Fw: [討論] QNAP強制更新5.0

SFGEX 發表於 2022/1/29 上午2:14:37

看板Storage_Zone標題Fw: [討論] QNAP強制更新5.0作者

SFGEX

(SFGEX)時間Jan 29 02:14:37 2022推噓13 推:14 噓:1 →:58

PTT推薦

※ [本文轉錄自 Tech_Job 看板 #1Xz35xLz ]

作者: SFGEX (SFGEX) 看板: Tech_Job
標題: [討論] QNAP強制更新到5.0
時間: Sat Jan 29 02:09:59 2022

https://reurl.cc/l9QmLY

意思是QNAP強制用戶更新到5.0，以防勒索病毒
現在問題是在沒勾選"自動更新"的用戶也會被強制更新，
FB NAS社團的討論已經炸開了，PTT用戶有人也遇到此問題嗎?

我的認知內用戶不更新是為了穩定，升版後有些事就做不了了，可能會剝奪用戶權利。
因此猜是不更新會有更大災難，不然決策者不可能不知道風險

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.174.49.131 (臺灣)
※ 文章網址: https://www.ptt.cc/Tech_Job/M.1643393403.A.57D
※ 編輯: SFGEX (1.174.49.131 臺灣), 01/29/2022 02:14:06

※ PTT 留言評論

※ 發信站: 批踢踢實業坊(ptt.cc) ※ 轉錄者: SFGEX (1.174.49.131 臺灣), 01/29/2022 02:14:37

→

maniaque 01/29 06:46穩定??外網裸奔,然後被綁架,又靠北QNAP? Dochi ?

推

Koibito 01/29 08:06不更新到時又再靠北系統廠漏洞多www

→

crono0 01/29 08:23qnap 近期更新倒是真的挺多問題，fb上的社團在年初

→

crono0 01/29 08:23更新後一片哀嚎無法登入之類的問題，很多qnap用戶

→

crono0 01/29 08:23看到更新都要觀望一陣子

推

taohua 01/29 08:47用戶要求qnap回應是如何繞過許可強迫更新的這個

→

taohua 01/29 08:47問題看起來不比勒索病毒小喔

推

cppwu 01/29 08:54他們家法務是死了是不是… T&C沒有的也敢硬幹

→

cunankimo 01/29 10:49有埋後門嗎? 不然怎麼從遠端強制用戶更新?

