Synology и QNAP заявили об уязвимостях в своих NAS-системах

CVE-2022-23125

уязвимость в AFP-сервере?? я че-то даже про такой протокол не слышал. чисто маковская вещь.

синолоджи вообще на линуксе, да? почему эта новость здесь? почему в разделе проприетарное ПО?

Хоть бы в двух словах сказал, в чем суть уязвимостей.

Apple Filing Protocol

Яблочный протокол для обработки напильником? В любом случае яблоеды должны страдать

Для эксплуатации этих уязвимостей нужно быть в одной локалке с NAS? Если да, то не уязвимость, а дерьмо.

The specific flaw exists within the copyapplfile function. When parsing the len element, the process does not properly validate the length of user-supplied data prior to copying it to a fixed-length stack-based buffer. An attacker can leverage this vulnerability to execute code in the context of root.

сейчас налетят ретрограды со своими «они просто криворукие», у которых глобус не тот

классика жанра сишки: переполнение буффера на стеке

Никогда такого не было, и вот опять!

Я уже со счету сбился, сколько уязвимостей и бекдоров в готовых NAS, роутерах, принтерах и прочем… про IoT устройства я вовсе молчу.

Любой разумный человек должен понимать, что любое готовое проприетарное решение — кишмя кишит бекдорами и уязвимостями, а если не новое, то его ещё и обновить нельзя.

А что, у кого-то AFP прокинут наружу? Или злоумышленнику нужно быть в локалке?

Для эксплуатации этих уязвимостей нужно быть в одной локалке с NAS? Если да, то не уязвимость, а дерьмо.

Ну типа да. Тебе привет от Пети.

уязвимость в AFP-сервере?? я че-то даже про такой протокол не слышал. чисто маковская вещь.

Объявлен устаревшим Apple лет пять назад в пользу SMB

про IoT устройства я вовсе молчу.

S в аббревиатуре IoT означает «Security»

Объявлен устаревшим Apple лет пять назад в пользу SMB

Да? И тайммашина по SMB бэкапиться может?

Да

Ого, ничосе. Еще думал, че это netatalk забил на апдейты, а оно вона как.

НЕМЕДЛЕННО ВЫКЛЮЧИ КОМПЬЮТЕР – ТАМ ПОЛНО УЯЗВИМОСТЕЙ.

Тебе привет от Пети.

Не знаю кто это, но пусть косарь вернёт

Может Петя косарь и заработал… в биткойнах.

https://ru.wikipedia.org/wiki/Petya

Хотя оригинальный WannaCry уж точно.

Ну одно дело, когда ты торчишь голой жопой в интернет, а другое когда в твоей сети появляется какое-то заражённое дерьмо.

другое когда в твоей сети появляется какое-то заражённое дерьмо.

Ну вот для новости в сабже этого достаточно.

Да, но недостаточно чтобы я посчитал это серьёзной уязвимостью и забеспокоился о своём NAS.

но недостаточно чтобы я посчитал это серьёзной уязвимостью и забеспокоился о своём NAS.

Да кому ты нужен.

Компьютер работает на по большей части свободной и регулярно обновляемой ОС, в отличие от многих IoT-устройств.

...то любое готовое проприетарное решение — кишмя кишит бекдорами и уязвимостями...

Ну уж в опен-сорс продуктах никогда не находят десятилетние уязвимости, ведь в них любой может посмотреть код и легко устранить все бреши )))

Да, тоже бывает. Но СПО обычно имеет более долгие сроки поддержки, чем написанная за миску риса закрытая прошивка устройства, которую забрасывают вскоре после выхода. И СПО, в отличии от закрытой прошивки, не проблема обновлять или менять на аналог.

И СПО, в отличии от закрытой прошивки, не проблема обновлять

Практика показывает, что нет.

Около половины серверов в сети на линуксах висят наружу с известными 1-day уязвимостями.

Обновления — вещь не такая простая.

Get the fact.

по большей части свободной и регулярно обновляемой ОС

Да, но уязвимостей в ней не меньше, чем в проприетарных.

Это проблема с организацией работы, а не с технической невозможностью.

Как раз с технической.

Трудность обновления — это техническая проблема.

Что какой-то технический специалист должен с этим долбиться вместо запуска одной команды «update/upgrade» — это техническая проблема.

Да-да, обновления как исправляют уязвимости, так и привносят новые. Но они меняются, что лучше, чем когда устройство, купленное 5 лет назад, так и работает с уже известными всему миру дырами до выхода из строя.

