Seagate NAS 遠端程式碼執行漏洞
最後更新
2015年03月03日 09:56
發佈日期:
2015年03月03日
1617
觀看次數
風險: 極高度風險
類型: 伺服器 - 網絡管理
在 Seagate Business Storage 2-Bay NAS 發現漏洞。在這生產線的產品發現數項保安問題,這可被利用導致在根用戶環境下執行遠端程式碼。這些漏洞不需要任何在設備上的授權可被利用。
Seagate Business NAS 產品附載網頁管理應用程式。這建於以下已知存在保安問題的過時技術:
- PHP 版本 5.2.13 (於2010年2月25日推出)
- CodeIgniter 2.1.0 (於2011年11月23日推出)
- Lighttpd 1.4.28 (於2010年8月22日推出)
注意:此漏洞暫時沒有相關的修補程式。
注意:概念證明攻擊程式碼已公開。
影響
- 遠端執行程式碼
- 資料洩露
受影響之系統或技術
兩個版本的 NAS 韌體已經測試和顯示存在漏洞,這兩個版本為
- 2014.00319
- 2013.60311
解決方案
- 注意:此漏洞暫時沒有相關的修補程式。
- 補救建議
- 確保裝置不會被公共互聯網存取
- 如供內部使用,建議裝置處於防火牆內,及設定只有可信的IP地位連接到該網頁介面
漏洞識別碼
資料來源
相關連結
分享至