LINUX.ORG.RU

Synology и QNAP заявили об уязвимостях в своих NAS-системах

 , , , ,


0

1

Компании QNAP и Synology заявили о многочисленных критических Netatalk-уязвимостях серверов.

Согласно опубликованному отчёту Synology, с помощью многочисленных уязвимостей удалённые злоумышленники могут получить конфиденциальную информацию и, возможно, выполнить произвольный код с помощью уязвимой версии Synology DiskStation Manager (DSM) и Synology Router Manager (SRM).

Производитель уведомил своих клиентов и о трёх других уязвимостях CVE-2022-23125, CVE-2022-23122 и CVE-2022-0194, позволяющих удаленному злоумышленнику запускать произвольный код на целевых устройствах. Несмотря на то, что в прошлом месяце команда разработчиков Netatalk выпустила исправления безопасности для устранения недостатков, Synology сообщает, что выпуск некоторых из затронутых продуктов все еще «продолжается».

Компания также добавила, что уязвимости Netatalk уже исправлены для устройств, работающих под управлением DiskStation Manager (DSM) 7.1 или более поздней версии.

Тайваньский поставщик под брендом QNAP также призывает специалистов отключить AFP-протокол на сетевых хранилищах (Network Attached Storage, NAS) до устранения существующих недостатков. Кроме того, компания объявила об исправлении уязвимости в QTS 4.5.4.2012 build 20220419 и более поздних версиях.

>>> Подробности на новостном портале securitylab

★★

Проверено: hobbit ()

CVE-2022-23125

уязвимость в AFP-сервере?? я че-то даже про такой протокол не слышал. чисто маковская вещь.

синолоджи вообще на линуксе, да? почему эта новость здесь? почему в разделе проприетарное ПО?

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 2)

Apple Filing Protocol

Яблочный протокол для обработки напильником? В любом случае яблоеды должны страдать

upcFrost ★★★★★ ()

Для эксплуатации этих уязвимостей нужно быть в одной локалке с NAS? Если да, то не уязвимость, а дерьмо.

cocucka ★★★★★ ()

The specific flaw exists within the copyapplfile function. When parsing the len element, the process does not properly validate the length of user-supplied data prior to copying it to a fixed-length stack-based buffer. An attacker can leverage this vulnerability to execute code in the context of root.

сейчас налетят ретрограды со своими «они просто криворукие», у которых глобус не тот

seiken ★★★★★ ()
Ответ на: комментарий от urxvt

классика жанра сишки: переполнение буффера на стеке

seiken ★★★★★ ()

Никогда такого не было, и вот опять!

Я уже со счету сбился, сколько уязвимостей и бекдоров в готовых NAS, роутерах, принтерах и прочем… про IoT устройства я вовсе молчу.

Любой разумный человек должен понимать, что любое готовое проприетарное решение — кишмя кишит бекдорами и уязвимостями, а если не новое, то его ещё и обновить нельзя.

Vsevolod-linuxoid ★★★★★ ()

А что, у кого-то AFP прокинут наружу? Или злоумышленнику нужно быть в локалке?

CYB3R ★★★★★ ()
Ответ на: комментарий от cocucka

Для эксплуатации этих уязвимостей нужно быть в одной локалке с NAS? Если да, то не уязвимость, а дерьмо.

Ну типа да. Тебе привет от Пети.

fornlr ★★★★★ ()
Ответ на: комментарий от crypt

уязвимость в AFP-сервере?? я че-то даже про такой протокол не слышал. чисто маковская вещь.

Объявлен устаревшим Apple лет пять назад в пользу SMB

fornlr ★★★★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

про IoT устройства я вовсе молчу.

S в аббревиатуре IoT означает «Security»

AngryElf ★★★★★ ()
Ответ на: комментарий от fornlr

Ого, ничосе. Еще думал, че это netatalk забил на апдейты, а оно вона как.

AngryElf ★★★★★ ()
Ответ на: комментарий от fornlr

Ну одно дело, когда ты торчишь голой жопой в интернет, а другое когда в твоей сети появляется какое-то заражённое дерьмо.

cocucka ★★★★★ ()
Ответ на: комментарий от cocucka

другое когда в твоей сети появляется какое-то заражённое дерьмо.

Ну вот для новости в сабже этого достаточно.

fornlr ★★★★★ ()
Ответ на: комментарий от cocucka

но недостаточно чтобы я посчитал это серьёзной уязвимостью и забеспокоился о своём NAS.

Да кому ты нужен.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от Vsevolod-linuxoid

...то любое готовое проприетарное решение — кишмя кишит бекдорами и уязвимостями...

Ну уж в опен-сорс продуктах никогда не находят десятилетние уязвимости, ведь в них любой может посмотреть код и легко устранить все бреши )))

Sky_Falkorr ()
Ответ на: комментарий от Sky_Falkorr

Да, тоже бывает. Но СПО обычно имеет более долгие сроки поддержки, чем написанная за миску риса закрытая прошивка устройства, которую забрасывают вскоре после выхода. И СПО, в отличии от закрытой прошивки, не проблема обновлять или менять на аналог.

Vsevolod-linuxoid ★★★★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

И СПО, в отличии от закрытой прошивки, не проблема обновлять

Практика показывает, что нет.

Около половины серверов в сети на линуксах висят наружу с известными 1-day уязвимостями.