Нет, чисто организационная. Все Linux и BSD системы имеют корректно работающие штатные механизмы обновлений. Наладить тестирование на пробных серверах тестирование обновлений перед продом и резервные сервера на случай отката — организационная задача.

А вот проблема с обновлением неподдерживаемого «черного ящика», который для закрытия уязвимостей в нём нужно сперва взломать, а потом ещё реверсом написать для него новую прошивку и снова взломать для её заливки — уже и впрямь техническая.

В первом случае — все инструменты есть, нужно всего лишь организовать их работу. Во втором — эти инструменты ещё изготовить нужно.

Все Linux и BSD системы имеют корректно работающие штатные механизмы обновлений

Это называется глупая идеализация. В реальности такого нет, если выйти за пределы сферического линукса в вакууме - это техническая проблема.

И одним тестированием это не решается.

Ты сейчас серьёзно заявляешь, что обновляемый GNU/Linux не менее дыряв, чем проприетарное IoT?

Геть the fuckts

Ловите мелкомягкого реваншиста

Так ссылки же есть на заведенные цве, там должно быть написано

Нет, я заявляю что дырок в опенсорсе не меньше, чем в проприетарном софте.

Нет, я заявляю что дырок в опенсорсе не меньше, чем в проприетарном софте.

И, как правило, они более эпичные.

можно подумать OSS от задних проходов и уязвимостей не кишмя кишит

а вот это как раз очень спорно

шерето!

Не неси чушь. Пакетные системы в Linux и BSD работают хорошо. Да, косяки с обновлениями бывают, конечно, но не так часто.

Всякие Arch и прочие R&D дистрибутивы в расчет не берем.

В сферическом в вакууме применении. То есть без всего.

Лично я ни у себя дома, ни на работе (и да, у меня там были именно что тысячи серверов) не сталкивался со сбоями в пакетной системе, и от коллег не слышал. Вот с драйверами под железо были случаи и там и там, но это другое.

Несколько раз пришлось разрешать dep-hell на Debian, но я там кучу репозиториев и веток намешал, и сами конфликты решились быстро, да и вообще это известная особенность. Вот на Arch однажды после обновления ОС вообще не запустилась, но это Arch. По работе же сама установка и обновление пакетов на RHEL (из Linux у нас других почти не было) работала идеально.

но это другое

В сферическом в вакууме применении. То есть без всего.

Ставь какой-то OpenWRT на какой-то роутер, там автоматом чего-то по обновлений в cron и всё. Остальное не считается. Если что сломается, ты проиграл.

К каждой железке красноглазого тебя не поставишь. Это деньги.

PS: да и на серверах побольше переносы всяких даже попсовых CMS — та ещё веселуха.

Так речь не о всём проприетарном софте, а о необновляемых IoT-прошивках.

Лично я ни у себя дома, ни на работе (и да, у меня там были именно что тысячи серверов) не сталкивался со сбоями в пакетной системе

А я вот сталкивался. В основном это касается апгрейда с CentOS 6 на 7. Не забывай, что сервер - это не только LAMP, а еще и ПО, иногда писанное под конкретную версию ОС с ее характерными зависимостями. И да, это тоже - сервер. Например веб-гуи. Начинаешь обновлять систему - оно пытается естественно обновить и другие компоненты, попутно предлагая снести пол-инфраструктуры. Прога написана для условного php, только в старой системе это php 5.6, а в новой системе это php 8.0, но поскольку php указан в зависимостях, то при попытке чо-то сделать с php - прогу предлагают снести, гы-гы. Это как раз - твоя пакетная система.

Так речь не о всём проприетарном софте, а о необновляемых IoT-прошивках.

IоT - это ентертеймент, игрушка. Уязвимостей как таковых, там вообще быть не может. Ты ж не называешь телевизоры LG уязвимыми, только потому что ты своим пультом, можешь в окно выключить телек соседу ?

Если какой-то дурак, условно говоря, ставит на дверной замок китайский девайс с вхардкоженным admin\admin - то ССЗБ, пушо такие решения должны быть либо под ключ (так чтобы любая возможная уязвимость существовала в единичном количестве на этой планете), либо от проверенных вендоров, которые завтра не перестанут отвечать на звонки.

Тайваньский поставщик под брендом QNAP также призывает специалистов отключить AFP-протокол на сетевых хранилищах (Network Attached Storage, NAS) до устранения существующих недостатков.

Вот блин, у меня используется и отключить не могу.

Кому в голову может прийти обрабатывать яблоки напильником?

AFP Вот блин, у меня используется и отключить не могу.

Для чего? 🤨

У пользаков с маков на нем сохраняется.