兩大 NAS 廠商 QNAP、Synology 近日修正大量開源套件漏洞,請有使用相關產品的使用者,盡快為 NAS 安裝更新。
多個開源套件(如 Samba)被發現存在多個漏洞,遠端攻擊者可利用這些漏洞,於目標系統觸發阻斷服務狀況、權限提升、遠端執行任意程式碼、洩露敏感資料、跨網站指令碼及繞過保安限制等等。而不少網絡設備尤其是 NAS 會使用到這些套件提供的服務與功能,因此各廠商已陸續釋出更新修補漏洞。
廠商修復情況
根據 Synology DSM 7.1.1-42951 的更新公告,官方已於此版本修復大量漏洞,包括 Linux 內核、OpenSSL、Mbed-TLS、Python 及 ISC DHCP 等相關漏洞,請用戶盡快更新至 7.1-42661 及更高版本,以免受到黑客入侵的風險。
不過上述所提及的 Samba 相關的漏洞 (CVE-2022-32742, CVE-2022-2031, CVE-2022-32744, CVE-2022-32746),Synology 的公告顯示修復仍在進行中,仍未有修正檔提供,請使用者做好安全防護及密切留意進度。
而已修復漏洞逾 60 個,介乎 2018 年至 2022 年間被發現,代號如下:
CVE-2022-27239、CVE-2022-29869、CVE-2022-29155、CVE-2022-22576、CVE-2018-25032、CVE-2022-27406、CVE-2021-30004、CVE-2021-30266、CVE-2021-43396、CVE-2022-23218、CVE-2022-23219、CVE-2018-20573、CVE-2018-20574、CVE-2019-6285、CVE-2019-11477、CVE-2019-11478、CVE-2019-11479、CVE-2020-12770、CVE-2019-18282、CVE-2019-19527、CVE-2019-19532、CVE-2019-19537、CVE-2021-0605、CVE-2021-3732、CVE-2021-3739、CVE-2021-3753、CVE-2021-4149、CVE-2021-4203、CVE-2021-20317、CVE-2021-20321、CVE-2021-20322、CVE-2021-29154、CVE-2021-29650、CVE-2021-34556、CVE-2021-35477、CVE-2021-39633、CVE-2021-39698、CVE-2021-45868、CVE-2022-0185、CVE-2022-0330、CVE-2022-0617、CVE-2022-0847、CVE-2022-1011、CVE-2022-1048、CVE-2022-1055、CVE-2022-1353、CVE-2022-20008、CVE-2022-27666、CVE-2022-28893、CVE-2022-29582、CVE-2022-1292、CVE-2021-3712、CVE-2022-0778、CVE-2021-36976、CVE-2022-26280、CVE-2021-44732、CVE-2021-45450、CVE-2021-43666、CVE-2021-3733、CVE-2021-3737、CVE-2022-0391、CVE-2022-24735、CVE-2022-24736、CVE-2021-25217
根據 QNAP 的安全中心發佈的公告,近日釋出的更新修補了多個與開源的 Apache HTTP Server (1, 2) 及 Samba 的漏洞。請用戶盡快更新 QTS 5.0.0.2131 build 20220815 及更高版本或 QTS 4.5.4.2125 build 20220810 及更高版本。已修復漏洞的代號如下:
Apache HTTP Server:CVE-2022-26377、CVE-2022-28330、CVE-2022-28614、CVE-2022-28615、CVE-2022-29404、CVE-2022-30522、CVE-2022-30556、CVE-2022-31813、CVE-2022-22719、CVE-2022-22720、CVE-2022-22721、CVE-2022-23943
Samba:CVE-2022-32742、CVE-2022-2031、CVE-2022-32744、CVE-2022-32745、CVE-2022-32746
廠商或軟件開發商所提供的更新,主要包括兩大方面:1. 漏洞修復、2.功能性及穩定性更新,對於漏洞修復這類安全性更新是十分重要的,而廠商亦會不斷去修復這些被通報的漏洞,因此你會見到不論是手機系統還是 APP 應用,也經常性推送更新,這是十分正常的情況,因此用戶應保持定期更新的習慣,以確保設備的安全,免受黑客的侵害。