QNAP opravil vážnou bezpečnostní díru ve svých NASech. Uživatelé by neměli otálet s aktualizací

Názory k článku

avatar
28. 06. 2022 17:00

QTS 5.0.1.2034 neni oprava ale public beta, i kdyz vcetne te opravy. Pouzivat beta verze u QNAPu, je jako jet jinde na dev/testing release, kvalita jejich softwaru vetsinou stoji za vyliz-otvor.

Souhlasím  |  Nesouhlasím  |  Odpovědět
28. 06. 2022 22:27

Jak v článku zaznělo, ke zneužití QSA-22-20 je zapotřebí nginx, který však není ve výchozím nastavení nainstalován. Předpokládám, že reálná většina uživatelů ve finále ale ani neví, co to nginx vlastně je.
Každopádně QTS 5.0.1 i QuTS hero 5.0.1 testuji na dvou NASech a funkčnost je u mě prozatím bez problémů. Dokonce to vypadá, že konečně udělali něco s Thunderbolt konektivitou, která funguje bez chyb (předtím zlobil apple driver po přechodu na linux jádro 5.10). No a podle toho, jak ta „beta“ jede, myslím si, že QNAP vydá finálku začátkem prázdnin.Ohledně ransomware různých útoků, možná by QNAP třeba měl automaticky zastavit všechny služby, pokud uživatel zmeškal více než 2 aktualizace, které obsahují zabezpečení. To by způsobilo, že se uživatel, přihlásí k NAS a zkontroluje, co se děje, a tehdy by měl by vidět velkou obrazovku (jako v případě útoku ransomwaru), která mu vysvětlí, že musí aktualizovat firmware. Možná by to byl jediný způsob, jak uživatele dotlačit k tomu, aby nebyli k aktualizacím tak laxní Každopádně, NAS by neměla být otevřena do internetu (port-forwardingem) a když už vzdálený přístup, tak přistupovat přes VPN server běžící na routeru, aby byla NAS za firewallem. Už jsem řešil několik případů se zašifrovanými daty a vždy to bylo jedno a to samé, tj. neaktualizovaný firmware (i přes 2 roky), NAS puštěná přímo do internetu a zabezpečené nastavení v daném případě vlastně žádné. Pak se není čemu divit.

Souhlasím  |  Nesouhlasím  |  Odpovědi (2)Zavřít odpovědi  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor
Aktuální číslo časopisu Computer

Megatest 11 notebooků pro studenty

Test 7 herních headsetů

Kvalitní zdroje informací

Přehled videoslužeb