CVE-2020-5849

Суть уязвимости

Аутентификация в веб-интерфейсе Unraid (обычно на порту 80/HTTP или 443/HTTPS) может быть обойдена. Злоумышленник, имеющий доступ к сети, где находится сервер Unraid, может получить доступ к административной панели без ввода пароля. В сочетании с уязвимостью CVE-2020-5847 это позволяет выполнить произвольный код на сервере с правами root.

Как исправить

Уязвимость исправлена в Unraid версии 6.8.3 и выше.

1. Проверьте текущую версию Unraid. В веб-интерфейсе перейдите в Tools > System Profiler и найдите строку Version.
2. Обновите систему. В веб-интерфейсе перейдите на вкладку Tools и нажмите Check for Updates. Следуйте инструкциям на экране для установки последней стабильной версии.
3. Альтернативный способ (через командную строку): bash # Перейдите в каталог с файлами Unraid cd /boot # Запустите скрипт обновления (замените X.X.X на актуальную версию, например, 6.8.3) ./upgrade X.X.X После обновления обязательно перезагрузите сервер.

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

1. Ограничьте сетевой доступ. Настройте брандмауэр (на маршрутизаторе или самом сервере) так, чтобы доступ к портам веб-интерфейса Unraid (по умолчанию 80 и 443) был разрешен только с доверенных IP-адресов (например, с вашей рабочей станции).
   • Пример правила iptables на самом сервере Unraid (разрешает доступ только с сети 192.168.1.0/24): bash iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP iptables -A INPUT -p tcp --dport 443 -j DROP
2. Используйте VPN. Полностью закройте доступ к веб-интерфейсу из внешней сети и организуйте доступ к сети, где находится Unraid, только через защищенный VPN (например, WireGuard или OpenVPN).
3. Рассмотрите отключение веб-интерфейса для критически важных систем на время, если это допустимо (управление через консоль останется доступным).