Ενημέρωση μέσω email από την QNAP:
QNAP Encourages Users to Take Actions to Protect their Turbo NAS from Potential Bash Code Injection
Spoiler:Taipei, Taiwan, September 26, 2014 – QNAP® Systems, Inc. has been looking into the recent concerns over potential Bash code injection (CVE-2014-6271) that can lead to security vulnerabilities on the Turbo NAS and other Unix/Linux-based systems. A partial solution for CVE-2014-6271 exists but may result in another security vulnerability (CVE-2014-7169). QNAP is actively working on a solution for this issue, but in the meantime encourages all Turbo NAS users to take the following immediate actions to avoid any possible exploitation of their system.
As a temporary measure until a solution is released for this issue, please ensure that the following services of the Turbo NAS are disconnected from the Internet:
Web administration
Web server
WebDAV
Photo Station, Music Station, File Station, and any other NAS app that uses a web-based interface
Normally the local network is not accessible from the Internet easily, users can still use their Turbo NAS safely. If users still worry about the security of their local network, they can follow the steps to disable the QTS web UI completely, and only turn it on when necessary:
Login to QTS and disable the Web Server in Applications
Login to QTS and disable the secure connection (SSL) in General Settings
Disable NAS web administration using a SSH utility (such as putty):
Connect to the Turbo NAS with admin username and password
Type the following command and hit the "Enter" key:
/etc/init.d/thttpd.sh stop
Note: The NAS web administration will become unavailable after taking the above steps. To restore it:
Restart the Turbo NAS, or
Manually start the web administration via SSH by typing the following command:
/etc/init.d/thttpd.sh start
QNAP will keep users updated with the latest information as addressing this issue. If users would like further assistance, please contact QNAP Technical Support at http://helpdesk.qnap.com.
About QNAP
QNAP Systems, Inc., as its brand promise "Quality Network Appliance Provider" , aims to deliver comprehensive offerings of cutting edge network attached storage (NAS) and network video recorder (NVR) solutions featured with ease-of-use, robust operation, large storage capacity, and trustworthy reliability. QNAP integrates technologies and designs to bring forth quality products that effectively improve business efficiency on file sharing, virtualization applications, storage management and surveillance in the business environments, as well as enrich entertainment life for home users with the offering of a fun multimedia center experience. Headquartered in Taipei, QNAP delivers its solutions to the global market with nonstop innovation and passion.
Media Contacts
marketing@qnap.com
Tel: +886-2-2641-2000
Εμφάνιση 31-45 από 109
Θέμα: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ)
-
26-09-14, 18:04 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #31
Ενημέρωση μέσω email από την QNAP:
QNAP Encourages Users to Take Actions to Protect their Turbo NAS from Potential Bash Code Injection
Spoiler:
-
26-09-14, 19:42 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #32
Για Debian Wheezy είδα ότι έχει βγει αναβάθμιση. Για το 6 (Squeeze) δεν έχει βγει κάτι και είναι vulnerable. Δε θα βγάλουν;
-
26-09-14, 21:23 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #33
Fix for Squeeze (Deb6)
Spoiler:
Από εδώ http://highsecurity.blogspot.co.uk/2...or-debian.html
-
26-09-14, 21:27 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #34
Χίλια μπράβο στη σελίδα εδώ για την άψογη και άμεση ενημερωσή τους ειδικά σε θέματα ασφαλείας.
Ως χρήστης αλλά και admin σε OSX δίκτυα οφείλω να δηλώσω απογοητευμένος από την Apple που ακόμη και τώρα δεν έχει βγάλει τπτ. Ψάχνει μάλλον το iShoe τώρα ή μπρασελέδες για τα ρολόγια της.
Για τα Cisco υπάρχει εδώ ενημέρωση.
-
26-09-14, 21:36 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #35
Εχει τιποτα για το Leopard Mac OS 10.5.8 ??? ή θα ριξω καντηλες? ειχα βαλει debian testing jessie αλλα λογω προβληματων με την ati radeon 9200 (ειχα χρωματα 8bit!!!) ξαναπερασα Mac Os....
-
26-09-14, 21:46 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #36
Για Mavericks μέχρι τώρα δεν έχει βγει update. Δλδ ap;o xtes έχουν βγει δύο updates αλλά κανένα δεν έχει patch Οπότε φαντάζομαι 10.5 ίδια και χειρότερη μοίρα.
-
26-09-14, 21:47 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #37
αστα να πανε....ε τι να κανω αφου δεν παιζει σωστα ο driver της καρτας γραφικων εχει bug και δεν εχει διορθωθει ποτε....ποιος καθεται να βαζει debian σε mac mini G4 1.42? μονο εγω μαλλον.....καλο ηταν αλλα μονο για κονσολα!
http://apple.stackexchange.com/quest.../146851#146851
αυτο για να τσεκάρουμε σε Mac OS...Τελευταία επεξεργασία από το μέλος Nikiforos : 27-09-14 στις 09:51.
-
27-09-14, 14:54 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #38
Τι σημασία έχει αν διορθώθηκε το bash σε MacOSX; Ξεκολλάτε λίγο, διαβάστε τι ακριβώς είναι το bug. Δεν κινδυνεύετε παρά μόνο αν με κάποιο τρόπο έχετε εκτεθειμένα bash scripts σε χρήση από remote services. Που και πάλι δε κινδυνεύετε ουσιαστικά, αφού δε μπορεί να γίνει user privilege elevation. Πολύς ντόρος για το τίποτα.
Κανένα ρουτεράκι που τρέχει bash scripts από το web interface και ο mini web server του τρέχει σαν root, ναι, αυτό θα κινδυνεύει για remote exploit.---
mp
-
27-09-14, 16:41 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #39
Και αυτός είναι ένας ακόμα λόγος που ΠΟΤΕ δεν αφήνουμε το Web access του router προσβάσιμο από έξω. Its just asking for trouble, με πολλούς και δίαφορους τρόπους. Εάν χρειάζεται εξωτερική πρόσβαση στο router, υπάρχουν ένα κάρο workarounds που είναι πολύ πιο ασφαλή...
- - - Updated - - -
Μα όντως είχα την απορία γιατί το έκανε έτσι ο BlueChris...
-
27-09-14, 19:27 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #40
-
27-09-14, 19:42 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #41It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
27-09-14, 20:31 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #42
Μάλλον έχουν .... Για δές http://www.unix.com/shell-programmin...-beginner.html
-
28-09-14, 03:47 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #43
-
28-09-14, 10:23 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #44
Βρες μου ένα MacOSX installation που με κάποιο τρόπο επηρεάζεται από το bug, και μετά κρίνε την "ολιγωρία" της Apple. Και όχι, δεν είμαι Apple fanboy. Προσωπικά δεν έκανα "έκτακτο" update σε κανέναν από τους Linux servers που διαχειρίζομαι. Θα γίνει το μηνιαίο scheduled update την Τετάρτη το πρωί. Το bug δεν επηρεάζει καθόλου τα συστήματά μου, όπως δεν επηρεάζει και την πλειοψηφία των servers εκεί έξω.
Όσο για το video της Symantec, καλό θα ήταν να έδειχνε και τι είναι το env.cgi, για να καταλάβει ο καθένας πως τέτοια cgi scripts δεν υπάρχουν σε real world installations.Τελευταία επεξεργασία από το μέλος malakudi : 28-09-14 στις 10:33.
---
mp
-
28-09-14, 11:42 Απάντηση: Bug στο Bash shell αφήνει μεγάλη τρύπα ασφαλείας σε όλα τα unixοειδή λειτουργικά (Linux/MacOSX κλπ) #45
Μάλλον εννοείς δεν θα ΕΠΡΕΠΕ να υπάρχουν σε real installations...
Έχω δει κατά καιρούς αρκετές γκατζολιές ώστε να μην μου κάνει εντύπωση αν κάποιοι έχουν το θέμα αυτό σε παραγωγικές εγκαταστάσεις, γιατί "πάντα έτσι το έκαναν".
- - - Updated - - -
Να πάρει... Με κατάλαβαν...
Πάντως και το VPN δεν είναι πάντα η καλύτερη λύση. Μπορεί για μια μικρή εγκατάσταση ένα port-forward σε έναν SSH server (όπου φυσικά στο μηχάνημα που τον τρέχει έχουμε κάνει ΟΛΕΣ τις απαραίτητες ενέργειες για την διασφάλιση του) να είναι πιο απλό κ θεμιτό. Και ναι, και για τον SSH βγαίνουν κατά καιρούς διάφορα, αλλά το ίδιο ισχύει και για το ΟpenVPN.
Παρόμοια Θέματα
-
MLS Πληροφορική: MAIC (MLS Artificial Intelligence Center) σε όλα τα MLS Tablet
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 13Τελευταίο Μήνυμα: 18-07-14, 20:59 -
μπαίνω σε όλα τα internet έχτος το δικό μου win7
Από MeKsexase στο φόρουμ COSMΟΤΕΜηνύματα: 4Τελευταίο Μήνυμα: 30-06-14, 00:09 -
Gaming pc / συνθεση λογικα απο e-shop (ανοικτος σε ολα τα κατστηματα)
Από Diffakoc στο φόρουμ Συνθέσεις Η/Υ και αναβαθμίσειςΜηνύματα: 11Τελευταίο Μήνυμα: 20-06-14, 11:26 -
Η Google υποχρεώνει τους κατασκευαστές να εμφανίζουν το logo "Powered by Android" σε όλα τα νέα κινητά
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 47Τελευταίο Μήνυμα: 03-04-14, 13:54 -
Μέσα σε όλα τα άλλα, η Αμερική χάνει και τον έλεγχο του ίντερνετ
Από ciaoant1 στο φόρουμ Γεγονότα και ΑπόψειςΜηνύματα: 10Τελευταίο Μήνυμα: 04-11-13, 14:41
Bookmarks