更多

    Samba 爆漏洞威脅 NAS 專家促立即更新

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    咁大部 Router !?為年尾 PS5 、 Xbox Series X|S 新機入伙做好準備

    PS5 上星期一開訂就被掃清光, Xbox Series X|S 亦都會在明天開始接受預訂,相信大家年底就要迎接新機入伙。不過大家在買 4K 120Hz 電視、 Wi-Fi 6 Router 、 HDMI 2.1 靚線之餘,也不要忘記要訂埋機櫃,因為這兩部遊戲機的體積,可能超乎你想像。一位日本時裝品牌設計師就畫了幾張立體圖,讓大家為申請「入境簽證」提早打算。

    【iOS14 升級精讀】備忘錄快速設定字體格式

    iOS 備忘錄的字體設定,讓用戶可以設定內容的標題、列表方式等,令備忘錄內容結構更清晰。過去要進入另一個介面來設定,現在只要長按鍵盤上的「 Aa 」按鈕,就會彈出一個簡易格式清單,即時就可以設定所在那行的格式,加快筆記速度。

    為 PS5 預訂混亂致歉 Sony 承諾數日增加訂購名額

    上星期五展開預訂的 PS5 在數分鐘內被訂光,香港有人即日在拍賣網站抬價 5 倍出售首日訂貨單,日本更出現店家在 Amazon 炒高 10 倍兼不能退訂的出品。 Sony 昨日就在 Twitter 上發文向玩家致歉,並承諾數日內再推出更多主機名額讓玩家預訂。

    繼 WannaCry 和 EternalRocks 等針對 SMB 漏洞進行攻擊的惡意軟件出現後,似乎問題愈揭愈多,而且今次蔓延到 Unix 平台之上!專門用在 Unix 平台上與 Windows 共享文件的 Samba 被發現嚴重漏洞,駭客只要一句程式碼就能攻破系統!

    SANS Internet Storm Center 憂累大量 NAS 會受害
    SANS Internet Storm Center 憂慮大量 NAS 會受害

    為了與 Windows 平台的 SMB 對接, Unix 系的平台包括 Linux 都會採用一個名為 Samba 的系統服務。米國網絡保安公司 SANS Internet Storm Center 與 Samba 就同時發出保安警告,指在 Samba 發現一個漏洞,駭客只要發現有開放了 TCP 445 埠進行 SMB 共享的話,就可以上傳一個共享庫( shared library )到可寫入的分享區,令伺服器自動讀取並執行。版本 3.5.0 以後的 Samba 都會遭殃。而要發動攻擊就只需一句程式碼,所以非常可怕。
    Samba 方面經已釋出了修訂,又公開了補救的方法。系統管理員只要在 Samba 的設定檔的 [global] 區段加上以下設定值,儲存後重新啟動 smbd 就可以。不過這個設定會停止部分 Windows 客戶端功能,所以仍應該進行系統更新。

    nt pipe support = no

    緃使如此,由於 NAS 等儲存設備廣泛採用了 Samba 服務,而那些裝置是需要由生產商更新系統的,所以部分廠商未必能及時修補這漏洞。而據另一保安公司 Rapid7 報告,指惡意掃瞄有關漏洞埠號有擴大的跡象,加上有關使用這個漏洞的 PoC 程式碼經已在網絡流傳,擔心會引發大規模感染。

    Rapid7 發現惡意掃瞄有關漏洞埠的情況有上升跡象
    Rapid7 發現惡意掃瞄有關漏洞埠的情況有上升跡象

    直至截稿時, Synology 經已推出了修正,但另一著名 NAS 品牌 QNAP 則未釋出有關修正。各位 NAS 用家應該密切留意系統更新通告。
    直至截稿時,Snology 經已推出有關修補,但其他廠商未必能及時修訂。
    直至截稿時,Synology 經已推出有關修補,但其他廠商未必能及時修訂。

    [更新] QNAP 已於 5 月 27 日推出修正檔,各位 QNAP NAS 用戶應立即更新。
    QNAP
    QNAP

    Samba 保安通告:按此

    您會感興趣的內容

    相關文章