2017. máj 27.

SAMBACRY sérülékenység a QTS-ben

írta: MorGorilla

Van egy kis gond és sajnos gyakorlatilag minden QNAP QTS felhasználót érint. Meg minden linuxos és SAMBA felhasználót is kb. Érdemes figyelni rá, a QNAP is ezt teszi.

A Samba fejlesztőcsapata kiadott egy javallatot a CVE-2017-7494-es számú sérülékenység orvoslására. Az említett bibi lehetővé teszi írási jogokkal rendelkező felhasználók számára, hogy egy megosztott kódkönyvtárat töltsenek fel egy számukra írható mappába, majd ártalmas kódot futtassanak.

A probléma elég komoly, de a QNAP már dolgozik az ügyön és pár napon belülre ígéri a javítást. Addig is betömhető a rés, a következő fórum topik értelmében kell eljárni: https://forum.qnap.com/viewtopic.php?f=5&t=132991&p=617561#p617561. A

Üzemi környezetekben érdemes manuálisan fixálni a dolgot, mielőtt még automatikus frissítésben is megjelenik a patch.

Alább a QNAP eredeti e-mail üzenete:

QNAP Security Advisory | Bulletin ID: NAS-201705-27

Taipei, Taiwan, May 27, 2017 - QNAP® had published security enhancement against security vulnerabilities that could affect specific versions of QNAP products. Please use the following information and solutions to correct the security issues and vulnerabilities.

Security Advisory for Samba Writable Share Vulnerability

Release date: May 27, 2017
Last updated: May 27, 2017
Bulletin ID: NAS-201705-27
Severity rating: High
CVE identifier: CVE-2017-7494
Affected products: All NAS running QTS

Summary

The Samba team has released an advisory for CVE-2017-7494, a vulnerability that may allow users with write access to upload a shared library to a writeable shared folder and then execute malicious code.

Solution

QNAP is currently working on a fix and will release an update in the coming days. For manually applying a workaround, refer to QNAP Forum ( https://forum.qnap.com/viewtopic.php?f=5&t=132991&p=617561#p617561)

References:
https://www.samba.org/samba/security/CVE-2017-7494.html
https://www.samba.org/samba/history/security.html
https://access.redhat.com/security/cve/CVE-2017-7494

If you have any questions regarding this issue, please contact us at http://helpdesk.qnap.com/.