跳至主內容

Seagate NAS 遠端程式碼執行漏洞

最後更新 2015年03月03日 09:56 發佈日期: 2015年03月03日 1632 觀看次數

風險: 極高度風險

類型: 伺服器 - 網絡管理

類型: 網絡管理

在 Seagate Business Storage 2-Bay NAS 發現漏洞。在這生產線的產品發現數項保安問題,這可被利用導致在根用戶環境下執行遠端程式碼。這些漏洞不需要任何在設備上的授權可被利用。

 

Seagate Business NAS 產品附載網頁管理應用程式。這建於以下已知存在保安問題的過時技術:

  • PHP 版本 5.2.13 (於2010年2月25日推出)
  • CodeIgniter 2.1.0 (於2011年11月23日推出)
  • Lighttpd 1.4.28 (於2010年8月22日推出)

注意:此漏洞暫時沒有相關的修補程式。

注意:概念證明攻擊程式碼已公開。


影響

  • 遠端執行程式碼
  • 資料洩露

受影響之系統或技術

兩個版本的 NAS 韌體已經測試和顯示存在漏洞,這兩個版本為

  • 2014.00319
  • 2013.60311

解決方案

  • 注意:此漏洞暫時沒有相關的修補程式。
  • 補救建議
    • 確保裝置不會被公共互聯網存取
    • 如供內部使用,建議裝置處於防火牆內,及設定只有可信的IP地位連接到該網頁介面

漏洞識別碼


資料來源


相關連結