CVE-2020-14871

Oracle Solaris and Zettabyte File System (ZFS)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Oracle Solaris and Oracle ZFS Storage Appliance Kit contain an unspecified vulnerability causing high impacts to confidentiality, integrity, and availability of affected systems.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в Oracle Solaris и ZFS Storage Appliance Kit позволяет удаленному атакующему без аутентификации выполнить произвольный код или вызвать отказ в обслуживании (DoS) на целевой системе. Это достигается через отправку специально созданных сетевых пакетов к уязвимым компонентам, что приводит к полному компрометированию системы (нарушение конфиденциальности, целостности и доступности).

Как исправить

Установите официальный патч от Oracle. Конкретная версия патча зависит от вашей версии Solaris и ZFSSA.

  1. Определите свою версию Solaris: bash uname -a cat /etc/release

  2. Установите патч:

    • Для Oracle Solaris 11: Установите обновление pkg update до версии, включающей исправление. Точный номер обновления смотрите в бюллетене Oracle.
    • Для Oracle Solaris 10: Примените патч из бюллетеня безопасности. Например, для Solaris 10 SPARC может потребоваться патч 150400-66.
    • Для ZFSSA: Обновите аккуратный образ (AK) до версии 8.8.0 или новее, как указано в бюллетене.

    Ключевые ссылки: * Официальный бюллетень Oracle (Critical Patch Update): Oracle CPU Oct 2020 * Конкретно для CVE-2020-14871 ищите в бюллетене разделы Oracle Solaris и Oracle ZFS Storage Appliance Kit.

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Сетевые ограничения:

    • Настройте межсетевой экран (например, ipfilter или iptables на хосте) на блокировку всех входящих соединений к уязвимым сервисам Solaris/ZFSSA с ненадежных сетей.
    • Ограничьте доступ только по IP-адресам административных сетей. Пример для ipfilter (Solaris): bash # Разрешить только с trusted_network pass in quick from trusted_network to any block in all

  2. Отключение ненужных сервисов:

    • Определите и отключите все неиспользуемые сетевые сервисы с помощью svcadm. Например, для отключения FTP: bash svcadm disable ftp

  3. Изоляция системы:

    • Переместите уязвимые системы в изолированный сегмент сети (VLAN), не имеющий прямого выхода в интернет.

Важно: Эти меры носят временный характер и не заменяют установку официального патча.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей