February 26th, 2020

Zyxel NAS - нужно обновляться

Untitled-2

Новости приехали. В прошивке Zyxel NAS нашли уязвимость. Ну то есть не так что бы производитель её сильно искал. Нашли её совсем даже другие люди и начали активно предлагать использовать. Не бесплатно конечно.

What is the vulnerability?

A remote code execution vulnerability was identified in the weblogin.cgi program of Zyxel NAS products running firmware version 5.21 and earlier. Missing authentication for the program could allow attackers to perform remote code execution via OS command injection.


При определенных условиях можно "порулить" железкой в обход аутентификации. Для штуковины выставленной в интернет - не совсем правильно. Производитель советует накатить новую прошивку или убрать устройство из интернета, во избежание...

Последняя прошивка на сайте техподдержки от 2016 года. Номер 5.21(ABAG.2). Но по ссылке об уязвимости есть hotfix от февраля 2020.

Идем панель управления-система-обновление микропрограммы-ручное обновление микропрограммы. Указываем файлик обновленной прошивки. Шьемся.

У меня взлетело со второго раза, только после того как в web-морду NAS зашел через Chrome и по https. При попытках зайти по http обновление замирало на 0%. Из IE 11 вообще web-морда не доступна.

После обновления и перезагрузки стало V5.21(ABAG.4)B1_20200220

Кросс-ипподром 2020.

DSC_6898

22 февраля в Москве выдался первый солнечный день за всю зиму 2020. Накануне прошел снегопад, а ночью подморозило. Но центральный московский ипподром заарендован кроссовиками еще чуть ли не в ноябре. Реклама запущена, билеты проданы. Отступать некуда. Ни погода ни понос не отменит ралли-кросс!
Collapse )