作者SFGEX (SFGEX)
看板Storage_Zone
标题Fw: [讨论] QNAP强制更新
时间Sat Jan 29 02:14:37 2022
※ [本文转录自 Tech_Job 看板 #1Xz35xLz ]
作者: SFGEX (SFGEX) 看板: Tech_Job
标题: [讨论] QNAP强制更新到5.0
时间: Sat Jan 29 02:09:59 2022
https://reurl.cc/l9QmLY
意思是QNAP强制用户更新到5.0,以防勒索病毒
现在问题是在没勾选"自动更新"的用户也会被强制更新,
FB NAS社团的讨论已经炸开了,PTT用户有人也遇到此问题吗?
我的认知内用户不更新是为了稳定,升版後有些事就做不了了,可能会剥夺用户权利。
因此猜是不更新会有更大灾难,不然决策者不可能不知道风险
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.174.49.131 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Tech_Job/M.1643393403.A.57D.html
※ 编辑: SFGEX (1.174.49.131 台湾), 01/29/2022 02:14:06
※ 发信站: 批踢踢实业坊(ptt.cc)
※ 转录者: SFGEX (1.174.49.131 台湾), 01/29/2022 02:14:37
1F:→ maniaque : 稳定??外网裸奔,然後被绑架,又靠北QNAP? Dochi ? 01/29 06:46
2F:推 Koibito : 不更新到时又再靠北系统厂漏洞多www 01/29 08:06
3F:→ crono0 : qnap 近期更新倒是真的挺多问题,fb上的社团在年初 01/29 08:23
4F:→ crono0 : 更新後一片哀嚎无法登入之类的问题,很多qnap用户 01/29 08:23
5F:→ crono0 : 看到更新都要观望一阵子 01/29 08:23
6F:推 taohua : 用户要求qnap回应 是如何绕过许可强迫更新的 这个 01/29 08:47
7F:→ taohua : 问题看起来不比勒索病毒小喔 01/29 08:47
8F:推 cppwu : 他们家法务是死了是不是… T&C没有的也敢硬干 01/29 08:54
9F:→ cunankimo : 有埋後门吗? 不然怎麽从远端强制用户更新? 01/29 10:49
10F:→ ornv : 所有产品型号吗? 01/29 10:59
11F:→ maniaque : 应该那些QNAP NAS有联网际网路吧 01/29 11:22
12F:推 labbat : 国产手机都有强制更新,这不奇怪吧 01/29 11:35
13F:推 z255477 : 至少会先通知一下的吧? 01/29 12:21
14F:→ z255477 : 而且奇怪的是直接升大版 01/29 12:21
15F:→ z255477 : 相容性出问题再来说版本限制? 01/29 12:21
16F:→ seiya2000 : 更新也骂,不更新也骂,真难伺候 01/29 14:12
17F:推 visa829 : 来了来了,检讨使用者难伺候,问题是更新的选择权吧 01/29 14:27
18F:推 z255477 : 这根本是厂商没处理好,并不是客户的问题 01/29 14:48
19F:推 wenjie0810 : 有人就是更新韧体结果资料全部遗失 01/29 14:51
20F:→ wenjie0810 : 像华云的在更新的注意事项就再三提醒最好先备份 01/29 14:53
21F:→ prussian : 这种就算不得已得强制更新,也要是推安全性更新而已 01/29 16:41
22F:→ prussian : 哪有人直接推大版本更新的 01/29 16:41
23F:→ prussian : 你要用最侵犯性的手段,当然是要以造成最小影响为先 01/29 16:47
24F:推 sirakuma : qnap这样搞过之後名声也毁的差不多了 01/29 17:27
25F:→ sirakuma : 官方到现在还没回应到底怎麽强上更新的 你的NAS不 01/29 17:27
26F:→ sirakuma : 是你的NAS 鬼才敢继续买他们家 01/29 17:27
27F:推 wenjie0810 : 这个问题更可怕的是 01/29 17:40
28F:→ wenjie0810 : 那我NAS里面的资料 01/29 17:40
29F:→ wenjie0810 : 原厂是不是都能直接拿到? 01/29 17:40
30F:→ Medic : 这次攻击者用50颗BTC挟全体中标用户勒索Qnap 我想 01/29 17:47
31F:→ Medic : 其他业者也很紧绷 以後被找到洞 都可能这样搞 01/29 17:48
