…生活與工作…個人的生活雜記….
  • Generic selectors
    Exact matches only
    Search in title
    Search in content
    Post Type Selectors
    Search in posts
    Search in pages

QNAP更新ShllShock的漏洞

已發表

9/25日,多家資安網站及Linux廠商發現一個名為Shellshock(CVE-2014-6271和CVE-2014-7169)的資安漏洞.
一個比 HeartBleed 危害更大且影響範圍更廣的漏洞.


這個漏洞的主角是Bash,一個廣泛使用在UNIX系統的shell(殼?命令導引??)
之前的Heartbleed他是在ssh下造成資料泄露,並不能遠端執行命令或是取得電腦權限,但是 ShllShock卻能輕鬆的在CGI或是Web Service中取得電腦管理權限.
雖然各大Linux場在第一時間都提供了新的Bash更新給大家下載,但是在一些嵌入式系統(非busybox)或是較舊的設備就能能無法更新.

在尚未更新的設備放可以利用() { :;};來跳過權限的部分,達到執行命令的效果

圖片 46

圖片 45

 

更新後則會將此狀況阻擋

圖片 44

但是根據Google 安全人員 Tavis Ormandy 在 Twitter 上表示 “這次的 patch 似乎並不完整”來看,或許類似的漏洞還是會一直出現吧.

 

在QNAP的部分則必須使用手動更新的方式來安裝新版本的FW

目前新版本是在9/27釋出,有需要的人可以自行QNAP下載更新.

 

 

9/29QNAP發出的新聞稿

威聯通科技釋出新版 QTS 韌體,修復 GNU Bash 安全漏洞

台灣,台北,2014 年 9 月 29 日 – 威聯通®科技 (QNAP® Systems, Inc.) 今日釋出新版 QTS 韌體以修復 GNU Bash 的安全性漏洞 CVE-2014-6271CVE-2014-7169 (亦稱為 Shellshock)。駭客能利用此漏洞改變環境變數,藉以透過遠端取得安裝 UNIX/ Linux 作業系統的設備控制權,Turbo NAS 在某些情況下也可能受到影響。

威聯通的安全實驗室已驗證並確認 QTS 4.1.1 Build 0927 版本已有效修復 CVE-2014-6271 和 CVE-2014-7169 安全性漏洞,並強列建議所有 Turbo NAS 使用者立即更新此版韌體。

GNU Bash 仍然存在 CVE-2014-6277 安全漏洞風險,至今尚未修復。威聯通將密切關注 GNU 是否釋出修復程式,並即時推出更新版本。

QTS 4.1.1 Build 0927 現可於 QTS 管理介面及威聯通官方網站下載中心 (http://www.qnap.com/download) 下載使用,適用 Turbo NAS 型號如下:

  • TS-EC880 Pro, TS-EC1080 Pro, TS-EC880U-RP, TS-EC1280U-RP, TS-EC1680U-RP, TS-EC2480U-RP
  • TS-879 Pro, TS-1079 Pro, TS-879U-RP/EC879U-RP , TS-1279U-RP/EC1279U-RP, TS-1679U-RP/EC1679U-RP, SS-EC1279U-SAS-RP, SS-EC1879U-SAS-RP, SS-EC2479U-SAS-RP
  • TS-470, TS-470 Pro, TS-670, TS-670 Pro, TS-870, TS-870 Pro
  • TS-1270U-RP, TS-870U-RP, TS-1269U-RP,TS-869U-RP, TS-269 Pro/269L, TS-469 Pro/469L, TS-469U-RP/SP, TS-569 Pro/569L, TS-669 Pro/669L, TS-869 Pro/869L
  • SS-453 Pro, SS-853 Pro, TS-253 Pro, TS-453 Pro, TS-653 Pro, TS-853 Pro
  • TS-251, TS-451, TS-651, TS-851
  • HS-210, HS-251, IS-400 Pro
  • TS-121, TS-221, TS-421, TS-421U
  • TS-120, TS-220, TS-420, TS-420U
  • TS-119/119P+/119P II, TS-219/219P/219P+/219P II, TS-419P/419P+/419P II, TS-419U/419U+/419U II
  • TS-259 Pro/259 Pro+, TS-459 Pro/459 Pro+/459 Pro II, TS-459U-RP/SP/459U-RP+/SP+, TS-509 Pro, TS-559 Pro/559 Pro+/559 Pro II, TS-659 Pro/659 Pro+/659 Pro II, TS-859 Pro/859 Pro+, TS-859U/859U+
  • SS-439 Pro, SS-839 Pro, TS-239 Pro, TS-239H, TS-239 Pro II, TS-239 Pro II+, TS-439 Pro, TS-439 Pro II, TS-439 Pro II+, TS-439U RP/SP, TS-639 Pro
  • TS-110, TS-210, TS-410, TS-410U
  • TS-112, TS-212/212P/212-E, TS-412, TS-412U
  • TS-809 Pro, TS-809U-RP

You may also like