CVE-2020-5847

Unraid Unraid

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Unraid contains a vulnerability due to the insecure use of the extract PHP function that can be abused to execute remote code as root. This CVE is chainable with CVE-2020-5849 for initial access.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-5847) в Unraid позволяет удаленному злоумышленнику выполнить произвольный код с правами суперпользователя (root). Это возможно из-за небезопасного использования PHP-функции extract() в веб-интерфейсе, что приводит к удаленному выполнению кода (RCE). Для первоначального доступа к системе атакующий может скомбинировать эту уязвимость с CVE-2020-5849.

Как исправить

Установите патченную версию Unraid, в которой данная уязвимость устранена.

  1. Проверьте текущую версию Unraid: bash cat /etc/unraid-version

  2. Обновите систему до версии 6.8.3 или новее.

    • Через веб-интерфейс: Перейдите в раздел Tools -> Update OS и установите рекомендуемое обновление.
    • Через командную строку (если доступна): bash # Скачайте и установите последнюю стабильную версию update-unraid
    • Вручную: Загрузите ZIP-файл новой версии с официального сайта и следуйте инструкциям по обновлению.

Ключевые исправленные версии: Unraid 6.8.3 и все последующие выпуски (6.9.x, 6.10.x и т.д.).

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу Unraid:

    • Настройте брандмауэр (например, iptables или ufw) на сервере Unraid, чтобы разрешить подключения к порту веб-интерфейса (по умолчанию 80/443) только с доверенных IP-адресов (вашей локальной сети или VPN). ```bash

    Пример для ufw (разрешить только с локальной сети 192.168.1.0/24)

    sudo ufw allow from 192.168.1.0/24 to any port 80,443 proto tcp sudo ufw deny 80/tcp sudo ufw deny 443/tcp ```

  2. Отключите удаленный доступ:

    • Если удаленный доступ к веб-интерфейсу не требуется, полностью запретите входящие подключения к портам 80 и 443 из внешней сети (WAN) на маршрутизаторе или сетевом брандмауэре.

  3. Используйте VPN:

    • Полностью отключите проброс портов веб-интерфейса Unraid в интернет. Организуйте доступ к сети, где находится сервер, только через защищенный VPN (например, WireGuard или OpenVPN).

Внимание: Временные решения лишь снижают поверхность атаки, но не устраняют саму уязвимость. Обновление системы является обязательным и первоочередным действием.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей