар
Өзүн өзү кол койгон сертификаттар тармактын шифрлөөсүн камсыздайт, бирок ортодогу адамдын чабуулдарынан коргобойт (мыйзамдуу тармактык кызматты имитациялаган шылуундук кызматы). Эгер HTTPS же 802.x сыяктуу кызматтарды колдонсоңуз, Сертификат органы (CA) кол койгон тастыктамаларды колдонуу сунушталат. Булар системанын ээси тарабынан мамлекеттик же жеке CA аркылуу берилиши керек. Эгер HTTPS же 802.1x колдонбосоңуз, анда эч кандай коркунуч жок жана негизги OpenSSLдеги аялууларды Axis түзмөгүнө зыян келтирүү үчүн колдонууга болбойт. Axis түзмөктөрүнүн Axis Edge Vault өзгөчөлүктөрү үчүн, өз алдынча кол коюлган сертификат IEEE 802.1AR түзмөктүн ID сертификаты менен алмаштырылган.
RSA ачкычынын узундугу
Фон
Axis түзмөктөрү алдын ала жүктөлгөн өз алдынча кол коюлган сертификат менен келгендиктен, кээ бир түзмөктөрдө 2048 битке караганда сертификат үчүн ачкычтын узундугу кыскараак болот. Көпчүлүк абройлуу CAлардын кол коюу өтүнүчүн четке кагуу үчүн сертификат дагы стандарттуу эмес бит узундугуна ээ. Коопсуздук сканерлери муну кооптуу деп баса белгилеши мүмкүн жана бул сертификатты өндүрүшкө жайылтуудан мурун алмаштыруу сунушталат, анткени ал баштапкы орнотууга гана арналган.
Жалпы отчеттуулук шарттары

  • "SSL тастыктама чынжырында 2048 биттен азыраак RSA ачкычтары бар..."
  • “X.509 сертификатындагы RSA модулунун узундугу: 1536 бит (2048 биттен аз)…”

Тобокелдиктер жана сунуштар
Бул кемчиликти түзмөккө зыян келтирүү үчүн колдонууга болбойт. Axis түзмөктөрүнүн демейки өз алдынча кол коюлган ачкыч узундугу туташуунун кечигүү убактысын жана сертификатты жана ачкычты түзүү убактысын азайтуу үчүн 1536 битке коюлган. Бул ачкычтын узундугу түзмөк аккаунтунун сырсөздөрүн баштапкы абалга келтирүү жана Axis түзмөгүн баштапкы орнотуу сыяктуу административдик тапшырмалар үчүн жетиштүү коргоону камсыз кылат. Демейки тастыктаманы системанын ээси тарабынан берилүүчү CA кол коюлган сертификатка алмаштыруу сунушталат.
Шифр орнотуулары
Фон
Микропрограмманын үзгүлтүксүз жаңыртуулары учурунда Axis түзмөгүнүн жеткиликтүү шифрлеринин тизмеси жаңыртууларды чыныгы шифр конфигурациясын өзгөртпөстөн кабыл алышы мүмкүн. Шифрдин конфигурациясын өзгөртүү Axis түзмөгүнүн фабрикалык демейкисин аткаруу же кол менен колдонуучу конфигурациялоо аркылуу колдонуучу тарабынан башталышы керек. AXIS OS 10.8 жана андан кийин, колдонуучу микропрограмманы жаңыртууну баштаганда шифрлердин тизмеси автоматтык түрдө жаңыланат.
Жалпы отчеттуулук шарттары

  • "Алсыз криптографиялык ачкыч..."
  • "TLS/SSL сервери статикалык ачкыч шифрлерин колдонууну колдойт..."

Мүмкүн болгондо HTTPS шифрлөө үчүн ар дайым эң күчтүү шифрлерди колдонуу сунушталат.
TLS 1.2 жана андан төмөн: TLS 1.2 же андан төмөндү колдонууда сиз Plain Config > HTTPS > Ciphers ичинде колдонула турган HTTPS шифрлерин, андан кийин Axis түзмөгүн өчүрүп күйгүзө аласыз. Axis төмөнкү катуу ойлонулган шифрлердин баарын же бирин тандоону (2021-жылдын сентябрында жаңыртылган) же өзүңүз каалагандай тандоону сунуштайт.
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCMSHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
TLS 1.3: TLS 1.3 колдонууда, Plain Config ичиндеги HTTPS шифрлеринин параметри демейки боюнча эч кандай таасир этпейт, TLS 1.3 ылайык күчтүү шифрлер гана тандалат. Тандоону колдонуучу өзгөртө албайт жана керек болсо микропрограмманы жаңыртуу аркылуу жаңыртылат. Учурда шифрлер (2021-жылдын сентябрында жаңыртылган):
TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384Web сервердин эскертүүлөрү

Web сервердин эскертүүлөрү

Боа web сервер
Фон
Микропрограмма версиясы 5.65 жана андан төмөн болгон Axis түзмөктөрү Boa колдонушат web үчүн сервер web интерфейс жана web- байланыштуу функция. The web Axis түзмөктөрүндөгү сервер негизинен эки сценарийде колдонулат:

  • Axis түзмөгү менен системанын ортосундагы жалпы максаттагы машинадан машинага байланыш үчүн, адатта, ONVIF жана VAPIX сыяктуу API интерфейстери аркылуу Axis түзмөгүнө кире турган видео башкаруу тутумуна туташтырылган.
  • Орнотуучулар, администраторлор жана акыркы колдонуучулар аткарган конфигурациялоо жана тейлөө тапшырмалары үчүн.

Жаңы Apacheге окшош web жаңы микропрограммасы бар Axis түзмөктөрү тарабынан колдонулган сервер, Boa web серверге алсыздыктар таасир этиши мүмкүн. Коопсуздук сканерлери тааныбашы мүмкүн web сервер эски Axis түзмөктөрүндө колдонулат жана ошондуктан бул түзмөктөр Apache колдонот деп ойлошот web сервер. Apache үчүн колдонулуучу аялуу web сервер Boa үчүн колдонулбайт web сервер демейки боюнча, эгерде башкасы айтылбаса.
Жалпы отчеттуулук шарттары

  • "Анын баннерине ылайык, Apache версиясы иштеп жатат ..."
  • "Алыскы хостто орнотулган Apache HTTPd версиясы 2.4.46 чейин. Демек, ага көптөгөн алсыздыктар таасир этет…”

Apache Struts жана Apache Tomcat
Фон
Apache сүрөттөлгөн web сервер 4-бетте , Axis түзмөктөрү алардын негизинде web интерфейс жана web-ачык булактуу Apache боюнча тиешелүү функциялар web сервер. Апачинин башка даамдары web Apache Struts же Tomcat сыяктуу сервер бар, бирок Axis түзмөктөрүндө колдонулбайт. Axis жөнөкөй ачык булагы Apache колдонот web Apache Software Foundation (ASF) сервердик ишке ашыруу.
Жалпы отчеттуулук шарттары

  • "Apache Tomcatта аялуу табылды..."
  • "Apache Strutsтагы Джакартадагы көп бөлүктүү талдоочу…"

Web колдонуучу сессиялары
Фондук Axis түзмөктөрү алардын негизин түзөт web интерфейс жана башкалар web- Apache боюнча тиешелүү функциялар web сервер. The web Axis түзмөктөрүндөгү сервер негизинен эки сценарийде колдонулат:

  • Axis түзмөгү менен системанын ортосундагы жалпы максаттагы машинадан машинага байланыш үчүн, ал адатта ONVIF жана VAPIX сыяктуу API интерфейстери аркылуу Axis түзмөгүнө кирүүчү видео башкаруу тутуму болуп саналат.
  • Орнотуучу, администраторлор жана акыркы колдонуучу (баштапкы) конфигурация жана тейлөө тапшырмаларын аткарганда.

Учурда, Axis түзмөктөр салттуу колдоого албайт web үчүн мүмкүн болгон колдонуучуга негизделген сеанстар web сеанс, мисалы, серепчи терезеси ачык турганда колдонуучунун белгилүү бир убакыттын ичинде аракетсиздигинен кийин чыгуу же автоматтык түрдө бүтөт. аркылуу ар бир суроо web Axis түзмөгүндөгү сервер конкреттүүдөн мурун иштетилиши үчүн туура аутентификациядан өтүшү керек web сессия мындан аркы байланыш үчүн ачык. активдуу жабуу учун а web сеанс, браузер жабылышы керек.
Жалпы отчеттуулук шарттары

  • "Колдонуучунун бир убактагы сессиялары..."
  • "Сессиянын токтотулушу жана мөөнөтү жетишсиз..."
  • “Колдонмодо чыгуу функциясы жок…”

Тобокелдиктер жана сунуштар
Axis түзмөккө видео башкаруу системасы (VMS) сыяктуу тиркеме аркылуу кирүүнү сунуштайт. web браузер, эгерде бул тынчсыздануунун предмети болсо. Бирок, эгерде web браузер жеткиликтүү болгон жалгыз видео кардар, төмөнкү көрсөтмөлөрдү эске алыңыз:

  • Ишенимсиз зыярат кылбаңыз webсайттарды же ишенимсиз жөнөтүүчүлөрдөн ачык электрондук каттарды (бул, албетте, кибер коргоо боюнча жалпы сунуш).
  • Axis түзмөгүн конфигурациялоо үчүн системанын демейки эмес башка браузерди колдонуңуз.
  • түзүү а viewтүзмөктө er каттоо эсеби жана аны качан колдонуңуз viewвидео агымын көрүү. The viewer каттоо эсеби минималдуу артыкчылыктарга ээ жана Axis түзмөгүнүн конфигурациясын өзгөртүүгө укугу жок.
  • Конфигурациядан кийин кол салуу терезесин азайтуу үчүн браузерди кароосуз ачык калтырбаңыз.

Микропрограмманын эскертүүлөрү

Axis микропрограммасынын версиясынын сабы
Фон
Axis аялуу жерлерин ачып берет жана жаңыртылган микропрограмманы коопсуздук оңдоолору менен камсыздайт, ошондуктан кардарлар жаңыртып, потенциалдуу тобокелдиктерди азайта алат. Коопсуздук сканерлери, адатта, Axis продуктусу иштеп жаткан микропрограмманын версиясын чектелүү салыштырууну гана аткарышат, ал кемчиликтерди камтышы мүмкүн. Коопсуздук сканери Axis микропрограммасын туура тааныбай калышы мүмкүн, бул сканер иштеп жаткан микропрограмманы аялуу же кооптуу деп белгилөөсүнө алып келет. Ар дайым текшерилип жаткан продуктунун микропрограммалык версиясы үчүн релиз эскертүүлөрүнө кайрылыңыз, анткени олуттуу же олуттуу аялуу тактары бул документте келтирилген.
Эгерде Axis түзмөгү ыңгайлаштырылган микропрограмма версиясын иштетип жатса же коопсуздук сканери жеткиликтүү Axis микропрограммасынын эң акыркы маалыматы менен жаңыртылбаса, башаламандыкка алып келиши мүмкүн. Төмөндө кээ бир эксampAxis микропрограммасынын версиясынын саптары:

  • 9.70 .1
  • 9.70 .1_ бета
  •  9.70 .1. 5

Жалпы отчеттуулук шарттары

  • “Октун бир нече аялуулары (ACV-128401)…”

Linux бөлүштүрүү жана камтылган пакет менеджери
Фон
Коопсуздук сканерлери аркылуу кирүү маалыматтарын колдонуу менен "ишенимдүү сканерлөө" деп аталганды колдоого алат web түзмөк, анын иштөө тутуму жана анда иштей турган башка программалык камсыздоо жөнүндө көбүрөөк маалымат алуу үчүн кирүү (HTTP) же тейлөө мүмкүнчүлүгү (SSH) аркылуу. Linux дистрибуциясы – бул Poky (OpenEmbedded) версиясы, алар дал келбеши мүмкүн же коопсуздук сканери тарабынан таанылышы мүмкүн болгон жергиликтүү жана жогорку патчтары бар. Андан тышкары, коопсуздук сканери Axis өнүмдөрүндө колдонулбаган пакет менеджерин колдонууну күтүшү мүмкүн.
Төмөндө Axis-колдонулган бөлүштүрүү жана стандарттуу Linux бөлүштүрүү ортосундагы ат схемасын салыштыруу болуп саналат. Белгилей кетсек, акыркысы коопсуздук сканери тарабынан таанылып, Axis версиясы жок болушу мүмкүн. Муну көрсөтүү үчүн, бизде Axis-спецификалык 4.9.206-ок жана Linux-гериктик 54.9.206-генерикалык версия саптары бар.
Жалпы отчеттуулук шарттары

  • "Жергиликтүү коопсуздук текшерүүлөрү ИШТЕГЕН ЖОК, анткени алыскы Linux бөлүштүрүү колдоого алынбайт..."

Шифрленбеген микропрограмма жана чип
Фон
Коопсуздук сканерлери Axis түзмөгүндө колдонулган флеш чиптердин колдонулушун баса белгилеп, аларды же белгилөөлөрү мүмкүн file"шифрленбеген" сыяктуу системалар. Axis түзмөктөрү сырсөздөр, сертификаттар, ачкычтар жана башкалар сыяктуу колдонуучу сырларын шифрлейт fileсөзсүз түрдө шифрлөөсүз fileсистемасы. SD карталары сыяктуу алынуучу жергиликтүү сактагыч LUKS шифрлөө аркылуу шифрленген.
Жалпы отчеттуулук шарттары

  • «Тамырды камтыган флеш чип file аппараттын системасы шифрленген эмес….”
  • "Маалымат шифрленбеген микропрограмманын сүрөтүнөн алынган, анын ичинде…."

Тобокелдиктер жана сунуштар
Бул кемчиликти түзмөккө зыян келтирүү үчүн колдонууга болбойт. Микропрограмма демейки боюнча эч кандай сырды камтыбайт жана бүтүндүгүн текшерүү үчүн микропрограмма кол тамгасынан башка эч кандай коргоону талап кылбайт. Шифрленген программалык камсыздоо коопсуздук изилдөөчүлөрүнө жаңы (белгисиз) кемчиликтерди аныктоону кыйындатат, ал эми шифрленген программалык камсыздоону сатуучулар атайылап кемчиликтерди жашыруу үчүн колдонушу мүмкүн (көпчүлүк аркылуу коопсуздук). Axis түзмөктөрү үчүн, жетүү үчүн тамыр мүмкүнчүлүгү талап кылынат fileага жетүү үчүн аппараттын системасы. Сырсөздөр сыяктуу купуя маалыматтар шифрленгенде сакталат fileсистемасы жана алуу үчүн жогорку деңгээлдеги татаалдыкты, көндүмдөрдү, убакытты жана чечкиндүүлүктү талап кылат. Күчтүү тамыр сырсөзүн колдонуп, аны коргоп алыңыз. Бир эле сырсөздү бир нече камералар үчүн колдонуу башкарууну жеңилдетет, бирок бир камеранын коопсуздугу бузулса, тобокелдикти жогорулатат.
Жүктөгүч
Фондук коопсуздук сканерлери Axis түзмөктөрүндө колдонулган жүктөгүчтү ишке ашыруунун маркасын жана моделин аныкташкан деп ишениши мүмкүн жана ошондуктан коопсуз жүктөө же жүктөгүчтүн өзүнө байланыштуу кемчиликтерди баса белгилеши мүмкүн. Axis тармактык видео жана тармактык аудио продуктулары жүктөө/netboot деп аталган үйдө иштелип чыккан жүктөгүчтү колдонушат.
Жалпы отчеттуулук шарттары

  • "GRUB2 жүктөгүчтүн бардык версияларында кемчилик аныкталды..."
  • "2019.07. чейин Das U-Boot программасында маселе табылды..."

Тармактык эскертүүлөр

TCP/ICMP убакытыamp жооп
Фон
TCP жана ICMP убакыттаamp маалымат көбүнчө хосттордун иштешин жана жеткиликтүүлүгүн өлчөө үчүн тармак куралдары катары колдонулат, ал тармактык түзүлүштүн өзү жөнүндө убакытка байланыштуу маалыматты табуу үчүн да колдонулушу мүмкүн. ICMP убакытыamp ICMP типтеги маалымат 13 (убакытamp суроо) жана ICMP түрү 14 (убакытamp жооп) байланыш UTC боюнча иш жүзүндөгү түзмөк убактысын эсептөө үчүн колдонулушу мүмкүн болгон маалыматты камсыз кылат. TCP убакытыamp маалымат эки тармактын хостунун ортосундагы айланма убакыт (RTT) деп аталган маалыматты эсептөө үчүн колдонулушу мүмкүн, бул Axis түзмөгүнүн учурдагы иштөө убактысын эсептөөгө мүмкүндүк берет.
Коопсуздук сканерлери TCP жана ICMP убактысынын бар экенин белгилей алатamp Axis түзмөктөрүнүн жооптору жана TCP жана ICMP убакытын өчүрүүнү сунуштайбызamp мүмкүн болгон учурда жооптор. Axis Linux ачык булак коомчулугунун сунушун аткарат, ал бул жооптордон берилген дата/убакыт маалыматын өзүнөн өзү коопсуздук коркунучу катары эсептебейт. Ошондуктан TCP/ICMP убакытыamp жооптор дагы демейки боюнча иштетилген. Андан тышкары, Linux ядросунун жаңы версияларында иш жүзүндөгү эсептөө ишенимсиз деп эсептелет, анткени каршы чаралар дата/убакыт маалыматын эсептөөнү ишенимсиз кылууну камсыздайт. Бүгүнкү күнгө карата (2022-жылдын февраль айы), Axis түзмөктөрүндө бул кызматтарды өчүрүүнү актай турган эч кандай белгилүү алсыздыктар же эксплуатациялар ачыкталган жок.
Жалпы отчеттуулук шарттары

  • "TCP убакытыamp жооп табылды…”
  • "ICMP убакытыamp жооп табылды…”

HTTP(S), HSTS саясаты
Фон
Акс түзмөктөрү демейки боюнча HTTP жана HTTPS туташуусуна уруксат берүү үчүн конфигурацияланган. HTTPS режиминде Axis түзмөгүнүн биринчи баштапкы конфигурациясын аткаруу жана конфигурацияны HTTPS туташууларына гана уруксат берүү үчүн биринчи жүктөөдө түзүлгөн өз алдынча кол коюлган сертификатты колдонуу сунушталат. HTTPS, мисалы, төмөнкүдөн ишке ашырылышы мүмкүн web Орнотуулар > Система > Коопсуздук боюнча кийинки Axis түзмөгүнүн интерфейси. Андан тышкары, түзмөк коопсуздугун андан ары жогорулатуу үчүн HSTS (HTTP Strict Transport Security) колдонуу Axis түзмөгү HTTPS гана режиминде иштетилгенде гана автоматтык түрдө иштетилет. HSTS 2018 LTS (8.40), 2020 LTS (9.80) жана AXIS OS 10.1 активдүү тректеринде колдоого алынат.
Коопсуздук сканерлери текшерилип жаткан Axis түзмөгү HTTP гана же HTTP & HTTPS бир эле учурда уруксат берүү үчүн конфигурацияланганын баса белгилеши мүмкүн. Демейде аныктоо жоопту текшерүү жана стандарттуу HTTP портунун 80 портунун абалын текшерүү аркылуу ишке ашырылат. Axis түзмөктү HTTPS режиминде колдонууну сунуштайт. Көптөгөн коопсуздук сканерлеринин аудиттери Axis түзмөктөрүндө аткарылат, анда бул атайын HTTPS конфигурациясы Axis түзмөгүнө HTTP жана/же HTTPS туташууларына жооп берүүгө уруксат берүү менен аткарылбайт.
Жалпы отчеттуулук шарттары

  • “HTTP (80 порту) кооптуу канал аныкталды…”
  • "Web Портал демейки боюнча шифрленбеген HTTP туташууларына уруксат берет…”
  • «Алыстан web RFC 6797 аныктагандай сервер HSTSти аткарбай жатат…”
  • "Транспорттук катмардын коопсуздугу жетишсиз..."

Аппараттык эскертүүлөр

Архитектуранын кемчиликтери
Фон
Кээ бир алсыздыктар аппарат колдонуп жаткан процессордун архитектурасына жараша болушу мүмкүн. Камералар, кодерлер, тагынуучу аппараттар, аудио жана домофон өнүмдөрү сыяктуу октун четиндеги түзмөктөр MIPS жана ARM архитектурасына негизделген жана мис., x64 же x86 архитектурасына негизделген кемчиликтерге таасир этпейт.
Жалпы отчеттуулук шарттары

  • "X512_86 (CVE-64-2019) боюнча OpenSSL rsaz_1551_sqr толуп кетүү катасы…"
  • “x64_64 Монтгомери квадраттоо процедурасы…”

UART / Сериялык консол
Фон
Axis түзмөгүнүн аппараттык жабдыктарын физикалык текшерүү UART (универсалдуу асинхрондук кабылдагыч өткөргүч) же сериялык консолдун бар экендигин баса белгилеши мүмкүн. Axis муну мүчүлүштүктөрдү оңдоо порту деп атайт. Мүчүлүштүктөрдү оңдоо порту инженердик долбоорлор учурунда иштеп чыгуу жана мүчүлүштүктөрдү оңдоо максатында гана колдонулат. Аутентификацияланбаган учурда эч кандай купуя маалымат ачыкка чыкпаса да, мүчүлүштүктөрдү оңдоо портуна кирүү сырсөз менен чектелген жана түпкү колдонуучу гана кире алат. AXIS OS 10.11 жана андан кийин, UART/сериялык консол демейки боюнча өчүрүлгөн жана аны түзмөккө уникалдуу ыңгайлаштырылган микропрограмма сертификаты аркылуу кулпусун ачкандан кийин гана иштетүүгө болот. Бул Axis тарабынан гана берилет жана башка жол менен түзүлбөйт. Жалпы отчеттуулук шарттары

  • “UART/Сериялык консол аркылуу маалыматты ачыкка чыгаруу…”
  • "UART/Serial Console аркылуу Root Shell…"
  • "ПКБда, баштар UART консолун көрсөттү ..."

AXIS OS аялуулугун сканерлөө колдонмосу © Axis Communications AB, 2022
Ver. M3.2 Дата: 2022-жылдын августу
Бөлүк №

Документтер / Ресурстар

AXIS OS аялуу сканери [pdf] Колдонуучунун колдонмосу
OS аялуу сканери, OS сканери, аялуу сканери, сканер

Шилтемелер

Окшош билдирүүлөр

Комментарий калтырыңыз

Сиздин электрондук почта дарегиңиз жарыяланбайт. Талап кылынган талаалар белгиленген *