32F:→ LuckSK : 以後有洞放更新,消费者不更被勒索算谁头上,好像还 01/29 21:13
33F:→ LuckSK : 是厂商 01/29 21:13
34F:→ maniaque : 强制更新vs不强制更新,都是两难,用户讲干话也得吞 01/30 01:01
35F:→ maniaque : 这个漏洞大概大到可让骇客轻易的进去NAS内OOXX 01/30 01:02
36F:→ maniaque : 官方才只能选择对客户最小伤害的方案 01/30 01:02
37F:→ maniaque : 资料遗失这一块,我想官方早就有考虑评估过了 01/30 01:02
38F:→ maniaque : 就算真给他万分一遇到更新後垮资料,找官方去救援 01/30 01:03
39F:→ maniaque : 想必也不会太难,更何况NAS 设计导向就是保护资料优 01/30 01:03
40F:→ maniaque : 先原则 01/30 01:04
41F:→ maniaque : 比较担心的反而是骇客进门之後怎样搞吧.... 01/30 01:04
42F:嘘 Fortis931 : 嘢屎啦 威廉通我会帮你救援 护航要不要这麽扯 01/30 01:27
43F:→ koster : 大概就跟当年三星Note7爆炸很像吧 官方真的要强迫更 01/30 03:07
44F:→ koster : 新 总是有办法的 虽然当初有安全疑虑 但背後绕过使 01/30 03:08
45F:→ koster : 用者同意的手法应该类似 01/30 03:09
46F:→ tomsawyer : 强迫更新一定有方法的阿 rpc一呼叫就推送更新 不管 01/30 04:29
47F:→ tomsawyer : 哪间厂牌都会留这种後手吧 01/30 04:29
48F:→ playerlin : 确实是两难的问题,只是说,我觉得没更新中奖还可以 01/30 11:26
49F:→ playerlin : 推托,强迫更新结果人家资料爆炸就一定要吞了。 01/30 11:26
50F:→ playerlin : 两个都是大问题所以可以理解社群爆炸跟厂商两难。 01/30 11:27
51F:→ dennisxkimo : 被强更+1,什麽都没对外,没用的功能几乎都关掉,单 01/30 12:11
52F:→ dennisxkimo : 纯做iSCSI,没对外开放,躲在防火墙後面,但可以上 01/30 12:11
53F:→ dennisxkimo : 网,可以上网是为了检查4版韧体跟app的最新更新而已 01/30 12:11
54F:→ dennisxkimo : ,也没跟官方cloud帐号做任何的连结设定,28日午夜 01/30 12:11
55F:→ dennisxkimo : 突然就autoupdate了。 01/30 12:11
56F:→ SFGEX : 只要对外就会更新了吧 01/30 13:03
57F:→ dennisxkimo : 过去一直都是不自动,手动允许的,有计画性执行,这 01/30 13:11
58F:→ dennisxkimo : 次突然被升大版,还好时间点没有影响到什麽 01/30 13:11
59F:→ middle1023 : 机器太旧就没更新了 TS-251C..... 01/30 18:09
60F:→ worldark : 有遇过大版更新AD帐号权限整个跑掉 业务停摆的 还 01/31 07:14
61F:→ worldark : 真敢... 01/31 07:14
62F:→ Klauhal : 用NAS当AD也挺赶的... 01/31 22:05
63F:→ Klauhal : *敢 01/31 22:05
64F:推 doom3 : 会强更代表漏洞太大吧== 先帮骇客扫一遍网路还在4的 02/01 09:32
65F:推 PianoGuys : 小公司用Q牌做LDAP 还蛮正常的,如果是超过20人以上 02/01 14:21
66F:→ PianoGuys : ,还是搞个AD比较实在,不然就是公司有人负责架LDAP 02/01 14:21
67F:→ PianoGuys : ,负责维护,否则挂在NAS上还蛮危险的 02/01 14:21
68F:推 IOU9527 : 有人中奖还在还原中突然强制更新重开...噗 02/01 15:58
69F:→ IOU9527 : 可以强制更新也代表原厂留有後门吧 02/01 15:58
70F:推 BDrip : 应该都有吧 三星note7不是也有强制更新限制电量 02/01 20:13
71F:→ tomsawyer : nas ad? 是指syno ldap还是samba4 我觉得非win ad 02/05 07:09
72F:→ tomsawyer : 都挺残破的 只是nas的gui比较人性化 02/05 07:09
73F:→ donflower : 过年前这样搞 是嫌大家不够旺是吗 02/05 14:35