→

ornv 01/29 10:59所有產品型號嗎？

→

maniaque 01/29 11:22應該那些QNAP NAS有聯網際網路吧

推

labbat 01/29 11:35國產手機都有強制更新，這不奇怪吧

推

z255477 01/29 12:21至少會先通知一下的吧？

→

z255477 01/29 12:21而且奇怪的是直接升大版

→

z255477 01/29 12:21相容性出問題再來說版本限制？

→

seiya2000 01/29 14:12更新也罵，不更新也罵，真難伺候

推

visa829 01/29 14:27來了來了，檢討使用者難伺候，問題是更新的選擇權吧

推

z255477 01/29 14:48這根本是廠商沒處理好，並不是客戶的問題

推

wenjie0810 01/29 14:51有人就是更新韌體結果資料全部遺失

→

wenjie0810 01/29 14:53像華云的在更新的注意事項就再三提醒最好先備份

→

prussian 01/29 16:41這種就算不得已得強制更新,也要是推安全性更新而已

→

prussian 01/29 16:41哪有人直接推大版本更新的

→

prussian 01/29 16:47你要用最侵犯性的手段,當然是要以造成最小影響為先

推

sirakuma 01/29 17:27qnap這樣搞過之後名聲也毁的差不多了

→

sirakuma 01/29 17:27官方到現在還沒回應到底怎麼強上更新的你的NAS不

→

sirakuma 01/29 17:27是你的NAS 鬼才敢繼續買他們家

推

wenjie0810 01/29 17:40這個問題更可怕的是

→

wenjie0810 01/29 17:40那我NAS裡面的資料

→

wenjie0810 01/29 17:40原廠是不是都能直接拿到？

→

Medic 01/29 17:47這次攻擊者用50顆BTC挾全體中標用戶勒索Qnap 我想

→

Medic 01/29 17:48其他業者也很緊繃以後被找到洞都可能這樣搞

→

LuckSK 01/29 21:13以後有洞放更新，消費者不更被勒索算誰頭上，好像還

→

LuckSK 01/29 21:13是廠商

→

maniaque 01/30 01:01強制更新vs不強制更新,都是兩難,用戶講幹話也得吞

→

maniaque 01/30 01:02這個漏洞大概大到可讓駭客輕易的進去NAS內OOXX

→

maniaque 01/30 01:02官方才只能選擇對客戶最小傷害的方案

→

maniaque 01/30 01:02資料遺失這一塊,我想官方早就有考慮評估過了

→

maniaque 01/30 01:03就算真給他萬分一遇到更新後垮資料,找官方去救援

→

maniaque 01/30 01:03想必也不會太難,更何況NAS 設計導向就是保護資料優

→

maniaque 01/30 01:04先原則

→

maniaque 01/30 01:04比較擔心的反而是駭客進門之後怎樣搞吧....

噓

Fortis931 01/30 01:27嘢屎啦威廉通我會幫你救援護航要不要這麼扯

→

koster 01/30 03:07大概就跟當年三星Note7爆炸很像吧官方真的要強迫更

→

koster 01/30 03:08新總是有辦法的雖然當初有安全疑慮但背後繞過使

→

koster 01/30 03:09用者同意的手法應該類似

→

tomsawyer 01/30 04:29強迫更新一定有方法的阿 rpc一呼叫就推送更新不管

→

tomsawyer 01/30 04:29哪間廠牌都會留這種後手吧

→

playerlin 01/30 11:26確實是兩難的問題，只是說，我覺得沒更新中獎還可以

→

playerlin 01/30 11:26推託，強迫更新結果人家資料爆炸就一定要吞了。

→

playerlin 01/30 11:27兩個都是大問題所以可以理解社群爆炸跟廠商兩難。

→

dennisxkimo 01/30 12:11被強更+1，什麼都沒對外，沒用的功能幾乎都關掉，單

→

dennisxkimo 01/30 12:11純做iSCSI，沒對外開放，躲在防火牆後面，但可以上

→

dennisxkimo 01/30 12:11網，可以上網是為了檢查4版韌體跟app的最新更新而已

→

dennisxkimo 01/30 12:11，也沒跟官方cloud帳號做任何的連結設定，28日午夜

→

dennisxkimo 01/30 12:11突然就autoupdate了。

→

SFGEX 01/30 13:03只要對外就會更新了吧

→

dennisxkimo 01/30 13:11過去一直都是不自動，手動允許的，有計畫性執行，這

→

dennisxkimo 01/30 13:11次突然被升大版，還好時間點沒有影響到什麼

→

middle1023 01/30 18:09機器太舊就沒更新了 TS-251C.....

→

worldark 01/31 07:14有遇過大版更新AD帳號權限整個跑掉業務停擺的還

→

worldark 01/31 07:14真敢...

→

Klauhal 01/31 22:05用NAS當AD也挺趕的...

→

Klauhal 01/31 22:05*敢

推

doom3 02/01 09:32會強更代表漏洞太大吧== 先幫駭客掃一遍網路還在4的

推

PianoGuys 02/01 14:21小公司用Q牌做LDAP 還蠻正常的，如果是超過20人以上

→

PianoGuys 02/01 14:21，還是搞個AD比較實在，不然就是公司有人負責架LDAP

→

PianoGuys 02/01 14:21，負責維護，否則掛在NAS上還蠻危險的

推

IOU9527 02/01 15:58有人中獎還在還原中突然強制更新重開...噗

→

IOU9527 02/01 15:58可以強制更新也代表原廠留有後門吧

推

BDrip 02/01 20:13應該都有吧三星note7不是也有強制更新限制電量

→

tomsawyer 02/05 07:09nas ad? 是指syno ldap還是samba4 我覺得非win ad

→

tomsawyer 02/05 07:09都挺殘破的只是nas的gui比較人性化

→

donflower 02/05 14:35過年前這樣搞是嫌大家不夠旺是嗎

其他人也閱讀了

PTT 熱門相關