PTT推薦

[情報] Synology警告嚴重安全性漏洞 快升DSM 7.1

看板PC_Shopping標題[情報] Synology警告嚴重安全性漏洞 快升DSM 7.1作者
oppoR20
(發情豹紋)
時間推噓 8 推:8 噓:0 →:2

https://bit.ly/37X9Hw3

https://i.imgur.com/Mv2xyjL.jpg

圖https://i.imgur.com/Mv2xyjL.jpg?e=1651648118&s=c_DiKV2OCg_MtBXMJcK8BQ, [情報] Synology警告嚴重安全性漏洞 快升DSM 7.1
Synology近日警告使用者他們的NAS將遇到多個Netatalk漏洞的攻擊:
"多個漏洞允許遠端攻擊者取得敏感訊息,且容易透過舊版DSM或SRM來進行攻擊,執行任意程式碼。"

Netatalk為Apple Filing Protocol(AFP)的開源套件 讓*NIX/*BSD的系統來當AppleShare文件伺服器

這個漏洞為 CVE-2022-23121 嚴重性評分高達9.8/10
在Pwn2Own的駭客競賽期間 他們在WD PR4100 NAS的My Cloud OS實現了不用帳號密碼就能遠端執行任意程式碼

Synology同時也警告了另外三個同為9.8/10的嚴重漏洞 分別是CVE-2022-23125、CVE-2022-23122、CVE-2022-0194

Netatalk的開發團隊上個月已經放出了安全性修補程式來補這些漏洞 而Synology則表示目前僅有DSM 7.1-42661-1以上的版本有做這些漏洞的修補 其餘的版本還在開發中

https://i.imgur.com/7EzYfwJ.png

圖https://i.imgur.com/7EzYfwJ.png?e=1651666664&s=JYtG971DwTXjUPAFDtSEWg, [情報] Synology警告嚴重安全性漏洞 快升DSM 7.1
如DSM 7.0/DSM 6.2/VS 2.3及SRM 1.2的漏洞修補都還在開發中 正常來說應該會在90天內放出更新
若尚未更新的使用者 請盡快更新到7.1-42261以上

https://i.imgur.com/cktSpc7.png

圖https://i.imgur.com/cktSpc7.png?e=1651674463&s=Z-O6I0Qbn7OAGt1h5qN12A, [情報] Synology警告嚴重安全性漏洞 快升DSM 7.1
或是先行關閉AFP的protocol 等待更新釋出

當然 QNAP也逃不了這漏洞
https://www.qnap.com/en/security-advisory/qsa-22-12
QNAP目前這些版本都受到影響
QTS 5.0.x 及之後的版本
QTS 4.5.4 及之後的版本
QTS 4.3.6 及之後的版本
QTS 4.3.4 及之後的版本
QTS 4.3.3 及之後的版本
QTS 4.2.6 及之後的版本
QuTS hero 5.0.x 及之後的版本
QuTS hero 4.5.4 及之後的版本
QuTScloud 5.0.x

目前僅有QTS 4.5.4.2012 build 20220419 這個版本已經做好修復了
其餘版本暫時解決辦法跟Synology一樣 關閉AFP
各位還沒更新DSM 7.1的 趕快回去更新rrrr

--
https://i.imgur.com/JafNJu7.jpg

圖https://i.imgur.com/JafNJu7.jpg?e=1651649077&s=yQlpLm3_c2VjXW13NkUnsg, [情報] Synology警告嚴重安全性漏洞 快升DSM 7.1
https://i.imgur.com/hIRE7CD.jpg
圖https://i.imgur.com/hIRE7CD.jpg?e=1651675004&s=DG987E8DiqgmCwKWE0tVOw, [情報] Synology警告嚴重安全性漏洞 快升DSM 7.1
https://i.imgur.com/Gw4grb7.jpg
圖https://i.imgur.com/Gw4grb7.jpg?e=1651685340&s=FvLZjaYrUBEN58r9o3wZSw, [情報] Synology警告嚴重安全性漏洞 快升DSM 7.1
https://i.imgur.com/n54DY2i.jpg
圖https://i.imgur.com/n54DY2i.jpg?e=1651672509&s=MXMDGbNCHRVvR5_FkCON6A, [情報] Synology警告嚴重安全性漏洞 快升DSM 7.1

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.171.244.48 (臺灣)
※ 文章網址: https://www.ptt.cc/PC_Shopping/M.1651397474.A.4AF
※ 編輯: oppoR20 (118.171.244.48 臺灣), 05/01/2022 17:32:02

Kagero 05/01 17:37Google笑而不語

niverse 05/01 17:49感謝分享!

mepowerlmay 05/01 17:51感謝

Rollnmeow 05/01 20:02手上還有一台DS410j停在DSM5.2

colapplefish 05/01 20:16預設AFP是沒開的 有用IOS的要注意

yymeow 05/01 21:53主要是AFP有洞,能關先關,能更新就

yymeow 05/01 21:53更新

filiaslayers 05/01 23:53IOS也不用AFP了吧,都改用smb了

labbat 05/02 04:04會參加駭客競賽的都滿佛的

hollen9 05/02 07:28感謝 立刻幫自己+公司更新