KKM-798736 - Remote File Inclusion in usr/getform.html

Die Firmware Versionen 1.x und 2.x ist auf Grund nicht geprüfter Argumente mittels Remote File Inclusion (RFI) angreifbar. Dies wird dadurch ermöglicht, daß der Parameter allow_url_fopen in der PHP Konfiguration aktiviert ist. Die neueren Firmware Versionen ab 3.x sind hierdurch wegen der neu entworfenen Web Oberfläche nicht betroffen.

Verweise:

Lösungen:

  • führen Sie ein Upgrade auf die neueste Firmware (3.x oder höher) durch, falls diese verfügbar ist
  • deaktivieren Sie allow_url_fopen manuell in der Datei /etc/php.ini
  • installieren Sie den unten aufgeführten Patch - dieser schaltet den Parameter aus

Ohne den Patch sollte sichergestellt sein, daß die Weboberfläche nicht aus unsicheren Netzen (wie dem Internet) erreichbar ist. Sollte dies nicht möglich sein, sollte über entsprechende Firewalls verhindert werden, dass das NAS Verbindungen in das Internet oder zu anderen internen Geräten aufbauen kann.

Dieser Fehler existiert in der Firmware (1.x und 2.x) folgender Modelle:

1U4500, M3800, N3200, N4100, N3200PRO, N4100+, N4100PRO, N5200, N5200PRO, N7700, N7700+, N7700PRO, N7700SAS, N8800, N8800+, N8800PRO, N8800SAS

Anhänge

AnhangGröße
[file] Fix-KKM-798736.bin
Thecus FW update to fix the RFI vulnerability reported as KKM-798736. The file has to be applied the same way as a regular firmware update.
MD5: 3959ddce4020239d1d324685c2f28f55
632 Bytes