Обновления — вещь не такая простая.

Get the fact.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от sudopacman

по большей части свободной и регулярно обновляемой ОС

Да, но уязвимостей в ней не меньше, чем в проприетарных.

cocucka ★★★★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

Как раз с технической.

Трудность обновления — это техническая проблема.

Что какой-то технический специалист должен с этим долбиться вместо запуска одной команды «update/upgrade» — это техническая проблема.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от cocucka

Да-да, обновления как исправляют уязвимости, так и привносят новые. Но они меняются, что лучше, чем когда устройство, купленное 5 лет назад, так и работает с уже известными всему миру дырами до выхода из строя.

Vsevolod-linuxoid ★★★★★ ()
Ответ на: комментарий от fornlr

Нет, чисто организационная. Все Linux и BSD системы имеют корректно работающие штатные механизмы обновлений. Наладить тестирование на пробных серверах тестирование обновлений перед продом и резервные сервера на случай отката — организационная задача.

А вот проблема с обновлением неподдерживаемого «черного ящика», который для закрытия уязвимостей в нём нужно сперва взломать, а потом ещё реверсом написать для него новую прошивку и снова взломать для её заливки — уже и впрямь техническая.

В первом случае — все инструменты есть, нужно всего лишь организовать их работу. Во втором — эти инструменты ещё изготовить нужно.

Vsevolod-linuxoid ★★★★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

Все Linux и BSD системы имеют корректно работающие штатные механизмы обновлений

Это называется глупая идеализация. В реальности такого нет, если выйти за пределы сферического линукса в вакууме - это техническая проблема.

И одним тестированием это не решается.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 3)
Ответ на: комментарий от urxvt

Так ссылки же есть на заведенные цве, там должно быть написано

abcq ★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

можно подумать OSS от задних проходов и уязвимостей не кишмя кишит

mumpster ★★★★★ ()
Ответ на: комментарий от fornlr

Не неси чушь. Пакетные системы в Linux и BSD работают хорошо. Да, косяки с обновлениями бывают, конечно, но не так часто.

Всякие Arch и прочие R&D дистрибутивы в расчет не берем.

Vsevolod-linuxoid ★★★★★ ()
Ответ на: комментарий от fornlr

Лично я ни у себя дома, ни на работе (и да, у меня там были именно что тысячи серверов) не сталкивался со сбоями в пакетной системе, и от коллег не слышал. Вот с драйверами под железо были случаи и там и там, но это другое.

Несколько раз пришлось разрешать dep-hell на Debian, но я там кучу репозиториев и веток намешал, и сами конфликты решились быстро, да и вообще это известная особенность. Вот на Arch однажды после обновления ОС вообще не запустилась, но это Arch. По работе же сама установка и обновление пакетов на RHEL (из Linux у нас других почти не было) работала идеально.

Vsevolod-linuxoid ★★★★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

но это другое

В сферическом в вакууме применении. То есть без всего.

Ставь какой-то OpenWRT на какой-то роутер, там автоматом чего-то по обновлений в cron и всё. Остальное не считается. Если что сломается, ты проиграл.

К каждой железке красноглазого тебя не поставишь. Это деньги.

PS: да и на серверах побольше переносы всяких даже попсовых CMS — та ещё веселуха.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 5)
Ответ на: комментарий от Vsevolod-linuxoid

Лично я ни у себя дома, ни на работе (и да, у меня там были именно что тысячи серверов) не сталкивался со сбоями в пакетной системе

А я вот сталкивался. В основном это касается апгрейда с CentOS 6 на 7. Не забывай, что сервер - это не только LAMP, а еще и ПО, иногда писанное под конкретную версию ОС с ее характерными зависимостями. И да, это тоже - сервер. Например веб-гуи. Начинаешь обновлять систему - оно пытается естественно обновить и другие компоненты, попутно предлагая снести пол-инфраструктуры. Прога написана для условного php, только в старой системе это php 5.6, а в новой системе это php 8.0, но поскольку php указан в зависимостях, то при попытке чо-то сделать с php - прогу предлагают снести, гы-гы. Это как раз - твоя пакетная система.

windows10 ★★★ ()
Ответ на: комментарий от sudopacman

Так речь не о всём проприетарном софте, а о необновляемых IoT-прошивках.

IоT - это ентертеймент, игрушка. Уязвимостей как таковых, там вообще быть не может. Ты ж не называешь телевизоры LG уязвимыми, только потому что ты своим пультом, можешь в окно выключить телек соседу ?

Если какой-то дурак, условно говоря, ставит на дверной замок китайский девайс с вхардкоженным admin\admin - то ССЗБ, пушо такие решения должны быть либо под ключ (так чтобы любая возможная уязвимость существовала в единичном количестве на этой планете), либо от проверенных вендоров, которые завтра не перестанут отвечать на звонки.

windows10 ★★★ ()

Тайваньский поставщик под брендом QNAP также призывает специалистов отключить AFP-протокол на сетевых хранилищах (Network Attached Storage, NAS) до устранения существующих недостатков.

Вот блин, у меня используется и отключить не могу.

anc ★★★★★ ()
Ответ на: комментарий от upcFrost

Кому в голову может прийти обрабатывать яблоки напильником?

eternal_sorrow ★★★★★ ()
Ограничение на отправку комментариев: только для зарегистрированных пользователей