https://bit.ly/37X9Hw3
https://i.imgur.com/Mv2xyjL.jpg
Synology近日警告使用者他们的NAS将遇到多个Netatalk漏洞的攻击:
"多个漏洞允许远端攻击者取得敏感讯息，且容易透过旧版DSM或SRM来进行攻击，执行任意
程式码。"
Netatalk为Apple Filing Protocol(AFP)的开源套件 让*NIX/*BSD的系统来当AppleShare
文件服务器
这个漏洞为 CVE-2022-23121 严重性评分高达9.8/10
在Pwn2Own的骇客竞赛期间 他们在WD PR4100 NAS的My Cloud OS实现了不用帐号密码就能
远端执行任意程式码
Synology同时也警告了另外三个同为9.8/10的严重漏洞 分别是CVE-2022-23125、CVE-2022
-23122、CVE-2022-0194
Netatalk的开发团队上个月已经放出了安全性修补程式来补这些漏洞 而Synology则表示目
前仅有DSM 7.1-42661-1以上的版本有做这些漏洞的修补 其余的版本还在开发中
https://i.imgur.com/7EzYfwJ.png
如DSM 7.0/DSM 6.2/VS 2.3及SRM 1.2的漏洞修补都还在开发中 正常来说应该会在90天内
放出更新
若尚未更新的使用者 请尽快更新到7.1-42261以上
https://i.imgur.com/cktSpc7.png
或是先行关闭AFP的protocol 等待更新释出
当然 QNAP也逃不了这漏洞
https://www.qnap.com/en/security-advisory/qsa-22-12
QNAP目前这些版本都受到影响
QTS 5.0.x 及之后的版本
QTS 4.5.4 及之后的版本
QTS 4.3.6 及之后的版本
QTS 4.3.4 及之后的版本
QTS 4.3.3 及之后的版本
QTS 4.2.6 及之后的版本
QuTS hero 5.0.x 及之后的版本
QuTS hero 4.5.4 及之后的版本
QuTScloud 5.0.x
目前仅有QTS 4.5.4.2012 build 20220419 这个版本已经做好修复了
其余版本暂时解决办法跟Synology一样 关闭AFP
各位还没更新DSM 7.1的 赶快回去更新rrrr